Tareas #6518

Envios de spam no detectados por "el script"

Added by Andrés Pías over 1 year ago. Updated over 1 year ago.

Status:ResueltaStart date:02/22/2021
Priority:AltaDue date:
Assignee:Daniel Viñar Ulriksen% Done:

80%

Category:-Spent time:1.00 hour
Target version:-

Description

Recientemente en más de una ocasión ha pasado que una cuenta es usurpada y comienza a mandar grandes cantidades de spam, sin embargo nuestro script no las ha detectado. Esto sucedió el 24/25 de Enero y también volvió a pasar hoy 22 de Febrero. Si bien el script sigue funcionando, en ocasiones, el usurpador usa otro patrón de comportamiento que pasa desapercibido por el script.

Hoy por hoy estamos en 22 listas negras. Abro esta tarea para documentar la salid de esas listas y para hacer una mini investigación de porque falló el script. Si bien estamos explorando la incorporación de una Proxmox Mail Gateway conviene entender que fue lo que pasó.

History

#1 Updated by Andrés Pías over 1 year ago

  • % Done changed from 0 to 20

Acabo de pedir deslit en estas sitios:

Además, envié un ticket a SORBS porque el Deslist manual por el sitio no estará disponible hasta el próximo Lunes.

#2 Updated by Andrés Pías over 1 year ago

Hice la remoción de la lista negra:

De SORBS nos responden lo siguiente, hay que esperar al Lunes o bien responder el mail detallando el problema.

​​​​​Network 164.73.98.28/32: This host has been listed once before but is not eligible for delisting until at least Mon Mar 1 20:21:33 2021 GMT+0

We are setting this ticket to 'Rejected', as an action is required
in your part before we can update our lists regarding the IP address(es)
you wrote to us about.

Action required: As you are requesting a delisting of an IP/Network
that has either sent spam recently or has sent so much spam that it
exceeds our preset thresholds you must reply to this message justifying
your cause and why you think you should be delisted.

Someone will then review your case and reply accordingly.

Thank you

Son of Robbie the Robot on behalf of SORBS Support
SORBS Support

#3 Updated by Victor Alem over 1 year ago

También estamos listados en Trend Micro: http://www.mail-abuse.com/cgi-bin/lookup?ip_address=164.73.98.28

Ya hice la solicitud de remoción de la lista.

#4 Updated by Andrés Pías over 1 year ago

Hoy logro completar desde Gödel, el desliteo en SORBS:

You have successfully delisted 164.73.98.28
Warning: This is the second time 164.73.98.28 has been delisted, next time you are listed you will have to wait longer to get delisted.

Victor también nota que en uceprotect está todo el bloque de la Rau en Lista negra, sin embargo no están listeados individualmente ni Gödel ni Dirac.

#5 Updated by Andrés Pías over 1 year ago

Hoy tuvimos la cuenta rodolfo.franco usurpada generando mucho spam. El script no la detecto porque el usurpador no usó el sasl_method, sino que debe haber hechos los envios usando el webmail.

root@godel:~/scripts# cat /var/log/mail.log | grep rodolfo | grep sasl
Mar  8 09:04:04 godel postfix/smtpd[17961]: 7273C115A2DB: filter: RCPT from godel.csic.edu.uy[164.73.98.28]: <rodolfo.franco@cut.edu.uy>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<rodolfo.franco@cut.edu.uy> to=<bsaslimited@hotmail.com> proto=ESMTP helo=<godel.csic.edu.uy>
Mar  9 11:59:20 godel postfix/smtpd[18153]: EE43C115B716: filter: RCPT from localhost[127.0.0.1]: <rodolfo.franco@cut.edu.uy>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<rodolfo.franco@cut.edu.uy> to=<tsasl@hotmail.com> proto=ESMTP helo=<godel.csic.edu.uy>

Conclusion: hay que modificar el script para que incluya cualquier método de envío, no restringuir la busqueda solo al método SASL (vía cliente remoto).

#6 Updated by Andrés Pías over 1 year ago

  • Status changed from En curso to Resuelta
  • Assignee changed from Andrés Pías to Daniel Viñar Ulriksen
  • % Done changed from 20 to 80

El script de detección de spam ahora está siendo versionado acá en el GitLab.

Ahora le incorporamos el chequeo de envíos masivos de mails desde el webmail. Es decir, ahora al log también lo filtramos por "from=". Seguimos atentos para ver si obtenemos buenos resultados. El script se seguirá mejorando en el GitLab.

Paso para revisar y cerrar.

Also available in: Atom PDF