meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
aplicaciones:zimbra:spam [2020/02/27 14:08] – [Spam] lcaplicaciones:zimbra:spam [2023/01/18 14:36] (actual) – editor externo 127.0.0.1
Línea 1: Línea 1:
-===== Spam =====+{{tag>zimbra  spam }} 
 +===== Problemas con el Spam =====
 === Para ver cuentas comprometidas === === Para ver cuentas comprometidas ===
 como root <sxh>cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nr</sxh> como root <sxh>cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nr</sxh>
  
 +También podemos usar <sxh> cat /var/log/zimbra.log | grep failure</sxh> para buscar intentos de autentificación erróneos
 +
 +Para ver problemas de autentificación hay que mirar el log /opt/zimbra/log/audit.log
 +
 +Para ver las ips desde las que están lanzando los intentos de validación 
 +<sxh>tail -f /var/log/maillog | grep warning </sxh>
 +
 +<note tip>En https://www.abuseipdb.com/ podemos comprobar si dicha ip ya se ha notificado o notificarla nosotros como sospechosa</note>
 +<note tip>En https://ipinfo.io/ podemos saber el rango de ip perteneciente a un proveedor para filtrar todo el rango</note>
 === Mover los mensajes a la cola retenidos === === Mover los mensajes a la cola retenidos ===
 Si tenemos muchos mensajes de spam en nuestro servidor deberíamos de moverlos a la cola retenidos para posteriormente analizarlos. Como root vamos a cada cola y los movemos a la cola **hold** Si tenemos muchos mensajes de spam en nuestro servidor deberíamos de moverlos a la cola retenidos para posteriormente analizarlos. Como root vamos a cada cola y los movemos a la cola **hold**
Línea 17: Línea 27:
  
 Una vez que hemos pasado todos los mensajes a la carpeta hold pasamos a verificar dentro de la carpeta los que tienen como ip origen el equipo atacante y en mi caso los elimino directamente Una vez que hemos pasado todos los mensajes a la carpeta hold pasamos a verificar dentro de la carpeta los que tienen como ip origen el equipo atacante y en mi caso los elimino directamente
-<sxh> grep -l 185.236.203.159 * | xargs -I{} rm {}</sxh> +<sxh> cd /opt/zimbra/data/postfix/spool/hold 
-<note>si son muchos mensajes no podras usar *, tendras que acortar la búsqueda para que no te de error por ejemplo usando A34* en vez de * para analizar sólo los mensajes que empiezan por ese sufijo</note>+grep -l 185.236.203.159 * | xargs -I{} rm {}</sxh> 
 +<note>si son muchos mensajes no podras usar *, tendras que acortar la búsqueda para que no te de error por ejemplo usando A34* en vez de * para analizar sólo los mensajes que empiezan por ese prefijo</note> 
 +==== Reputación ==== 
 +https://jejo.es/posts/servidores/reputacion_servidor_correo/ 
 + 
 +Para evitar el spam además de asegurar nuestro servidor de correos debemos de configurar lo siguiente: 
 +  - Crear una Firma DKIM válida 
 +  - Verificacion DMARC 
 +  - Certificados ssl validados por una autoridad de certificacion, tipo Let´s Encrypt (https://letsencrypt.org/es/
 +  - Comprobar que no estamos en una Lista Negra. Si es asi hay que solicitar el desbloqueo 
 +  - Superar SPF (Sender Policy Framework) 
 + 
 + 
 +Para comprobar la reputación de nuestro servidor de correos  podemos usar:  
 +    - https://mxtoolbox.com/SuperTool.aspx 
 +    - http://www.mail-tester.com/ 
 +    - https://www.senderbase.org/ 
 +    - https://multirbl.valli.org 
 +    - https://www.senderscore.org/ 
  
 ==== Referencias ==== ==== Referencias ====
   * https://wiki.zimbra.com/wiki/Spamming_troubleshooting   * https://wiki.zimbra.com/wiki/Spamming_troubleshooting
   * https://www.sbarjatiya.com/notes_wiki/index.php/CentOS_7.x_Zimbra_mail_queue_management   * https://www.sbarjatiya.com/notes_wiki/index.php/CentOS_7.x_Zimbra_mail_queue_management
 +  * https://wiki.zimbra.com/wiki/Enforcing_a_match_between_FROM_address_and_sasl_username_8.5
 +  * https://wiki.zimbra.com/wiki/Compromised_account_results_in_the_server_being_used_to_send_out_spam_mail