Re: Meu endereço do roteador na lista do sorbs

Fri, 12 Mar 2010 09:53:40 -0800

Este é um assunto que envolve um leque de soluções. Você deve verificar se seu servidor não está fazendo relay (se ele permite alguém de fora usá-lo para enviar mensagens). Se uma máquina estiver contaminada e estiver agindo como um servidor de e-mail, ela enviará através do gateway e daí a razão para seu gateway aparecer no Sobs. O que pode ser feito é fazer com que seu firewall bloqueie o envio de mensagens e só aceite tráfico de e-mail pelo seu servidor de e-mails. 
No iptables, fica assim:
iptables -A FORWARD -s ip-do-svr-e-mails/mask -d 0.0.0.0/0.0.0.0 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d ip-do-svr-e-mails/mask -p tcp --dport 25 -j ACCEPT 


# Para liberar acesso a outros servidores de e-mails para o usuários da 
rede interna

iptables -A FORWARD -d pop3.uol.com.br -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d smtp.uol.com.br -p tcp --dport 25 -j ACCEPT


iptables -A FORWARD -p tcp --dport 25 -j DROP # Bloqueia todo trafego da 
porta 25



Em 12-03-2010 11:27, Daniel escreveu:

Bom dia pessoal, tudo bem?


É o seguinte: tenho um servidor firewall/gateway e atrás deles tenho 
minha rede interna e servidores Web (2).


Um desses servidores web envia e-mail para os usuários que se cadastram.
Nesses dias, ao sistema enviar um e-mail, ele retornou o seguinte erro:

MESSAGEM DO SORBS.

Database of vulnerable/hacked servers
Address and Port:     *MEU_IP*
Record Created:     Tue Mar 9 21:10:25 2010 GMT
Record Updated:     Wed Mar 10 02:53:07 2010 GMT

Additional Information:     Spam Sending Trojan or Proxy attempted to 
send mail from/to from=email1 to=email2 helo=<[MEU_IP]>

*Currently active and flagged to be published in DNS*

If you wish to request a delisting please do so through the Support 
System <https://www.dnsbl.au.sorbs.net/cgi-bin/support?IP=MEU_IP>.



Meu problema é o seguinte: eu vasculhei os servidores e nào achei nada 
de errado. Poderia uma máquina da rede estar infectada e, como a saída 
é pelo ip do gateway, ele ter bloqueado o envio de qualquer endereço 
da rede interna pela lista do sorbs?



Como se cadastram ips nessa lista? Poderia ser sacanagem de um usuário 
que reporta uma mensagem fictícia dizendo que meu servidor que enviou??


Abraço a todos e obrigado desde já
Daniel





--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]























					Responder a