eso al aprecer es una prueba que se esta haciendo de seguridad informatica
sobre los servidores de correo abiertos y que pueden ser victimas de eso, lo
mismo sucede desde cucert la web tiene una herramienta www.cucert.cu/dns
para verificar si tu dns permite recursividad, de permitirla y tu no saberlo
el personal encargado de la osri le pasan una comunicacion al director de tu
entidad informando del problema y la solucion del mismo debe ser inmediata,
en la misma pagina con la herramienta te indican como solucionarlo tanto en
windows como en linux, al parecer estan haciendo test aleatorios a
diferentes dominios, eso ya te digo lo estan haciendo tanto para dns como
para smtp y puede ser tu caso, no es en si un ataque interno y menos de ese
dominio que es de seguridad informatica, es mi opinion, de todas maneras por
lo que vi del log, esta bien configurado asi que no debes tener problemas,
revisa la recursividad del dns y estaras completo. Saludos
----- Original Message -----
From: "Alberto José García Fumero" <albe...@ettpartagas.co.cu>
To: <gutl-l@jovenclub.cu>
Sent: Thursday, May 15, 2014 7:37 AM
Subject: [Gutl-l] Intento de usarnos como open relay
Buenos días a todos. Por acá quizás no tan buenos. Yo al menos me estoy
sintiendo hoy como Monk (it's a jungle out there; confusion and disorder
everywhere!).
Voy a obviar los mil y un mensajes de spam que llegan a la lista todos
los días y que como uno de los administradores (o administraidores, dirá
alguien) debo frenar y pasar a lista negra. Eso va por descontado.
Al revisar los logs de mi trabajo como todos las mañanas, tarea que me
lleva un buen rato (chequeos con tiger, tripwire, reportes de cuanta
tarea se lance por el cron, todos los avisos que me manda el Postfix por
tener activado el notify_classes, el aviso de intento de phishing que me
dió el filtro ClamAv que le tengo puesto a mi Evolution, advertencias
del spamassassin y del ClamAV- y tuve que desactivar temporalmente OSSEC
en el servidor porque ya era demasiado) me he encontrado además con que
han intentado usarnos de open relay desde una dirección reportado como
de cucert.cu, según los logs y un chequeo rápido en el DNS:
Non-authoritative answer:
226.179.55.200.in-addr.arpa name = mercurio.cucert.cu.
Véase:
Para: Postmaster <postmas...@partagas.ettpartagas.co.cu>
Asunto: Postfix SMTP server: errors from
mercurio.cucert.cu[200.55.179.226]
Fecha: Wed, 14 May 2014 18:06:22 -0400 (CDT)
Transcript of session follows.
Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU)
In: EHLO nmap.scanme.org
Out: 250-partagas.ettpartagas.co.cu
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<usert...@nmap.scanme.org>
Out: 250 2.1.0 Ok
In: RCPT TO:<r...@nmap.scanme.org>
Out: 554 5.7.1 <r...@nmap.scanme.org>: Relay access denied
In: VRFY root
Out: 252 2.0.0 root
In: EXPN root
Out: 502 5.5.2 Error: command not recognized
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
Tengo otro reporte de otra oleada más fuerte:
Transcript of session follows.
Out: 220 partagas.ettpartagas.co.cu ESMTP Postfix (Debian/GNU)
In: EHLO nmap.scanme.org
Out: 250-partagas.ettpartagas.co.cu
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antis...@nmap.scanme.org>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antis...@partagas.ettpartagas.co.cu>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relaytest%nmap.scanme.org@[190.6.79.98]>
Out: 554 5.7.1 <relaytest%nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relaytest%nmap.scanme....@partagas.ettpartagas.co.cu>
Out: 554 5.7.1 <relaytest%nmap.scanme....@partagas.ettpartagas.co.cu>:
Relay
access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relayt...@nmap.scanme.org">
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relaytest%nmap.scanme.org">
Out: 554 5.7.1 <relaytest%nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org@[190.6.79.98]>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<"relayt...@nmap.scanme.org"@[190.6.79.98]>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@[190.6.79.98]>: Relay access
denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu>
Out: 554 5.7.1 <relayt...@nmap.scanme.org@partagas.ettpartagas.co.cu>:
Relay
access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<@[190.6.79.98]:relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<@partagas.ettpartagas.co.cu:relayt...@nmap.scanme.org>
Out: 554 5.7.1 <relayt...@nmap.scanme.org>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<nmap.scanme.org!relaytest>
Out: 554 5.7.1 <nmap.scanme.org!relaytest>: Relay access denied
In: RSET
Out: 250 2.0.0 Ok
In: MAIL FROM:<antispam@[190.6.79.98]>
Out: 250 2.1.0 Ok
In: RCPT TO:<nmap.scanme.org!relaytest@[190.6.79.98]>
Out: 554 5.7.1 <nmap.scanme.org!relaytest@[190.6.79.98]>: Relay access
denied
In: RSET
Al parecer, el sistema está rechazando todos los ataques, pero me
preocupa que se originen en un bloque de direcciones de Cuba. No tengo
salida al mar, así que me imagino que que si la tuviera la cosa hubiera
sido más violenta.
¿A alguien más le está pasando esto?
Hugo, hermano: ayer te pasé un mensaje haciéndote una consulta cerca de
cómo guardar las trazas de iptables. Si te es posible dame una idea, que
ya ves en qué ando.
--
M.Sc. Alberto García Fumero
Usuario Linux 97 138, registrado 10/12/1998
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est limpio.
--------------------------------------------------------------------------------
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
---
Este mensaje no contiene virus ni malware porque la protección de avast!
Antivirus está activa.
http://www.avast.com
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
