Cielito - Cloud para la UdelaR » Servicios UdelaR » Correo electrónico

Sería bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema).

Hoy tenemos un reporte de una persona en el CUP. Esnil Acosta, quien tenía un virus en su máquina hace unos días spameo a todas las cuentas de godel. Hoy puede mandar correos pero no puede recibir.

En la consola se ven en diferidos más de 5000 correos de spam: provienen de una IP en India, de una dirección usurpada, a múltiples destinatarios).

Por otro lado, los logs pararon por falta de espacio: /var de 5Mb llena.

Bloqueo a fuego, por firewall iptables, la IP 100.64.50.109, de la cual venían múltiples correos de SPAM. Aún no me queda muy claro como---> ¿cuenta usurpada y acceso smtp?

Hoy tenemos un reporte de una persona en el CUP. Esnil Acosta, quien tenía un virus en su máquina hace unos días spameo a todas las cuentas de godel. Hoy puede mandar correos pero no puede recibir.

bloqueo, por ahora al menos, la cuenta de Esnil Acosta hasta tener una visión clara del problema.

Sería bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema).

salieron centenas de miles de correos (ver consola, ver datos de tráfico: 18Gb en un día) a todos lados, en particular cantidad de mails (sin duda de estafa) falsamente provenientes de @fedex
Eso provocó que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen.
En cuanto tengamos el problema bien identificado, tenemos que solicitar el desblacklisteo.

Solicito desblacklisteo en barracuda: http://barracudacentral.org/rbl/removal-request

La razón que les digo:

One of our users felt in a scam and gave her password to a spammer. 
We have identified her, blocked the account and erased all illegitimate pending messages. 

Your confirmation number is BBR21413276017-13826-20220.

Dejo http://blacklist.lashback.com/ para el final: piden aceptar términos de uso y condiciones, y pretenden cobrar si se usa el servicio de delist una segunda vez.

http://psbl.org/listing?ip=164.73.68.19 (sólo cobra con una publicidad de Lacalle Pou :)
Da una información interesante, la fecha y hora del último spam observado:

Currently listed in PSBL? Yes.

Spam and removal history for 164.73.68.19 (times in UTC):

2014-10-13 02:49:54.428434    received spamtrap mail

Y el correo-trampa recibido, que confirma en varias cosas la sospecha:

From info@fedex.com Mon Oct 13 02:49:53 2014
Delivery-date: Mon, 13 Oct 2014 02:49:53 -0400
Received: from [164.73.68.19] (helo=godel.csic.edu.uy)
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <info@fedex.com>)
id 1XdZS3-000416-K9
for victim@smtp.example; Mon, 13 Oct 2014 02:49:53 -0400
Received: from localhost (localhost [127.0.0.1])
by godel.csic.edu.uy (Postfix) with ESMTP id 446C23E798A;
Mon, 13 Oct 2014 04:30:50 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP id F73mLj1VYLQL; Mon, 13 Oct 2014 04:30:45 -0200 (UYST)
Received: from localhost (localhost [127.0.0.1])
by godel.csic.edu.uy (Postfix) with ESMTP id 5545F3E7807;
Mon, 13 Oct 2014 04:28:11 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id 06HV7xG77hnf; Mon, 13 Oct 2014 04:28:07 -0200 (UYST)
Received: from [100.64.50.109] (unknown [116.203.72.201])
by godel.csic.edu.uy (Postfix) with ESMTPSA id A17013E73B5;
Mon, 13 Oct 2014 04:23:54 -0200 (UYST)
MIME-Version: 1.0
Subject: We Have A Package In Your Name
To: <info@fedex.com>
From: "FedEx Express Delivery Service" <info@fedex.com>
Date: Mon, 13 Oct 2014 11:53:01 +0530
Reply-To: delivery11@outlook.com 

Y el deslisteo es muy claro y simple:

Removal Results

IP address 164.73.68.19 has been removed from the database. It should be gone from the DNSBL list PSBL after the next zone file rebuild, in a couple of minutes.

Note that it will be added back in the next time it sends email to one of our spam traps, so please minimise any abusive behaviour by 164.73.68.19. 

psbl también aconseja otra lista RBLs: http://multirbl.valli.org/lookup/164.73.68.19.html

En http://www.wpbl.info/ el delisteo es automático con el tiempo...

Daniel Viñar Ulriksen escribió:

En realidad, la cuenta ya estaba bloqueada... ¿Víctor, la bloqueaste vos?

Fui yo.

El servidor Godel todavía está blacklisteado en al menos cuatro listas RBL: http://multirbl.valli.org/lookup/164.73.68.19.html
Está en manos de los administradores de este servidor (dominios @cur, @cut, @cure, @cup), en particular del de donde se origión el problema, finalizar su resolución.

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra: supervisar -> Colas de correo, que hay más de 18000 correos trancados, signo de que efectrivamente se está enviando SPAM, y se tiene el servidor blacklisteado.

Luego de estos problemas SERIOS de SPAM y blacklisteo, podemos adoptar una política de blacklisteo a nivel del iptables:

En el archivo FWBuilder de firewall para CSIC (ver: Subir_iptables_a_servidores) agregamos un seudo-Host llamado Crackers_y_spammers_godel_dirac
en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel.

En la política de Godel ta está filtrado, luego podemos ver para Dirac. (Y, para el spam, habrá que ver el tema de los MX secundarios).

Acabo de remover la IP de Godel de acá:
http://psbl.org/listing?ip=164.73.68.19

¡Espero no hayan más!

Solicité desblacklisteo en:
http://anonmails.de/dnsbl.php?ip=164.73.68.19
http://ipadmin.junkemailfilter.com/remove.php?ip=164.73.68.19
http://www.wpbl.info/cgi-bin/detail.cgi?ip=164.73.68.19

Acá ya la saqué a la ip:
http://dnsbl.inps.de/query.cgi?lang=en&ip=164.73.68.19&quick=1

En el primer link encontre algo interesante para nuestra configuración a poner en práctica:

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin, add the following ruleset to your local configuration file /etc/mail/spamassassin/local.cf.

# spam.dnsbl.anonmails.de
header RCVD_IN_ANONMAILS        eval:check_rbl('anonmails-lastexternal', 'spam.dnsbl.anonmails.de.')
describe RCVD_IN_ANONMAILS      Relay is listed in spam.dnsbl.anonmails.de
tflags RCVD_IN_ANONMAILS        net
score RCVD_IN_ANONMAILS         3.0

OjO: siguen habiendo mails reales de personas a personas que siguen "deferred" en godel. Ver específicamente problemas con Yahoo: #3113#note-3

Tenemos algunos rechazos de yahoo, nos indican la dirección: http://postmaster.yahoo.com/421-ts03.html
Que termina por recomendar leer sus best-practices: https://help.yahoo.com/kb/postmaster/practices-senders-sln3435.html

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams:

Estuve mirando estos links:
http://wiki.zimbra.com/wiki/SpamAssassin_Customizations
https://www.jorgedelacruz.es/2014/05/12/zimbra-anti-spam/

Agregué en los blacklists a magisterial para ver si dejamos de recibir de esa dirección:

root@godel:~# su – zimbra
zimbra@godel:~/conf/sa$ nano salocal.cf
blacklist_from managerial@managerial.uy

Después se reinician estos servicios:

zimbra@godel:~/conf/sa$ zmmtactl restart && zmamavisdctl stop &&
> zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura. Las configuré así:

zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rbl_client b.barracuracentral.org" 
zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rbl_client zen.spamhaus.org" 
zimbra@godel:~$ zmprov mcf +zimbraMtaRestriction "reject_rhsbl_client dbl.spamhaus.org" 

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro:

grep deferred /var/log/zimbra.log | less

Recibí:

------- Mensaje original --------
Asunto:     [MAPS #729232] (rbl) WWW remove for 164.73.68.19
Fecha:     Mon, 27 Oct 2014 19:02:47 -0700 (PDT)
De:     Franklynn Uy via RT <rbl@mail-abuse.org>

Hello,

Thank you for contacting Trend Micro about this IP address 164.73.68.19 on the RBL. This IP was listed because we have seen spam activities from it. We have probated (temporarily remove) this IP address from RBL. Please note that if we receive spam from this IP address in any given time again, it will automatically get re-listed on RBL without further notice.

Please allow up to 24 hours for this change to reach all Trend Micro customers.

===
Kind regards,
Trend Micro Inc.
Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

Respecto a personalización de SpamAssassin, también está esta página de la comunidad: http://wiki.zimbra.com/wiki/Improving_Anti-spam_system

En dirac, pongo el blacklisting de los spamers de Uruguay (managerial.uy, mkt.uy, etc)

Solicito el deslisteo de Microsoft: https://support.msn.com/eform.aspx?productKey=edfsmsbl2&ct=eformts&scrx=1
(encontrado en un foro)

Creé un script en el servidor godel /opt/zimbra/find_redirec.sh

Ví tu chat y la referencia. gracias. Pero en el servidor no lo encuentro...

Outlook.com responde, pero por ahora, sigue en error:

-------- Mensaje reenviado --------
Asunto:     Informe sobre problema de entrega a Outlook.com, SRX1267437116ID
Fecha:     Tue, 28 Oct 2014 19:02:19 +0000
De:     WINLV.EDFS.WW.00.ES.MSF.RMD.TS.T01.SPT.00.EM@css.one.microsoft.com

Estimado/a :

Tenga en cuenta que su número de vale aparece en la línea del asunto de este mensaje.

164.73.68.19/32
164.73.68.8/32

Nota: Los errores son poco probables, pero en caso de que se indique uno, reenvíe la dirección IP o el intervalo de direcciones IP en concreto.

Gracias.

Servicio de soporte de entrega de Outlook.com

No responda a este mensaje, ya que procede de un buzón de correo desatendido. Si responde a este correo electrónico, el mensaje no se atenderá ni se reenviará. Este servicio se usa únicamente para mensajes de correo electrónico salientes y no para responder consultas.

El 28/10/14 17:34, WINLV.EDFS.WW.00.ES.MSF.RMD.TS.T01.SPT.00.EM@css.one.microsoft.com escribió:

Asunto: Informe sobre problema de entrega a Outlook.com, SRX1267437116ID

Estimado/a Daniel Viñar:

Hemos terminado de revisar las direcciones IP que nos ha enviado. En la siguiente tabla encontrará los resultados de nuestra investigación.

No cumple los requisitos para ser desbloqueada
164.73.68.19/32; 164.73.68.8/32
Nuestra investigación ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas.

Asegúrese de que sus emails cumplen con las directivas, procedimientos y directrices de Outlook.com disponibles en el siguiente enlace: http://mail.live.com/mail/policies.aspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema, responda a este mensaje con una descripción detallada del mismo, incluyendo los mensajes de error que recibe, y un agente se pondrá en contacto con usted.

Independientemente del estado de entrega, Outlook.com recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en el tráfico de Outlook.com a las IPs remitentes, a la reputación de la IP remitente con Outlook.com y a las tasas de quejas de los usuarios de Outlook.com.

El Junk Email Reporting Program (JMRP, Programa de informes sobre correo no deseado). Cuando un usuario de Outlook.com marca un email como “no deseado”, los remitentes que forman parte de este programa obtienen una copia del mensaje, que es reenviado a la dirección email que elijan. Esto les permite ver qué mensajes están siendo marcados como no deseados e identificar mensajes que no desean mandar. Para unirse al programa siga el siguiente enlace: http://support.msn.com/eform.aspx?productKey=edfsjmrpp&page=support_home_options_form_byemail&ct=eformts

El programa Smart Network Data Services (SNDS). Este programa le permite controlar la “salud” y la reputación de sus IPs registradas al proporcionar datos sobre el tráfico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs. Para inscribirse siga el siguiente enlace: http://postmaster.live.com/snds/.

No existe una única solución para mantener o mejorar la buena reputación de una IP, pero estos programas le ayudan a gestionar de manera proactiva su ecosistema de correo electrónico para asegurar una mejor entrega a usuarios de Outlook.com

Atentamente,

Outlook.com Deliverability Support

Aviso por las dudas que en la tarea #3113 tambien solicité desblacklisteo

Respuesta a Hotmail:

He leido las recomendaciones que nos indican y a priori las respetamos.

Al intentar escribir a su servicio, mi MTA obtiene la siguiente respuesta:
El 28/10/14 17:24, Mail Delivery System escribió:

<haiti@outlook.es>: host mx3.hotmail.com[65.55.92.168] said: 550 SC-001
(SNT004-MC3F3) Unfortunately, messages from 164.73.68.19 weren't sent.
Please contact your Internet service provider since part of their network
is on our block list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar:

Oct 28 09:10:50 godel postfix/smtp[3726]: B47E3900239: to=<haiti@outlook.es>, orig_to=<pablo.rosano@cut.edu.uy>, relay=127.0.0.1[127.0.0.1]:10024, delay=2, delays=0.14/0/0/1.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EB7090023B)

Oct 28 09:10:50 godel postfix/smtp[3718]: 6FCB5900ABC: to=<gabynog1@hotmail.com>, orig_to=<gabriela.nogueira@cut.edu.uy>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.6, delays=0.33/0/0/1.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6E6BC900232)
Oct 28 09:10:50 godel postfix/qmgr[22743]: 6FCB5900ABC: removed

Oct 28 09:10:51 godel postfix/smtp[3745]: 72A27900ABF: to=<astuhldreher@hotmail.com>, relay=mx3.hotmail.com[65.55.92.184]:25, delay=0.97, delays=0.19/0.1/0.51/0.17, dsn=5.0.0, status=bounced (host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F48) Unfortunately, messages from 164.73.68.19 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))

Oct 28 09:10:51 godel postfix/smtp[3747]: 92EE0900AC5: to=<haiti@outlook.es>, relay=mx2.hotmail.com[65.55.92.168]:25, delay=1.3, delays=0.07/0.11/0.91/0.17, dsn=5.0.0, status=bounced (host mx2.hotmail.com[65.55.92.168] said: 550 SC-001 (SNT004-MC3F45) Unfortunately, messages from 164.73.68.19 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))
Oct 28 09:10:51 godel postfix/smtp[3747]: 92EE0900AC5: lost connection with mx2.hotmail.com[65.55.92.168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro) re-dirigiéndolo enteramente a su casilla personal en su servicio.

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta, pero el problema a sido contenido, como lo demuestran los grafos qu hemos publicado acá:

https://proyectos.interior.edu.uy/issues/3522#note-35

Como puede observar, nuestro servidor de correo 164.73.68.19/32 ya no está listada en niguna RBL.

Le agradecería tenga a bien investigar el caso y cesar de considerar relevar la reputación de nuestros servidores de correos y pasar a aceptar sus mensajes.

De lo contrario, le pido nos indique con mayor precisión cuales son las características que Uds consideran deben ser modificadas.

El 29/10/14 01:01, Hotmail Sender Support escribió:

our IP (164.73.68.8/32) was blocked by Outlook.com because Outlook.com customers have reported email from this IP as unwanted. I have conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem. This process may take 24 - 48 hours to replicate completely throughout our system.

El 29/10/14 01:36, Daniel Viñar Ulriksen escribió:

El 29/10/14 01:12, Hotmail Sender Support escribió:

Hello Daniel,

In order to proceed with our investigation of the IP 164.73.68.19/32, please provide the following details as you have mentioned that there was a recent compromise that took place on your system.

Date(s) this compromise occurred:

by October 13th

Brief description of the compromise:

three user account's passwords were compromised, porblably after have answered to a scam. Our server, therefore, started accepting relaying the spam the frauders sent.

Brief description of what was done to resolve the compromise:

Identifiyng the fault accounts, bloc them, erase the forwarding configuration they have put. and monitoring closely the server.

And we started working on SPF and DKIM.

Creé un script en el servidor godel /opt/zimbra/find_redirec.sh

Ví tu chat y la referencia. gracias. Pero en el servidor no lo encuentro...

El archivo está en godel:

apias@godel:/opt/zimbra$ ls -altr find_redirec.sh 
-rwxr-xr-x 1 zimbra root 262 oct 28 14:20 find_redirec.sh

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam:

http://mysoporte.blogspot.com/2013/10/mejorando-el-filtrado-del-spamassassin.html
https://www.jorgedelacruz.es/2014/05/12/zimbra-anti-spam/

sudo apt-get install razor
sudo apt-get install pyzor

root@zimbra:~# su - zimbra
zimbra@zimbra:~$ pyzor –homedir /opt/zimbra/data/amavisd/.pyzor discover

zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor --create
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor --discover
zimbra@zimbra:~$ razor-admin -home=/opt/zimbra/data/amavisd/.razor -register -user apias@cup.edu.uy

zimbra@zimbra:~$ nano /opt/zimbra/conf/sa/sausers.cf
# pyzor
use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_timeout 20
# razor
use_razor2 1

Faltaría deslistear:

22     164.73.68.19     Unsubscribe Blacklist UBL     ubl.unsubscore.com     Listed
      Query:      19.68.73.164.ubl.unsubscore.com
      A Record:     127.0.0.2
      TTL:     600
      TXT:     Sender has sent to LashBack Unsubscribe Probe accounts
    Visit http://blacklist.lashback.com for more information

Estaba mirando los mails con reenvíos desde el cut y veo 2 cosas que me parecieron extrañas. Estaría bien comprobar si esto es correcto:

• astuhldreher@cut.edu.uy -> astuhldreher@hotmail.com
• pablo.rosano@cut.edu.uy -> haiti@outlook.es

Tentativa de deslistar de http://www.dnsblchile.org/eliminar.html

tuve que solicitar un registro sí o sí con la casilla postmaster@csic.edu.uy, me respondió que será tratado en 5 días hábiles.

Removido de la listas de

• DNSBL (DNS-based blacklist) of NiX Spam: http://www.dnsbl.manitu.net/
• DNSBL spam.dnsbl.anonmails.de: http://www.anonmails.de/remove.php
• RBL listing: http://www.usenix.org.uk/content/rbl.html#how_do_i_delist

Hay 113000 correos en cola (nuevamente un record...) es decir que sin duda hay nuevas cuentas usurpadas. ¡¡¡tenemos que organizar nuestra comunicación!!!

Veo múltiples IPs de origen 100.64.X.Y, que a priori no son IPs legítimas en el espacio de direccionamiento público:
http://whois.arin.net/rest/net/NET-100-64-0-0-1
https://tools.ietf.org/html/rfc6598

Suprimo los correos correspondientes y, en el firewall, agrego el 100.64.0.0/10 (por ahora a mano, luego vemos en fwbuilder, y conviene crear un grupo "IP marcianas" que se rechaza sistemáticamente)

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones, para identificar las que puedan haber sido usurpadas (se nota en la redirección que tiene). En notas privadas reporto aquí las cuentas usurpadas.

Andrés Pías escribió:

Estaba mirando los mails con reenvíos desde el cut y veo 2 cosas que me parecieron extrañas. Estaría bien comprobar si esto es correcto:

• astuhldreher@cut.edu.uy -> astuhldreher@hotmail.com
• pablo.rosano@cut.edu.uy -> haiti@outlook.es

Es correcto.

Una forma de frenar el envío de spam:
http://www.cadinor.com/blog/zimbra-implementando-postfwd-para-securizar-nuestro-entorno/

Vemos en este enlace un script que nos puede ser útil.

Corremos este script que nos proporcionaron colegas del MIDES:

#!/bin/bash
# Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto
# Si un usuario supera el maximo establecido, se bloquea la cuenta y se envia un mail al administrador.

logfile="/var/log/zimbra.log" 
maxmails="10" 
mydomain="<mi dominio>" 
support="inrormatica@$mydomain" 
ano=`date +%Y`
mes=`date +%m`
dia=`date +%d`
hora=`date +%H:%M`

echo "Control de spam iniciado el $dia/$mes/$ano a la hora $hora" 

# Se crea una lista con las cuentas activas
su - zimbra -c "/opt/zimbra/bin/zmaccts" | grep "@" | grep active | awk '{print $1}' | cut -f -1 -d"@" > /tmp/active_accounts

zgrep -i "auth ok" $logfile | sed 's/ / /g' | awk -F"[ :]+" '{print $3":"$4,$9;}' | uniq -c | sort -n | \

while read line
do
count=`echo ${line} | cut -d' ' -f 1`
userid=`echo ${line} | cut -d' ' -f 3 | cut -f -1 -d"@"`
timestamp=`echo ${line} | cut -d' ' -f 2`
active=`grep "$userid" /tmp/active_accounts`
bloqueada=`grep "$userid" /root/cuentas_bloqueadas | uniq`
        if [ "$count" -gt "$maxmails" ] && [ "$active" == "$userid" ] && [ "$userid" != "$bloqueada" ]; then
            echo "$userid" >> /root/cuentas_bloqueadas
            echo "La tasa maxima de email's ha sido exedida por $userid@$mydomain la cuenta fue bloqueada" 
            su - zimbra -c "/opt/zimbra/bin/zmprov ma $userid zimbraAccountStatus locked" 

            # Preparo texto para el mensaje
            echo "Subject: La cuenta $userid fue bloqueada por excesivas conexiones" > /tmp/mensaje
            echo "La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a las">> /tmp/mensaje
            echo "$timestamp. por favor pida que el usuario cambie su contrasena." >> /tmp/mensaje

            # Envio el correo al administrador
            cat /tmp/mensaje | /opt/zimbra/postfix/sbin/sendmail $support
            rm -f /tmp/mensaje

            # Actualizo la lista de cuentas activas
            su - zimbra -c "/opt/zimbra/bin/zmaccts" | grep "@" | grep active | awk '{print $1}' > /tmp/active_accounts
            rm -f /tmp/active_accounts
        fi
done

echo "Control de spam finalizado el $dia/$mes/$ano a la hora $hora" 
exit 0

Corremos este comando para verificar las cuentas con redirección:

zmaccts | grep "@" | awk '{print $1}' | while read line; do echo $line; zmprov ga $line | grep zimbraPrefMailForwardingAddress; done;

OjO: surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts. Da error y en el shell sale:

channel 3: open failed: connect failed: Connection refused

Ayer, al final, bloqueamos el puerto 25 en entrada y en salida con iptables.

hoy de mañana las colas ya estaban en miles, y fue posible terminar de limpiarla. quedan 42 correos que parecen legítimos.

entramos con una persona del cut a su casilla, y encontramos 2 correos fraudulentos ===> en cuanto re-establecemos el servicio (o antes) hay que comunicar claramente a los usuarios, para disminuir el riesgo que otros caigan en la misma trampa.

Estamos blacklisteados hasta el 14/11 en http://www.uceprotect.net/, pretenden tener un express delist a US$ 108 (¿¿quién usa esta RBL?? ¿¡estafa!? ---> no entrammos en esta y primero vemos todo el resto.

Ese también nos bloquea en http://www.justspam.org/check-an-ip?ip=164.73.68.19

Pedí una cuenta en http://www.sorbs.net/

En http://www.spamcannibal.org/cannibal.cgi?page=lookup&lookup=164.73.68.19 vemos los estragos que nos son imputables:

Click for WhoisIP: 164.73.68.19  UY    
     godel.csic.edu.uy
         Uruguay         

Return-Path: <info@loandesk.com>
Received: from mail2.bizsystems.net (ns2.bizsystems.net 
[50.0.25.192])
    by bzs.org (8.11.4/8.11.4) with ESMTP id sA6IGkI12765
    for <michael@bizsystems.com>; Thu, 6 Nov 2014 10:16:46 -0800
Received: from godel.csic.edu.uy (godel.csic.edu.uy [164.73.68.19])
    by mail2.bizsystems.net (8.14.3/8.14.3) with ESMTP id sA6IGiJg009017
    for <michael@bizsystems.com>; Thu, 6 Nov 2014 10:16:45 -0800
Received: from localhost (localhost [127.0.0.1])
    by godel.csic.edu.uy (Postfix) with ESMTP id 3F32B902F66;
    Thu,  6 Nov 2014 16:07:55 -0200 (UYST)
Received: from godel.csic.edu.uy ([127.0.0.1])
    by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 
10032)
    with ESMTP id jkqjfxl1I4pA; Thu,  6 Nov 2014 16:07:53 -0200 (UYST)
Received: from localhost (localhost [127.0.0.1])
    by godel.csic.edu.uy (Postfix) with ESMTP id 45093902633;
    Thu,  6 Nov 2014 16:07:26 -0200 (UYST)
X-Virus-Scanned: amavisd-new at correo.cure.edu.uy
Received: from godel.csic.edu.uy ([127.0.0.1])
    by localhost (godel.csic.edu.uy [127.0.0.1]) (amavisd-new, port 
10026)
    with ESMTP id LNtU38RkBSaQ; Thu,  6 Nov 2014 16:07:25 -0200 (UYST)
Received: from [100.64.30.233] (unknown [116.203.72.123])
    by godel.csic.edu.uy (Postfix) with ESMTPSA id 6226B90423D;
    Thu,  6 Nov 2014 15:55:46 -0200 (UYST)
Content-Type: text/plain; charset="iso-8859-1" 
MIME-Version: 1.0
Content-Description: Mail message body
Subject: 3% Loan Offer Apply Today Before Offer Exires
To: Recipients <info@loandesk.com>
From: "Fastest Loan Approval" <info@loandesk.com>
Date: Thu, 06 Nov 2014 23:25:31 +0530
Reply-To: hijabdesk@foxmail.com
Message-Id: <20141106175547.6226B90423D@godel.csic.edu.uy>
X-Scanned-By: MIMEDefang 2.67 on 50.0.25.192
Content-Transfer-Encoding: 8bit
X-MIME-Autoconverted: from quoted-printable to 8bit by bzs.org id 
sA6IGkI12765
X-EsetId: 0DB22A27B4DF393056F174
X-PMFLAGS: 34078848 0 1 P7EQCVHA.CNM                        

We can help you with a genuine loan to meet your needs.
Do you need a personal or business loan without stress and quick 
approval?
Do you need an urgent loan today? No Credit Checks

* LOAN APPROVAL IN 60MINS !!
* GUARANTEED SAME DAY TRANSFER !! 
* 100% APPROVAL RATE !!

Incluso con cuenta SORBS no me quiso deslistear. Puse un ticket y les escribí:

We are a University and provide email to teachers and workers with this server. 

We had a few compromised accounts that are now identified and blocked. Queues in the server have been cleaned also. 

We will send immediately an awareness message about phishing to all users.

En los logs también vemos:

Nov  8 13:51:45 godel postfix/smtp[28315]: 96292911F4C: to=<******@mgap.gub.uy>, relay=mail.mgap.gub.uy[190.64.28.104]:25, delay=85550, 
delays=85550/0.01/0.84/0, dsn=4.7.1, status=deferred (host mail.mgap.gub.uy[190.64.28.104] refused to talk to me: 450 4.7.1 Service temporarily
unavailable; Client host [164.73.68.19] blocked using Trend Micro Email Reputation Service.

Please see http://www.mail-abuse.com/cgi-bin/lookup?ip_address=164.73.68.19; Mail from 164.73.68.19 deferred using Trend Micro Email Reputation database. 

Please see <http://www.mail-abuse.com/cgi-bin/lookup?164.73.68.19>)

La primer acción es incrementar el nivel de log del amavis, para identificar mejor el spam:

zmprov mcf zimbraAmavisLogLevel 2

Lo siguiente que propone esta wiki es la utilización de dos softwares: Ryzor y Pyzor, ambas herramientas libres para le detección y bloqueo del SPAM. Voy a probar la instalación y configuración de estas herramientas en el zimbra de pruebas que tenemos en el host mequieromatar.

Me encuentro con reglas de spamassassin para los plugins de Razor y Pyzor en Godel, sin embargo no están instalados estos programas.

Encuentro esto en los archivos de configuración de spamassasin, parece prometedor....

Apliqué en el servidor zimbra de pruebas los puntos 3.3, 4 y 5 de la wiki que venimos referenciando y todo anduvo bien. El único error es con el sub comando discover de pyzor. Pero encontramos que han removido esta opción del comando. Por lo que si no se especifica un servidor, se usa el por defecto (public.pyzor.org).

Los pasos a realizar:

• La primer acción es, como dije antes, incrementar el nivel de log del amavis, para identificar mejor el spam:
  

  $ zmprov mcf zimbraAmavisLogLevel 2
  

• instalación de Pyzor y Razor:
  

  $ apt update && apt install razor pyzor
  

• Crear el archivo data/spamassassin/localrules/sauser.cf y agregar:
  

  # pyzor
  use_pyzor 1
  pyzor_path /usr/bin/pyzor
  # DNS lookups for pyzor can time out easily.  Set the following line IF you want to give pyzor up to 20 seconds to respond
  # may slow down email delivery
  pyzor_timeout 20
  

• Configurar Razor con los siguientes comandos:
  

  $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -create
  $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -discover
  $ razor-admin -home=/opt/zimbra/data/amavisd/.razor -register -user postmaster@interior.edu.uy
  

• y también agregar en data/spamassassin/localrules/sauser.cf:
  

  # razor
  use_razor2 1
  

• Configuramos el score en data/spamassassin/localrules/sauser.cf:
  

  score URIBL_BLACK 3.250
  score RAZOR2_CHECK 3.250
  score PYZOR_CHECK 3.250
  score BAYES_99 4.000
  score BAYES_60 2.250
  score BAYES_50 1.500
  score BAYES_00 -0.500
  score RP_MATCHES_RCVD -0.000
  

• Reiniciamos los servicios correspondientes:
  

  $ zmantispamctl restart
  $ zmmtactl restart
  

• Finalmente, agregamos las reglas de Kevin McGrail:
  

  cd /opt/zimbra/data/spamassassin/localrules
  wget -N https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf -O sakam.cf
  zmamavisdctl restart
  

Y estaría listo!!!

Victor Alem escribió:

Los pasos a realizar:

• La primer acción es, como dije antes, incrementar el nivel de log del amavis, para identificar mejor el spam:
  [...]
• instalación de Pyzor y Razor:
  [...]
• Crear el archivo data/spamassassine/localrules/sauser.cf y agregar:
  [...]

Ojo un tema de sintaxis, es spamassassin. Por otro lado en la documentación de Zimbra dice configurar todo esto en /opt/zimbra/conf/sa/sausers.cf. Funciona esta configuración en cualquiera de las dos ubicaciones?. Recuerdo haber seguido esta guía de configuración razor/pyzor, al menos se instaló pyzor (si mal no recuerdo). El que no esté instalado en Godel se debe a que migramos el servidor y no lo volvimos a instalar en la vm de la nueva plataforma.

Hola Andrés, si te fijas en la wiki de referencia, al principio hay una nota al respecto para versiones posteriores a la 8.5:

ZCS 8.5 and later

For ZCS 8.5, SpamAssassin layout has been corrected as per the SpamAssassin developers. sauser.cf is migrated to the /opt/zimbra/data/spamassassin/localrules directory. This is the supported location for doing customizations of SpamAssassin for ZCS 8.5 and later. 

Gracias por el laburo de review.