Post on 10-Oct-2018
Correo electroacutenico - Tareas 3522
Problemas con enviacuteo de correo por falso SPAM
10132014 1257 PM - Victor Alem
Status Cerrada Start date 10132014
Priority Urgente Due date
Assignee Cielito - Coord regional Done 70
Category Estimated time 000 hour
Target version Spent time 1300 hours
Description
El problema que reportamos en la tarea 3113 respecto al servidor de listas ahora se extendioacute al servidor de correo alojado en Godel (en
principio puede que tambieacuten le suceda lo mismo a Dirac)
Varios usuarios de correos institucionales del CURE han reportado que cuando enviacutean correos desde el zimbra a GMail estos no llegan a
destino (posiblemente pase lo mismo con Yahoo y Hotmail)
Las pruebas que he hecho no he recibido rebotes puede que hayamos sido puestos en lista negra
Related issues
Related to Listas de correo - Errores 3113 problemas de rebotes en las dir Cerrada 07032014
Related to Correo electroacutenico - Tareas 3527 Redactar un mensaje y armar un Cerrada 10152014
Related to Correo electroacutenico - Tareas 1723 Estudiar y definir SPFs Rechazada 08072013
Related to Postulaciones posgrados - Errores 3615 Problema enviacuteo de correos Cerrada 11032014
Related to Correo electroacutenico - Tareas 3625 Blacklisteos en Davinci Cerrada 11052014
Related to Correo electroacutenico - Tareas 3654 Elementos de corta-fuegos cont Nueva 11082014
Related to Correo electroacutenico - Tareas 3655 Definir casillas rfc 2142 en n En curso 11082014
Related to Correo electroacutenico - Tareas 4376 Blacklisteo de Dirac Por Hotmail Cerrada 05062015
History
1 - 10132014 0104 PM - Andreacutes Piacuteas
Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)
2 - 10132014 0423 PM - Andreacutes Piacuteas
Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas de
godel Hoy puede mandar correos pero no puede recibir
3 - 10142014 0500 AM - Daniel Vintildear Ulriksen
En la consola se ven en diferidos maacutes de 5000 correos de spam provienen de una IP en India de una direccioacuten usurpada a muacuteltiples destinatarios)
Por otro lado los logs pararon por falta de espacio var de 5Mb llena
5 - 10142014 0608 AM - Daniel Vintildear Ulriksen
- Done changed from 0 to 20
7 - 10142014 0611 AM - Daniel Vintildear Ulriksen
- Status changed from Nueva to En curso
10102018 120
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
8 - 10142014 0612 AM - Daniel Vintildear Ulriksen
Bloqueo a fuego por firewall iptables la IP 1006450109 de la cual veniacutean muacuteltiples correos de SPAM Auacuten no me queda muy claro como---gt iquestcuenta
usurpada y acceso smtp
9 - 10142014 0614 AM - Daniel Vintildear Ulriksen
Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas
de godel Hoy puede mandar correos pero no puede recibir
bloqueo por ahora al menos la cuenta de Esnil Acosta hasta tener una visioacuten clara del problema
10 - 10142014 0618 AM - Daniel Vintildear Ulriksen
Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)
salieron centenas de miles de correos (ver consola ver datos de traacutefico 18Gb en un diacutea) a todos lados en particular cantidad de mails (sin duda de
estafa) falsamente provenientes de fedex
Eso provocoacute que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen
En cuanto tengamos el problema bien identificado tenemos que solicitar el desblacklisteo
11 - 10142014 0634 AM - Daniel Vintildear Ulriksen
- Done changed from 20 to 30
A priori luego de haber identificado la cuenta usurpada haberla bloqueado y haber borrado todos los mensajes de spam auacuten en cola podemos proceder
a pedir que la IP de Godel sea des-blacklisteada
Estaacute blacklisteada en 4 lugares httpmxtoolboxcomSuperToolaspxaction=blacklist3a164736819amp38run=toolpage
We notice you are on a blacklist
Checking 164736819 against 87 known blacklists
Listed 4 times with 2 timeouts
Blacklist Reason TTL ResponseTime
LISTED BARRACUDA 164736819 was listed Detail 900 156 Ignore
LISTED LASHBACK 164736819 was listed Detail 300 109 Ignore
LISTED PSBL 164736819 was listed Detail 2100 140 Ignore
LISTED WPBL 164736819 was listed Detail 2100 109 Ignore
10102018 220
12 - 10142014 0642 AM - Daniel Vintildear Ulriksen
Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request
La razoacuten que les digo
One of our users felt in a scam and gave her password to a spammer
We have identified her blocked the account and erased all illegitimate pending messages
Responde
Your confirmation number is BBR21413276017-13826-20220
13 - 10142014 0648 AM - Daniel Vintildear Ulriksen
Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una
segunda vez
14 - 10142014 0653 AM - Daniel Vintildear Ulriksen
httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )
Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado
Currently listed in PSBL Yes
Spam and removal history for 164736819 (times in UTC)
2014-10-13 024954428434 received spamtrap mail
Y el correo-trampa recibido que confirma en varias cosas la sospecha
From infofedexcom Mon Oct 13 024953 2014
Delivery-date Mon 13 Oct 2014 024953 -0400
Received from [164736819] (helo=godelcsiceduuy)
by mailvictimexample with esmtp (Exim 463)
(envelope-from ltinfofedexcomgt)
id 1XdZS3-000416-K9
for victimsmtpexample Mon 13 Oct 2014 024953 -0400
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A
Mon 13 Oct 2014 043050 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)
with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807
10102018 320
Mon 13 Oct 2014 042811 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)
with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)
Received from [1006450109] (unknown [11620372201])
by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5
Mon 13 Oct 2014 042354 -0200 (UYST)
MIME-Version 10
Subject We Have A Package In Your Name
To ltinfofedexcomgt
From FedEx Express Delivery Service ltinfofedexcomgt
Date Mon 13 Oct 2014 115301 +0530
Reply-To delivery11outlookcom
Y el deslisteo es muy claro y simple
Removal Results
IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a
couple of minutes
Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by
164736819
15 - 10142014 0654 AM - Daniel Vintildear Ulriksen
psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html
16 - 10142014 0656 AM - Daniel Vintildear Ulriksen
En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo
17 - 10142014 0700 AM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas
Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello
18 - 10142014 0818 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Ernesto Mello
En realidad es a Ernesto que corresponde pasar esta tarea
10102018 420
19 - 10142014 0833 AM - Daniel Vintildear Ulriksen
- File 20141014Num_msg_godelpng added
La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre
20141014Num_msg_godelpng
A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el
blacklisteado El domingo unos 2 millones el lunes unos 6 millones
20 - 10142014 0624 PM - Victor Alem
Daniel Vintildear Ulriksen escribioacute
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
Fui yo
21 - 10152014 0248 PM - Daniel Vintildear Ulriksen
El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html
Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar
su resolucioacuten
22 - 10202014 1134 AM - Daniel Vintildear Ulriksen
De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de
que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado
24 - 10202014 1207 PM - Daniel Vintildear Ulriksen
Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables
En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado
Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel
En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)
25 - 10202014 1213 PM - Daniel Vintildear Ulriksen
- Done changed from 30 to 40
Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas
A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo
- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten
individual respecto a las consecuencias de su actuar
10102018 520
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
8 - 10142014 0612 AM - Daniel Vintildear Ulriksen
Bloqueo a fuego por firewall iptables la IP 1006450109 de la cual veniacutean muacuteltiples correos de SPAM Auacuten no me queda muy claro como---gt iquestcuenta
usurpada y acceso smtp
9 - 10142014 0614 AM - Daniel Vintildear Ulriksen
Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas
de godel Hoy puede mandar correos pero no puede recibir
bloqueo por ahora al menos la cuenta de Esnil Acosta hasta tener una visioacuten clara del problema
10 - 10142014 0618 AM - Daniel Vintildear Ulriksen
Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)
salieron centenas de miles de correos (ver consola ver datos de traacutefico 18Gb en un diacutea) a todos lados en particular cantidad de mails (sin duda de
estafa) falsamente provenientes de fedex
Eso provocoacute que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen
En cuanto tengamos el problema bien identificado tenemos que solicitar el desblacklisteo
11 - 10142014 0634 AM - Daniel Vintildear Ulriksen
- Done changed from 20 to 30
A priori luego de haber identificado la cuenta usurpada haberla bloqueado y haber borrado todos los mensajes de spam auacuten en cola podemos proceder
a pedir que la IP de Godel sea des-blacklisteada
Estaacute blacklisteada en 4 lugares httpmxtoolboxcomSuperToolaspxaction=blacklist3a164736819amp38run=toolpage
We notice you are on a blacklist
Checking 164736819 against 87 known blacklists
Listed 4 times with 2 timeouts
Blacklist Reason TTL ResponseTime
LISTED BARRACUDA 164736819 was listed Detail 900 156 Ignore
LISTED LASHBACK 164736819 was listed Detail 300 109 Ignore
LISTED PSBL 164736819 was listed Detail 2100 140 Ignore
LISTED WPBL 164736819 was listed Detail 2100 109 Ignore
10102018 220
12 - 10142014 0642 AM - Daniel Vintildear Ulriksen
Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request
La razoacuten que les digo
One of our users felt in a scam and gave her password to a spammer
We have identified her blocked the account and erased all illegitimate pending messages
Responde
Your confirmation number is BBR21413276017-13826-20220
13 - 10142014 0648 AM - Daniel Vintildear Ulriksen
Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una
segunda vez
14 - 10142014 0653 AM - Daniel Vintildear Ulriksen
httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )
Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado
Currently listed in PSBL Yes
Spam and removal history for 164736819 (times in UTC)
2014-10-13 024954428434 received spamtrap mail
Y el correo-trampa recibido que confirma en varias cosas la sospecha
From infofedexcom Mon Oct 13 024953 2014
Delivery-date Mon 13 Oct 2014 024953 -0400
Received from [164736819] (helo=godelcsiceduuy)
by mailvictimexample with esmtp (Exim 463)
(envelope-from ltinfofedexcomgt)
id 1XdZS3-000416-K9
for victimsmtpexample Mon 13 Oct 2014 024953 -0400
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A
Mon 13 Oct 2014 043050 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)
with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807
10102018 320
Mon 13 Oct 2014 042811 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)
with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)
Received from [1006450109] (unknown [11620372201])
by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5
Mon 13 Oct 2014 042354 -0200 (UYST)
MIME-Version 10
Subject We Have A Package In Your Name
To ltinfofedexcomgt
From FedEx Express Delivery Service ltinfofedexcomgt
Date Mon 13 Oct 2014 115301 +0530
Reply-To delivery11outlookcom
Y el deslisteo es muy claro y simple
Removal Results
IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a
couple of minutes
Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by
164736819
15 - 10142014 0654 AM - Daniel Vintildear Ulriksen
psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html
16 - 10142014 0656 AM - Daniel Vintildear Ulriksen
En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo
17 - 10142014 0700 AM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas
Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello
18 - 10142014 0818 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Ernesto Mello
En realidad es a Ernesto que corresponde pasar esta tarea
10102018 420
19 - 10142014 0833 AM - Daniel Vintildear Ulriksen
- File 20141014Num_msg_godelpng added
La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre
20141014Num_msg_godelpng
A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el
blacklisteado El domingo unos 2 millones el lunes unos 6 millones
20 - 10142014 0624 PM - Victor Alem
Daniel Vintildear Ulriksen escribioacute
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
Fui yo
21 - 10152014 0248 PM - Daniel Vintildear Ulriksen
El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html
Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar
su resolucioacuten
22 - 10202014 1134 AM - Daniel Vintildear Ulriksen
De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de
que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado
24 - 10202014 1207 PM - Daniel Vintildear Ulriksen
Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables
En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado
Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel
En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)
25 - 10202014 1213 PM - Daniel Vintildear Ulriksen
- Done changed from 30 to 40
Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas
A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo
- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten
individual respecto a las consecuencias de su actuar
10102018 520
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
12 - 10142014 0642 AM - Daniel Vintildear Ulriksen
Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request
La razoacuten que les digo
One of our users felt in a scam and gave her password to a spammer
We have identified her blocked the account and erased all illegitimate pending messages
Responde
Your confirmation number is BBR21413276017-13826-20220
13 - 10142014 0648 AM - Daniel Vintildear Ulriksen
Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una
segunda vez
14 - 10142014 0653 AM - Daniel Vintildear Ulriksen
httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )
Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado
Currently listed in PSBL Yes
Spam and removal history for 164736819 (times in UTC)
2014-10-13 024954428434 received spamtrap mail
Y el correo-trampa recibido que confirma en varias cosas la sospecha
From infofedexcom Mon Oct 13 024953 2014
Delivery-date Mon 13 Oct 2014 024953 -0400
Received from [164736819] (helo=godelcsiceduuy)
by mailvictimexample with esmtp (Exim 463)
(envelope-from ltinfofedexcomgt)
id 1XdZS3-000416-K9
for victimsmtpexample Mon 13 Oct 2014 024953 -0400
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A
Mon 13 Oct 2014 043050 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)
with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807
10102018 320
Mon 13 Oct 2014 042811 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)
with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)
Received from [1006450109] (unknown [11620372201])
by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5
Mon 13 Oct 2014 042354 -0200 (UYST)
MIME-Version 10
Subject We Have A Package In Your Name
To ltinfofedexcomgt
From FedEx Express Delivery Service ltinfofedexcomgt
Date Mon 13 Oct 2014 115301 +0530
Reply-To delivery11outlookcom
Y el deslisteo es muy claro y simple
Removal Results
IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a
couple of minutes
Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by
164736819
15 - 10142014 0654 AM - Daniel Vintildear Ulriksen
psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html
16 - 10142014 0656 AM - Daniel Vintildear Ulriksen
En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo
17 - 10142014 0700 AM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas
Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello
18 - 10142014 0818 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Ernesto Mello
En realidad es a Ernesto que corresponde pasar esta tarea
10102018 420
19 - 10142014 0833 AM - Daniel Vintildear Ulriksen
- File 20141014Num_msg_godelpng added
La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre
20141014Num_msg_godelpng
A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el
blacklisteado El domingo unos 2 millones el lunes unos 6 millones
20 - 10142014 0624 PM - Victor Alem
Daniel Vintildear Ulriksen escribioacute
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
Fui yo
21 - 10152014 0248 PM - Daniel Vintildear Ulriksen
El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html
Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar
su resolucioacuten
22 - 10202014 1134 AM - Daniel Vintildear Ulriksen
De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de
que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado
24 - 10202014 1207 PM - Daniel Vintildear Ulriksen
Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables
En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado
Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel
En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)
25 - 10202014 1213 PM - Daniel Vintildear Ulriksen
- Done changed from 30 to 40
Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas
A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo
- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten
individual respecto a las consecuencias de su actuar
10102018 520
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Mon 13 Oct 2014 042811 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)
with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)
Received from [1006450109] (unknown [11620372201])
by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5
Mon 13 Oct 2014 042354 -0200 (UYST)
MIME-Version 10
Subject We Have A Package In Your Name
To ltinfofedexcomgt
From FedEx Express Delivery Service ltinfofedexcomgt
Date Mon 13 Oct 2014 115301 +0530
Reply-To delivery11outlookcom
Y el deslisteo es muy claro y simple
Removal Results
IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a
couple of minutes
Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by
164736819
15 - 10142014 0654 AM - Daniel Vintildear Ulriksen
psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html
16 - 10142014 0656 AM - Daniel Vintildear Ulriksen
En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo
17 - 10142014 0700 AM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas
Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello
18 - 10142014 0818 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Ernesto Mello
En realidad es a Ernesto que corresponde pasar esta tarea
10102018 420
19 - 10142014 0833 AM - Daniel Vintildear Ulriksen
- File 20141014Num_msg_godelpng added
La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre
20141014Num_msg_godelpng
A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el
blacklisteado El domingo unos 2 millones el lunes unos 6 millones
20 - 10142014 0624 PM - Victor Alem
Daniel Vintildear Ulriksen escribioacute
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
Fui yo
21 - 10152014 0248 PM - Daniel Vintildear Ulriksen
El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html
Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar
su resolucioacuten
22 - 10202014 1134 AM - Daniel Vintildear Ulriksen
De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de
que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado
24 - 10202014 1207 PM - Daniel Vintildear Ulriksen
Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables
En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado
Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel
En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)
25 - 10202014 1213 PM - Daniel Vintildear Ulriksen
- Done changed from 30 to 40
Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas
A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo
- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten
individual respecto a las consecuencias de su actuar
10102018 520
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
19 - 10142014 0833 AM - Daniel Vintildear Ulriksen
- File 20141014Num_msg_godelpng added
La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre
20141014Num_msg_godelpng
A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el
blacklisteado El domingo unos 2 millones el lunes unos 6 millones
20 - 10142014 0624 PM - Victor Alem
Daniel Vintildear Ulriksen escribioacute
En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos
Fui yo
21 - 10152014 0248 PM - Daniel Vintildear Ulriksen
El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html
Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar
su resolucioacuten
22 - 10202014 1134 AM - Daniel Vintildear Ulriksen
De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de
que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado
24 - 10202014 1207 PM - Daniel Vintildear Ulriksen
Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables
En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado
Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel
En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)
25 - 10202014 1213 PM - Daniel Vintildear Ulriksen
- Done changed from 30 to 40
Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas
A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo
- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten
individual respecto a las consecuencias de su actuar
10102018 520
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea
26 - 10222014 1059 AM - Ernesto Mello
- Done changed from 40 to 50
Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg
Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes
Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la
trampa ( )
Revisar si seguimos en alguna blacklist
27 - 10222014 0304 PM - Victor Alem
Acabo de remover la IP de Godel de acaacute
httppsblorglistingip=164736819
iexclEspero no hayan maacutes
28 - 10222014 0401 PM - Andreacutes Piacuteas
Soliciteacute desblacklisteo en
httpanonmailsdednsblphpip=164736819
httpipadminjunkemailfiltercomremovephpip=164736819
httpwwwwpblinfocgi-bindetailcgiip=164736819
Acaacute ya la saqueacute a la ip
httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1
En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica
Usage with Spamassasin
To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf
spamdnsblanonmailsde
header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)
describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde
tflags RCVD_IN_ANONMAILS net
score RCVD_IN_ANONMAILS 30
29 - 10262014 1200 PM - Daniel Vintildear Ulriksen
OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3
10102018 620
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html
Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html
30 - 10272014 0450 PM - Andreacutes Piacuteas
Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams
Estuve mirando estos links
httpwikizimbracomwikiSpamAssassin_Customizations
httpswwwjorgedelacruzes20140512zimbra-anti-spam
Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten
rootgodel~ su ndash zimbra
zimbragodel~confsa$ nano salocalcf
blacklist_from managerialmanagerialuy
Despueacutes se reinician estos servicios
zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp
gt zmamavisdctl start
Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg
zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg
31 - 10272014 1002 PM - Daniel Vintildear Ulriksen
- Assignee changed from Ernesto Mello to Cielito - Coord regional
Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra
Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado
32 - 10272014 1148 PM - Daniel Vintildear Ulriksen
Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro
grep deferred varlogzimbralog | less
Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html
10102018 720
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819
33 - 10282014 1227 AM - Daniel Vintildear Ulriksen
Recibiacute
------- Mensaje original --------
Asunto [MAPS 729232] (rbl) WWW remove for 164736819
Fecha Mon 27 Oct 2014 190247 -0700 (PDT)
De Franklynn Uy via RT ltrblmail-abuseorggt
Hello
Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities
from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given
time again it will automatically get re-listed on RBL without further notice
Please allow up to 24 hours for this change to reach all Trend Micro customers
===
Kind regards
Trend Micro Inc
Spam Investigations Team
-------------------------------------------- Managed by Request Tracker
34 - 10282014 0748 AM - Daniel Vintildear Ulriksen
Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system
En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)
35 - 10282014 0910 AM - Daniel Vintildear Ulriksen
- File 2014-10-28_09-07-12_numero_msg_godelpng added
La evolucuioacuten de la cantidad de mensajes en Godel
2014-10-28_09-07-12_numero_msg_godelpng
36 - 10282014 0242 PM - Andreacutes Piacuteas
- File CUP-direcciones-reenviotxt added
- File esnilreenvioinfopng added
Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra
10102018 820
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el
paraacutemetro pueda ser pasado desde liacutenea de comando
Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso
entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen
Ya quiteacute estos reenviacuteos
37 - 10282014 0501 PM - Daniel Vintildear Ulriksen
Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1
(encontrado en un foro)
38 - 10282014 0511 PM - Daniel Vintildear Ulriksen
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
39 - 10282014 0527 PM - Daniel Vintildear Ulriksen
Outlookcom responde pero por ahora sigue en error
-------- Mensaje reenviado --------
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Fecha Tue 28 Oct 2014 190219 +0000
De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom
Estimadoa
Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje
10102018 920
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
16473681932
1647368832
Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto
Gracias
Servicio de soporte de entrega de Outlookcom
No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se
atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas
40 - 10282014 0604 PM - Daniel Vintildear Ulriksen
El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute
Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID
Estimadoa Daniel Vintildear
Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten
No cumple los requisitos para ser desbloqueada
16473681932 1647368832
Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas
Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace
httpmaillivecommailpoliciesaspx
Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo
incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted
Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en
el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de
Outlookcom
El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email
como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que
elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al
programa siga el siguiente enlace
httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts
El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al
proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga
el siguiente enlace httppostmasterlivecomsnds
No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera
proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom
Atentamente
10102018 1020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Outlookcom Deliverability Support
41 - 10282014 0633 PM - Andreacutes Piacuteas
Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo
42 - 10292014 1241 AM - Daniel Vintildear Ulriksen
Respuesta a Hotmail
He leido las recomendaciones que nos indican y a priori las respetamos
Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta
El 281014 1724 Mail Delivery System escribioacute
lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001
(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent
Please contact your Internet service provider since part of their network
is on our block list You can also refer your provider to
httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL
FROM command)
En mis logs encuentro el momento cuando empiezan a rechazar
Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt
relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200
Ok queued as 6EB7090023B)
Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt
relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250
200 Ok queued as 6E6BC900232)
Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed
Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25
delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13
delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)
Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block
list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))
Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO
Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)
re-dirigieacutendolo enteramente a su casilla personal en su servicio
Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a
10102018 1120
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
sido contenido como lo demuestran los grafos qu hemos publicado acaacute
httpsproyectosinterioreduuyissues3522note-35
Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL
Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus
mensajes
De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas
43 - 10292014 0146 AM - Daniel Vintildear Ulriksen
El 291014 0101 Hotmail Sender Support escribioacute
our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
El 291014 0136 Daniel Vintildear Ulriksen escribioacute
El 291014 0112 Hotmail Sender Support escribioacute
Hello Daniel
In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a
recent compromise that took place on your system
Date(s) this compromise occurred
by October 13th
Brief description of the compromise
three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the
spam the frauders sent
Brief description of what was done to resolve the compromise
Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server
And we started working on SPF and DKIM
44 - 10292014 1224 PM - Andreacutes Piacuteas
Creeacute un script en el servidor godel optzimbrafind_redirecsh
Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro
10102018 1220
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
El archivo estaacute en godel
apiasgodeloptzimbra$ ls -altr find_redirecsh
-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh
45 - 10292014 0345 PM - Daniel Vintildear Ulriksen
- Done changed from 50 to 60
El 291014 1532 Hotmail Sender Support escribioacute
Hello
My name is Smita and I work with the Outlookcom Deliverability Support Team
Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have
conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This
process may take 24 - 48 hours to replicate completely throughout our system
46 - 10312014 0425 PM - Andreacutes Piacuteas
Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam
httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml
httpswwwjorgedelacruzes20140512zimbra-anti-spam
sudo apt-get install razor
sudo apt-get install pyzor
rootzimbra~ su - zimbra
zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover
zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy
zimbrazimbra~$ nano optzimbraconfsasauserscf
pyzor
use_pyzor 1
pyzor_path usrbinpyzor
pyzor_timeout 20
razor
use_razor2 1
47 - 11032014 1214 PM - Daniel Vintildear Ulriksen
10102018 1320
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Faltariacutea deslistear
22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed
Query 196873164ublunsubscorecom
A Record 127002
TTL 600
TXT Sender has sent to LashBack Unsubscribe Probe accounts
Visit httpblacklistlashbackcom for more information
si alguien quiere poner su mail y aceptar las condiciones )
48 - 11052014 1200 PM - Daniel Vintildear Ulriksen
- Assignee changed from Cielito - Coord regional to Viacutector Viana
50 - 11072014 1259 PM - Andreacutes Piacuteas
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
51 - 11072014 0500 PM - Daniel Vintildear Ulriksen
Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml
tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles
52 - 11072014 0514 PM - Viacutector Viana
Removido de la listas de
- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet
- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp
- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist
53 - 11072014 0605 PM - Daniel Vintildear Ulriksen
Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra
comunicacioacuten
Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico
httpwhoisarinnetrestnetNET-100-64-0-0-1
httpstoolsietforghtmlrfc6598
Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo
IP marcianas que se rechaza sistemaacuteticamente)
10102018 1420
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
54 - 11072014 0624 PM - Daniel Vintildear Ulriksen
Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten
que tiene) En notas privadas reporto aquiacute las cuentas usurpadas
56 - 11072014 0635 PM - Viacutector Viana
Andreacutes Piacuteas escribioacute
Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto
- astuhldrehercuteduuy -gt astuhldreherhotmailcom
- pablorosanocuteduuy -gt haitioutlookes
Es correcto
57 - 11072014 0746 PM - Pablo Garciacutea
Una forma de frenar el enviacuteo de spam
httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno
58 - 11072014 0747 PM - Victor Alem
Vemos en este enlace un script que nos puede ser uacutetil
Corremos este script que nos proporcionaron colegas del MIDES
binbash
Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador
logfile=varlogzimbralog
maxmails=10
mydomain=ltmi dominiogt
support=inrormatica$mydomain
ano=`date +Y`
mes=`date +m`
dia=`date +d`
hora=`date +HM`
echo Control de spam iniciado el $dia$mes$ano a la hora $hora
Se crea una lista con las cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts
zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |
while read line
do
count=`echo $line | cut -d -f 1`
10102018 1520
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
userid=`echo $line | cut -d -f 3 | cut -f -1 -d`
timestamp=`echo $line | cut -d -f 2`
active=`grep $userid tmpactive_accounts`
bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`
if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then
echo $userid gtgt rootcuentas_bloqueadas
echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada
su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked
Preparo texto para el mensaje
echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje
echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje
echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje
Envio el correo al administrador
cat tmpmensaje | optzimbrapostfixsbinsendmail $support
rm -f tmpmensaje
Actualizo la lista de cuentas activas
su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts
rm -f tmpactive_accounts
fi
done
echo Control de spam finalizado el $dia$mes$ano a la hora $hora
exit 0
59 - 11072014 0836 PM - Victor Alem
Corremos este comando para verificar las cuentas con redireccioacuten
zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done
60 - 11082014 0903 AM - Daniel Vintildear Ulriksen
OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale
channel 3 open failed connect failed Connection refused
61 - 11082014 1011 AM - Daniel Vintildear Ulriksen
Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables
hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos
10102018 1620
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
62 - 11082014 1013 AM - Daniel Vintildear Ulriksen
entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que
comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa
63 - 11082014 1015 AM - Daniel Vintildear Ulriksen
Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa
---gt no entrammos en esta y primero vemos todo el resto
Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819
Pediacute una cuenta en httpwwwsorbsnet
En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables
Click for WhoisIP 164736819 UY
godelcsiceduuy
Uruguay
Return-Path ltinfoloandeskcomgt
Received from mail2bizsystemsnet (ns2bizsystemsnet
[50025192])
by bzsorg (81148114) with ESMTP id sA6IGkI12765
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800
Received from godelcsiceduuy (godelcsiceduuy [164736819])
by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017
for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66
Thu 6 Nov 2014 160755 -0200 (UYST)
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10032)
with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)
Received from localhost (localhost [127001])
by godelcsiceduuy (Postfix) with ESMTP id 45093902633
Thu 6 Nov 2014 160726 -0200 (UYST)
X-Virus-Scanned amavisd-new at correocureeduuy
Received from godelcsiceduuy ([127001])
by localhost (godelcsiceduuy [127001]) (amavisd-new port
10026)
with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)
Received from [1006430233] (unknown [11620372123])
by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D
Thu 6 Nov 2014 155546 -0200 (UYST)
Content-Type textplain charset=iso-8859-1
MIME-Version 10
Content-Description Mail message body
Subject 3 Loan Offer Apply Today Before Offer Exires
To Recipients ltinfoloandeskcomgt
From Fastest Loan Approval ltinfoloandeskcomgt
10102018 1720
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Date Thu 06 Nov 2014 232531 +0530
Reply-To hijabdeskfoxmailcom
Message-Id lt201411061755476226B90423Dgodelcsiceduuygt
X-Scanned-By MIMEDefang 267 on 50025192
Content-Transfer-Encoding 8bit
X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id
sA6IGkI12765
X-EsetId 0DB22A27B4DF393056F174
X-PMFLAGS 34078848 0 1 P7EQCVHACNM
We can help you with a genuine loan to meet your needs
Do you need a personal or business loan without stress and quick
approval
Do you need an urgent loan today No Credit Checks
LOAN APPROVAL IN 60MINS
GUARANTEED SAME DAY TRANSFER
100 APPROVAL RATE
64 - 11082014 1026 AM - Daniel Vintildear Ulriksen
Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute
We are a University and provide email to teachers and workers with this server
We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also
We will send immediately an awareness message about phishing to all users
65 - 11082014 0110 PM - Daniel Vintildear Ulriksen
- Assignee changed from Viacutector Viana to Cielito - Coord regional
Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819
Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien
Conviene pensar el tema de algunas casillas estaacutendar
DNSBL Informationallist Test
542 godelcsiceduuy Abusenet contactsabusenet Listed
Comment abusenet recommended contact addresses
This is NOT a blacklist or whitelist and does not block any mail
Query godelcsiceduuycontactsabusenet ()
TXT abusegodelcsiceduuy
abusecsiceduuy
10102018 1820
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed
Comment This is NOT a blacklist or whitelist and does not block any mail
Query 196873164abuse-contactsabusixorg ()
TXT securityraueduuy
para lo cual abro la tarea 3655
66 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_ 13-43-07png added
Volvimos a mandar 15 millones de spams
Godel_num_mensajes2014-11-08_13-43-07png
67 - 11082014 0147 PM - Daniel Vintildear Ulriksen
- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)
68 - 11082014 0148 PM - Daniel Vintildear Ulriksen
- File Godel_num_mensajes2014-11-08_13-43-07png added
69 - 11082014 0155 PM - Daniel Vintildear Ulriksen
En los logs tambieacuten vemos
Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550
delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily
unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service
Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email
Reputation database
Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)
70 - 11082014 0210 PM - Daniel Vintildear Ulriksen
- Done changed from 60 to 70
El trendmicro fue faacutecil de solicitar
En la web responde
Rating Information
164736819 has been removed from the spam list
10102018 1920
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020
Please be aware that this IP address may be blocked again if it sends more spam
To prevent abuse we limit the number of exception requests
pero todaviacutea los correos siguen siendo bloqueados esperemos
los correos a priori pasan a hotmail y gmail Hay que verificar yahoo
71 - 05312017 0125 PM - Daniel Vintildear Ulriksen
- Status changed from En curso to Resuelta
Aparentemente esto fue un blacklisteo momentaneo ahora resuelto
72 - 09142017 1203 PM - Daniel Vintildear Ulriksen
- Status changed from Resuelta to Cerrada
Files
20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen
2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen
CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas
esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas
Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen
10102018 2020