Topic: Aiuto (problema spam) [risolto]

[pepz]

ciao,
il mio provider mi ha segnalato che dal mio indirizzo partono parecchie email di spam ...  premesso che ho le porte 80 , 443 e 21 mappate per vedere SME dall' esterno, vorrei capire se e' effettivamente SME a fare spam, o se magari e' un altra macchina win ...

Nel caso sia effettivamente SME, come posso risolvere il problema?... ho visto che mi mancano un po di aggiornamenti sono sufficenti quelli? ...  
Uso la versione 7.1

Grazie.

[Stefano]

ciao,
il mio provider mi ha segnalato che dal mio indirizzo partono parecchie email di spam ...  premesso che ho le porte 80 , 443 e 21 mappate per vedere SME dall' esterno, vorrei capire se e' effettivamente SME a fare spam, o se magari e' un altra macchina win ...

Nel caso sia effettivamente SME, come posso risolvere il problema?... ho visto che mi mancano un po di aggiornamenti sono sufficenti quelli? ...  
Uso la versione 7.1

Grazie.

1) i client che server di posta smtp hanno impostato?
2) per i client è possibile utilizzare altri server smtp? in poche parole, possono connettersi alla porta 25 di un qualsiasi ip esterno alla tua rete?
3) sme come è configurato? server, gateway?
4) hai un firewall?
5) hai qualche applicazione web/php installata e raggiungibile dall'esterno che permetta l'invio di email?

Ciao

Stefano

[pepz]

grazie x la tempestivita'....  come immagini, un simile problema lo vorrei snocciolare al + presto...
comunque...

comunque, tutte le tue ipotesi sono corrette.... ti riepilogo la mia situazione...

- uso x tutti i client l' smtp del mio provider
- io non ho la porta 25 esposta,
- il mio SME e' server-only
- io non ho un vero firewall, ma il mio router ha un firewall integrato ...
- la tua ipotesi 5 immagino sia la + plausibile.... infatti ho recentemente installato , a titolo di prova, 2 siti CSM ( tipo nuke php )
A me non risulta possano inviare email, ma non conoscendoli molto... non ci giurerei...

aggiungo altre info...   ho la webmail disattivata, fino a 10 minuti fa avevo anche il filtro antispam disattivato...  
non utilizzando comunque le email, tale filtro ha un efficacia??

ripeto una cosa importante....  non ho la certezza matematica che sia sme a generare spam.... sulla rete esistono altre macchine windows ....  
non esiste qualche log in sme dove posso verificare tali attivita?

grazie.

[Stefano]

grazie x la tempestivita'....  come immagini, un simile problema lo vorrei snocciolare al + presto...
comunque...

comunque, tutte le tue ipotesi sono corrette.... ti riepilogo la mia situazione...

- uso x tutti i client l' smtp del mio provider
- io non ho la porta 25 esposta,
- il mio SME e' server-only
- io non ho un vero firewall, ma il mio router ha un firewall integrato ...
- la tua ipotesi 5 immagino sia la + plausibile.... infatti ho recentemente installato , a titolo di prova, 2 siti CSM ( tipo nuke php )
A me non risulta possano inviare email, ma non conoscendoli molto... non ci giurerei...

aggiungo altre info...   ho la webmail disattivata, fino a 10 minuti fa avevo anche il filtro antispam disattivato...  
non utilizzando comunque le email, tale filtro ha un efficacia??

ripeto una cosa importante....  non ho la certezza matematica che sia sme a generare spam.... sulla rete esistono altre macchine windows ....  
non esiste qualche log in sme dove posso verificare tali attivita?

grazie.

sarò breve:
- imposta il tuo sme in modo che instradi le mail tramite il server smtp del tuo provider
- imposta tutti i tuoi client in modo che usino sme come server smtp
- se puoi, imposta il firewall del tuo router in modo che sia solo sme a poter connettersi all'esterno alla 25
- chiudi la 80 e la 443 e verifica le tue applicazioni..

Ciao

Stefano

[pepz]

grazie per le risposte....
purtroppo non posso applicare tutto quello che mi hai consigliato....
- ripeto...  se esistono log o caselle di posta che testimoniano un attivita' di spam, dove li posso trovare?

bye

[Stefano]

grazie per le risposte....
purtroppo non posso applicare tutto quello che mi hai consigliato....
- ripeto...  se esistono log o caselle di posta che testimoniano un attivita' di spam, dove li posso trovare?

bye

allora...

puoi guardare /var/log/qmail/current
e vedere se sme manda posta, ma a mio parere il problema è sui client..

quanto al "non posso", sono curioso di sapere il perchè..

ciao
Stefano

[pepz]

in effetti questo log non mi sembra strano... mi sa che allora e' partito tutto da un client...
ti rispondo anche alla tua giusta curiosita' sulla mia frase ''non posso'' ...
Data la tipologia del mio lavoro, meta' dei PC che ho in rete non sono miei... li metto in rete per fare manutenzione... ( e quindi non posso modificare le impostazioni)
Ho dei sospetti in particolare su un pc che non aveva nessun problema software in apparenza, ma poi non e' stato cosi....
tentando di fare win update, mi e' apparsa le famigerata schermata blu... fin qui nulla di strano... (e' windows, perche' non dovrebbe diventare blu.. ?! ) ma mi ha incuriosito il nome del file che creava il crash....  LZX32.SYS  ...
e' bastato metterlo in google x avere le idee molto + chiare....
Nota..  questo file e' passato inossevato a 5 antivirus / antispyware ... non so se tra le varie cose che combina c'e' anche quella di creare spam...
Ho richiesto al mio provider se possibile di avere il mio IP interno della macchina che spediva le email...  spero che lunedi sapro' qualcosa di +...

bye

[Stefano]

Data la tipologia del mio lavoro, meta' dei PC che ho in rete non sono miei... li metto in rete per fare manutenzione... ( e quindi non posso modificare le impostazioni)
Ho dei sospetti in particolare su un pc che non aveva nessun problema software in apparenza, ma poi non e' stato cosi....
tentando di fare win update, mi e' apparsa le famigerata schermata blu... fin qui nulla di strano... (e' windows, perche' non dovrebbe diventare blu.. ?! ) ma mi ha incuriosito il nome del file che creava il crash....  LZX32.SYS  ...
e' bastato metterlo in google x avere le idee molto + chiare....
Nota..  questo file e' passato inossevato a 5 antivirus / antispyware ... non so se tra le varie cose che combina c'e' anche quella di creare spam...
Ho richiesto al mio provider se possibile di avere il mio IP interno della macchina che spediva le email...  spero che lunedi sapro' qualcosa di +...

bye

due consigli:
- fai girare un anti rootkit su quel client
- se fai questo tipo di lavoro, creati una 'sottorete' dietro ad un fw dove blocchi tutto.. in questo  modo vedi subito se qualcosa non va.

a me è accaduta la stessa cosa: macchina apparentemente pulita, attaccata alla rete 'protetta', ha cercato di spedire 2500 messaggi in 3 minuti circa.. era un rootkit..

hth
ciao
Stefano

[pepz]

ciao,
al di la che devo sicuramente creare una sottorete x pulire i pc infetti, ci tenevo a dire che non e' stato SME a creare spam!
(mi hanno infatti confermato l'immissione dello spam dal pc col rootkit)

bye