matnews.info - Mi mundo de administrador y offtopics

Las listas RBL, recogen todas las ips, que han sido reportadas como spammers, o se ha detectado que se ha hecho un ataque spam desde ellas.
Son muy útiles para los servidores de correo, de hecho es muy recomendable tenerlas activadas, puesto que pese a que tenga muchos detractores evitan cantidades ingentes de envíos de spam a nuestros clientes. Bien es cierto que no es 100 % infalible y que hay correos que se cuelan y correos que rechaza que debería permitir.
Pero desde mi punto de vista es mucho mayor el beneficio que generan que el perjuicio.

Una vez que hemos explicado un poco en que consisten, voy a hacer un pequeño tutorial de como implementarlas en una instalación de qmail.

(aviso, que esta implementación puede variar dependiendo de la versión de qmail que se haya instalado, y de que modo esté realizada la instalación, pero es bastante general)

- Editaremos el fichero de arranque de qmail-smtpd:

cd /var/qmail/supervise/qmail-smtpdvi run

Y añadiremos el texto que aparece en negrita:

/usr/local/bin/tcpserver -v -R -l "$LOCAL" -x /etc/tcp.smtp.cdb -c "$MAXSMTPD" \-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \/usr/local/bin/rblsmtpd \-r dnsbl.sorbs.net \-r bl.spamcop.net \-r sbl-xbl.spamhaus.org \/var/qmail/bin/qmail-smtpd mail.domain.com \/home/vpopmail/bin/vchkpw /usr/bin/true 2>&1

Como podéis ver checkeamos en este caso 3 listas dnsbl.sorbs.net, bl.spamcop.net y sbl-xbl.spamhaus.org, hay muchísimas más, éstas son unas de mis favoritas, aunque podéis buscar más por internet si queréis.
Nota: Verificad que en vuestra instalación de qmail existe el ejecutable /usr/local/bin/rblsmtpd, puesto que de no existir, no os funcionará nada.
Y finalmente reiniciar qmail:

 qmailctl restart 

Veréis que no tardais mucho tiempo en ver alguna entrada del siguiente estilo:

@4000000047cbe89a0ef108fc tcpserver: pid 18628 from 88.250.21.173@4000000047cbe89a0f060be4 tcpserver: ok 18628 xx.xxx.xxx.xx:xx.xxx.xx.xx:25 dsl88-250-5549.ttnet.net.tr:88.250.21.173::61701@4000000047cbe89a15cb662c rblsmtpd: 88.250.21.173 pid 18628: 451 Blocked - see http://www.spamcop.net/bl.shtml?88.250.21.173

Lo que viene a significar que el servidor ha rechazado el correo.

Podéis encontrar más información en este link.

Últimamente está muy de moda hacer spam inverso. Y en que consiste esto dirás …
Pues consiste en que el spammer manda un mail a una dirección inexistente cuyo dominio tienes hospedado en tu servidor de correo. El remitente de ese correo es el verdadero objetivo del spammer.
De esta manera el mail entra en el servidor y tu servidor al ver que no existe ese mensaje le envía un failure notice con todo el mensaje al remitente, y de esta manera, ya está hecho el spam.

Ej más o menos gráfico:

mail original del spammer:

Remitente: alquequierohacerspammer@pobrecillo.com
destinatario: cuenta_que_no_existe@tudominio.com
Asunto: que bien hago spam
Body: lo que quiere mandar

ese mail llega a nuestro servidor y al ver que cuenta_que_no_existe@tudominio.com no existe en el servidor manda este mensaje de respuesta al remitente:

Remitente: MAILER-DAEMON@tudominio.com
destinatario: alquequierohacerspammer@pobrecillo.com
Asunto: failure notice
Body: el failure notice + el cuerpo del mensaje.

Nota: Mailer-daemon es la cuenta de correo que se encarga de mandar los mails de fallo en un servidor de correo.

Esta técnica está muy de moda últimamente y les debe de ir muy bien… en varios servidores de los que administro, nos encontamos de vez en cuando con un ataque de este estilo.
El modo de evitarlo consiste en configurar que el servidor en vez de dar el fallo, mande los mails a destinatarios no existentes a la basura.
Esto que realmente no es una técnica muy correcta, nos evita este problema.

¿ Por qué no es una técnica muy correcta ?
Porque muchos spammers testean direcciones de correo de esta manera, mandan mails de forma indiscriminada, y claro los mails que no devuelven “failure notice” en principio son considerados como “buenos”, y pasan a listas que después serán spammeadas.

¿ Y qué me conviene hacer ?
Si eres un usuario normal con un alojamiento virtual, la única pequeña pega es que si alguien te manda un mail y se equivoca al escribir tu dirección y en vez de poner pepito@dominio.com pone pepitoc@dominio.com, y ésta dirección no existe, no será avisado con el failure notice y pensará que el mail te ha llegado correctamente, las repercusiones dependen un poco de si el dominio es un negocio o de ocio.

Si eres administrador de sistemas lo que te convendrá es mandarlo todo a la basura (devnull), y de esta manera evitar que si te hacer un ataque de spam inverso te puedan llegar a saturar la salida de correos y te chupen ancho de banda. Pero siempre teniendo en cuenta que tus clientes te dejen, jejeje.

Technorati Tags: correo, spam, offtopic

Más en concreto, como aumentar el número de conexiones remotas para qmail-send, en una instalación de qmail-ldap (en principio debería de ser algo parecido en otra instalación de qmail).

Debemos de ir al directorio /var/qmail/control y crear el fichero concurrencyremote cuyo contenido sea el número de conexiones remotas que deseamos permitir:
cd /var/qmail/control
echo “60″ > con currencyremote

Si desearamos cambiar el número de conexiones locales, se haría del mismo modo, pero con el fichero concurrencylocal:

cd /var/qmail/control
echo “10″ > concurrencylocal

Reinciamos qmail y funcionando.

/etc/init.d/qmail restart && tail -f /var/qmail/log/qmail/current


@4000000047a71ddb132567c4 status: local 0/10 remote 0/60
@4000000047a71ddb13ea03cc status: local 1/10 remote 0/60
@4000000047a71ddb1517cd9c delivery 1: success: did_1+0+0/
@4000000047a71ddb1517ecdc status: local 0/10 remote 0/60
@4000000047a71ddb15180064 end msg 9232029


Un saludo.




Technorati Tags: linux, correo, qmail, qmail-ldap