correo electrónico - tareas #3522 - proyectos de la ... · varios usuarios de correos...

20
Correo electrónico - Tareas #3522 Problemas con envío de correo por falso SPAM 10/13/2014 12:57 PM - Victor Alem Status: Cerrada Start date: 10/13/2014 Priority: Urgente Due date: Assignee: Cielito - Coord. regional % Done: 70% Category: Estimated time: 0.00 hour Target version: Spent time: 13.00 hours Description El problema que reportamos en la tarea #3113 respecto al servidor de listas, ahora se extendió al servidor de correo alojado en Godel (en principio, puede que también le suceda lo mismo a Dirac). Varios usuarios de correos institucionales del CURE han reportado que cuando envían correos desde el zimbra a GMail, estos no llegan a destino (posiblemente pase lo mismo con Yahoo y Hotmail). Las pruebas que he hecho no he recibido rebotes, puede que hayamos sido puestos en lista negra. Related issues: Related to Listas de correo - Errores # 3113: problemas de rebotes en las dir... Cerrada 07/03/2014 Related to Correo electrónico - Tareas # 3527: Redactar un mensaje y armar un... Cerrada 10/15/2014 Related to Correo electrónico - Tareas # 1723: Estudiar y definir SPFs Rechazada 08/07/2013 Related to Postulaciones posgrados - Errores # 3615: Problema envío de correos Cerrada 11/03/2014 Related to Correo electrónico - Tareas # 3625: Blacklisteos en Davinci Cerrada 11/05/2014 Related to Correo electrónico - Tareas # 3654: Elementos de corta-fuegos cont... Nueva 11/08/2014 Related to Correo electrónico - Tareas # 3655: Definir casillas rfc 2142 en n... En curso 11/08/2014 Related to Correo electrónico - Tareas # 4376: Blacklisteo de Dirac Por Hotmail Cerrada 05/06/2015 History #1 - 10/13/2014 01:04 PM - Andrés Pías Sería bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema). #2 - 10/13/2014 04:23 PM - Andrés Pías Hoy tenemos un reporte de una persona en el CUP. Esnil Acosta, quien tenía un virus en su máquina hace unos días spameo a todas las cuentas de godel. Hoy puede mandar correos pero no puede recibir. #3 - 10/14/2014 05:00 AM - Daniel Viñar Ulriksen En la consola se ven en diferidos más de 5000 correos de spam: provienen de una IP en India, de una dirección usurpada, a múltiples destinatarios). Por otro lado, los logs pararon por falta de espacio: /var de 5Mb llena. #5 - 10/14/2014 06:08 AM - Daniel Viñar Ulriksen - % Done changed from 0 to 20 #7 - 10/14/2014 06:11 AM - Daniel Viñar Ulriksen - Status changed from Nueva to En curso 10/10/2018 1/20

Upload: vanthu

Post on 10-Oct-2018

232 views

Category:

Documents


0 download

TRANSCRIPT

Correo electroacutenico - Tareas 3522

Problemas con enviacuteo de correo por falso SPAM

10132014 1257 PM - Victor Alem

Status Cerrada Start date 10132014

Priority Urgente Due date

Assignee Cielito - Coord regional Done 70

Category Estimated time 000 hour

Target version Spent time 1300 hours

Description

El problema que reportamos en la tarea 3113 respecto al servidor de listas ahora se extendioacute al servidor de correo alojado en Godel (en

principio puede que tambieacuten le suceda lo mismo a Dirac)

Varios usuarios de correos institucionales del CURE han reportado que cuando enviacutean correos desde el zimbra a GMail estos no llegan a

destino (posiblemente pase lo mismo con Yahoo y Hotmail)

Las pruebas que he hecho no he recibido rebotes puede que hayamos sido puestos en lista negra

Related issues

Related to Listas de correo - Errores 3113 problemas de rebotes en las dir Cerrada 07032014

Related to Correo electroacutenico - Tareas 3527 Redactar un mensaje y armar un Cerrada 10152014

Related to Correo electroacutenico - Tareas 1723 Estudiar y definir SPFs Rechazada 08072013

Related to Postulaciones posgrados - Errores 3615 Problema enviacuteo de correos Cerrada 11032014

Related to Correo electroacutenico - Tareas 3625 Blacklisteos en Davinci Cerrada 11052014

Related to Correo electroacutenico - Tareas 3654 Elementos de corta-fuegos cont Nueva 11082014

Related to Correo electroacutenico - Tareas 3655 Definir casillas rfc 2142 en n En curso 11082014

Related to Correo electroacutenico - Tareas 4376 Blacklisteo de Dirac Por Hotmail Cerrada 05062015

History

1 - 10132014 0104 PM - Andreacutes Piacuteas

Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)

2 - 10132014 0423 PM - Andreacutes Piacuteas

Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas de

godel Hoy puede mandar correos pero no puede recibir

3 - 10142014 0500 AM - Daniel Vintildear Ulriksen

En la consola se ven en diferidos maacutes de 5000 correos de spam provienen de una IP en India de una direccioacuten usurpada a muacuteltiples destinatarios)

Por otro lado los logs pararon por falta de espacio var de 5Mb llena

5 - 10142014 0608 AM - Daniel Vintildear Ulriksen

- Done changed from 0 to 20

7 - 10142014 0611 AM - Daniel Vintildear Ulriksen

- Status changed from Nueva to En curso

10102018 120

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

8 - 10142014 0612 AM - Daniel Vintildear Ulriksen

Bloqueo a fuego por firewall iptables la IP 1006450109 de la cual veniacutean muacuteltiples correos de SPAM Auacuten no me queda muy claro como---gt iquestcuenta

usurpada y acceso smtp

9 - 10142014 0614 AM - Daniel Vintildear Ulriksen

Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas

de godel Hoy puede mandar correos pero no puede recibir

bloqueo por ahora al menos la cuenta de Esnil Acosta hasta tener una visioacuten clara del problema

10 - 10142014 0618 AM - Daniel Vintildear Ulriksen

Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)

salieron centenas de miles de correos (ver consola ver datos de traacutefico 18Gb en un diacutea) a todos lados en particular cantidad de mails (sin duda de

estafa) falsamente provenientes de fedex

Eso provocoacute que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen

En cuanto tengamos el problema bien identificado tenemos que solicitar el desblacklisteo

11 - 10142014 0634 AM - Daniel Vintildear Ulriksen

- Done changed from 20 to 30

A priori luego de haber identificado la cuenta usurpada haberla bloqueado y haber borrado todos los mensajes de spam auacuten en cola podemos proceder

a pedir que la IP de Godel sea des-blacklisteada

Estaacute blacklisteada en 4 lugares httpmxtoolboxcomSuperToolaspxaction=blacklist3a164736819amp38run=toolpage

We notice you are on a blacklist

Checking 164736819 against 87 known blacklists

Listed 4 times with 2 timeouts

Blacklist Reason TTL ResponseTime

LISTED BARRACUDA 164736819 was listed Detail 900 156 Ignore

LISTED LASHBACK 164736819 was listed Detail 300 109 Ignore

LISTED PSBL 164736819 was listed Detail 2100 140 Ignore

LISTED WPBL 164736819 was listed Detail 2100 109 Ignore

10102018 220

12 - 10142014 0642 AM - Daniel Vintildear Ulriksen

Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request

La razoacuten que les digo

One of our users felt in a scam and gave her password to a spammer

We have identified her blocked the account and erased all illegitimate pending messages

Responde

Your confirmation number is BBR21413276017-13826-20220

13 - 10142014 0648 AM - Daniel Vintildear Ulriksen

Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una

segunda vez

14 - 10142014 0653 AM - Daniel Vintildear Ulriksen

httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )

Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado

Currently listed in PSBL Yes

Spam and removal history for 164736819 (times in UTC)

2014-10-13 024954428434 received spamtrap mail

Y el correo-trampa recibido que confirma en varias cosas la sospecha

From infofedexcom Mon Oct 13 024953 2014

Delivery-date Mon 13 Oct 2014 024953 -0400

Received from [164736819] (helo=godelcsiceduuy)

by mailvictimexample with esmtp (Exim 463)

(envelope-from ltinfofedexcomgt)

id 1XdZS3-000416-K9

for victimsmtpexample Mon 13 Oct 2014 024953 -0400

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A

Mon 13 Oct 2014 043050 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)

with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807

10102018 320

Mon 13 Oct 2014 042811 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)

with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)

Received from [1006450109] (unknown [11620372201])

by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5

Mon 13 Oct 2014 042354 -0200 (UYST)

MIME-Version 10

Subject We Have A Package In Your Name

To ltinfofedexcomgt

From FedEx Express Delivery Service ltinfofedexcomgt

Date Mon 13 Oct 2014 115301 +0530

Reply-To delivery11outlookcom

Y el deslisteo es muy claro y simple

Removal Results

IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a

couple of minutes

Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by

164736819

15 - 10142014 0654 AM - Daniel Vintildear Ulriksen

psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html

16 - 10142014 0656 AM - Daniel Vintildear Ulriksen

En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo

17 - 10142014 0700 AM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas

Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello

18 - 10142014 0818 AM - Daniel Vintildear Ulriksen

- Assignee changed from Andreacutes Piacuteas to Ernesto Mello

En realidad es a Ernesto que corresponde pasar esta tarea

10102018 420

19 - 10142014 0833 AM - Daniel Vintildear Ulriksen

- File 20141014Num_msg_godelpng added

La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre

20141014Num_msg_godelpng

A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el

blacklisteado El domingo unos 2 millones el lunes unos 6 millones

20 - 10142014 0624 PM - Victor Alem

Daniel Vintildear Ulriksen escribioacute

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

Fui yo

21 - 10152014 0248 PM - Daniel Vintildear Ulriksen

El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html

Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar

su resolucioacuten

22 - 10202014 1134 AM - Daniel Vintildear Ulriksen

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de

que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado

24 - 10202014 1207 PM - Daniel Vintildear Ulriksen

Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables

En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado

Crackers_y_spammers_godel_dirac

en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel

En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)

25 - 10202014 1213 PM - Daniel Vintildear Ulriksen

- Done changed from 30 to 40

Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas

A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo

- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten

individual respecto a las consecuencias de su actuar

10102018 520

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

8 - 10142014 0612 AM - Daniel Vintildear Ulriksen

Bloqueo a fuego por firewall iptables la IP 1006450109 de la cual veniacutean muacuteltiples correos de SPAM Auacuten no me queda muy claro como---gt iquestcuenta

usurpada y acceso smtp

9 - 10142014 0614 AM - Daniel Vintildear Ulriksen

Hoy tenemos un reporte de una persona en el CUP Esnil Acosta quien teniacutea un virus en su maacutequina hace unos diacuteas spameo a todas las cuentas

de godel Hoy puede mandar correos pero no puede recibir

bloqueo por ahora al menos la cuenta de Esnil Acosta hasta tener una visioacuten clara del problema

10 - 10142014 0618 AM - Daniel Vintildear Ulriksen

Seriacutea bueno saber cuales son esas direcciones de correo que rebotan (desde donde a donde para comprender el problema)

salieron centenas de miles de correos (ver consola ver datos de traacutefico 18Gb en un diacutea) a todos lados en particular cantidad de mails (sin duda de

estafa) falsamente provenientes de fedex

Eso provocoacute que los servicios comunitarios de RBL y otros por el estilo nos blacklisteen

En cuanto tengamos el problema bien identificado tenemos que solicitar el desblacklisteo

11 - 10142014 0634 AM - Daniel Vintildear Ulriksen

- Done changed from 20 to 30

A priori luego de haber identificado la cuenta usurpada haberla bloqueado y haber borrado todos los mensajes de spam auacuten en cola podemos proceder

a pedir que la IP de Godel sea des-blacklisteada

Estaacute blacklisteada en 4 lugares httpmxtoolboxcomSuperToolaspxaction=blacklist3a164736819amp38run=toolpage

We notice you are on a blacklist

Checking 164736819 against 87 known blacklists

Listed 4 times with 2 timeouts

Blacklist Reason TTL ResponseTime

LISTED BARRACUDA 164736819 was listed Detail 900 156 Ignore

LISTED LASHBACK 164736819 was listed Detail 300 109 Ignore

LISTED PSBL 164736819 was listed Detail 2100 140 Ignore

LISTED WPBL 164736819 was listed Detail 2100 109 Ignore

10102018 220

12 - 10142014 0642 AM - Daniel Vintildear Ulriksen

Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request

La razoacuten que les digo

One of our users felt in a scam and gave her password to a spammer

We have identified her blocked the account and erased all illegitimate pending messages

Responde

Your confirmation number is BBR21413276017-13826-20220

13 - 10142014 0648 AM - Daniel Vintildear Ulriksen

Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una

segunda vez

14 - 10142014 0653 AM - Daniel Vintildear Ulriksen

httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )

Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado

Currently listed in PSBL Yes

Spam and removal history for 164736819 (times in UTC)

2014-10-13 024954428434 received spamtrap mail

Y el correo-trampa recibido que confirma en varias cosas la sospecha

From infofedexcom Mon Oct 13 024953 2014

Delivery-date Mon 13 Oct 2014 024953 -0400

Received from [164736819] (helo=godelcsiceduuy)

by mailvictimexample with esmtp (Exim 463)

(envelope-from ltinfofedexcomgt)

id 1XdZS3-000416-K9

for victimsmtpexample Mon 13 Oct 2014 024953 -0400

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A

Mon 13 Oct 2014 043050 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)

with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807

10102018 320

Mon 13 Oct 2014 042811 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)

with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)

Received from [1006450109] (unknown [11620372201])

by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5

Mon 13 Oct 2014 042354 -0200 (UYST)

MIME-Version 10

Subject We Have A Package In Your Name

To ltinfofedexcomgt

From FedEx Express Delivery Service ltinfofedexcomgt

Date Mon 13 Oct 2014 115301 +0530

Reply-To delivery11outlookcom

Y el deslisteo es muy claro y simple

Removal Results

IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a

couple of minutes

Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by

164736819

15 - 10142014 0654 AM - Daniel Vintildear Ulriksen

psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html

16 - 10142014 0656 AM - Daniel Vintildear Ulriksen

En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo

17 - 10142014 0700 AM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas

Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello

18 - 10142014 0818 AM - Daniel Vintildear Ulriksen

- Assignee changed from Andreacutes Piacuteas to Ernesto Mello

En realidad es a Ernesto que corresponde pasar esta tarea

10102018 420

19 - 10142014 0833 AM - Daniel Vintildear Ulriksen

- File 20141014Num_msg_godelpng added

La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre

20141014Num_msg_godelpng

A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el

blacklisteado El domingo unos 2 millones el lunes unos 6 millones

20 - 10142014 0624 PM - Victor Alem

Daniel Vintildear Ulriksen escribioacute

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

Fui yo

21 - 10152014 0248 PM - Daniel Vintildear Ulriksen

El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html

Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar

su resolucioacuten

22 - 10202014 1134 AM - Daniel Vintildear Ulriksen

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de

que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado

24 - 10202014 1207 PM - Daniel Vintildear Ulriksen

Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables

En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado

Crackers_y_spammers_godel_dirac

en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel

En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)

25 - 10202014 1213 PM - Daniel Vintildear Ulriksen

- Done changed from 30 to 40

Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas

A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo

- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten

individual respecto a las consecuencias de su actuar

10102018 520

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

12 - 10142014 0642 AM - Daniel Vintildear Ulriksen

Solicito desblacklisteo en barracuda httpbarracudacentralorgrblremoval-request

La razoacuten que les digo

One of our users felt in a scam and gave her password to a spammer

We have identified her blocked the account and erased all illegitimate pending messages

Responde

Your confirmation number is BBR21413276017-13826-20220

13 - 10142014 0648 AM - Daniel Vintildear Ulriksen

Dejo httpblacklistlashbackcom para el final piden aceptar teacuterminos de uso y condiciones y pretenden cobrar si se usa el servicio de delist una

segunda vez

14 - 10142014 0653 AM - Daniel Vintildear Ulriksen

httppsblorglistingip=164736819 (soacutelo cobra con una publicidad de Lacalle Pou )

Da una informacioacuten interesante la fecha y hora del uacuteltimo spam observado

Currently listed in PSBL Yes

Spam and removal history for 164736819 (times in UTC)

2014-10-13 024954428434 received spamtrap mail

Y el correo-trampa recibido que confirma en varias cosas la sospecha

From infofedexcom Mon Oct 13 024953 2014

Delivery-date Mon 13 Oct 2014 024953 -0400

Received from [164736819] (helo=godelcsiceduuy)

by mailvictimexample with esmtp (Exim 463)

(envelope-from ltinfofedexcomgt)

id 1XdZS3-000416-K9

for victimsmtpexample Mon 13 Oct 2014 024953 -0400

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 446C23E798A

Mon 13 Oct 2014 043050 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10032)

with ESMTP id F73mLj1VYLQL Mon 13 Oct 2014 043045 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 5545F3E7807

10102018 320

Mon 13 Oct 2014 042811 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)

with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)

Received from [1006450109] (unknown [11620372201])

by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5

Mon 13 Oct 2014 042354 -0200 (UYST)

MIME-Version 10

Subject We Have A Package In Your Name

To ltinfofedexcomgt

From FedEx Express Delivery Service ltinfofedexcomgt

Date Mon 13 Oct 2014 115301 +0530

Reply-To delivery11outlookcom

Y el deslisteo es muy claro y simple

Removal Results

IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a

couple of minutes

Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by

164736819

15 - 10142014 0654 AM - Daniel Vintildear Ulriksen

psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html

16 - 10142014 0656 AM - Daniel Vintildear Ulriksen

En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo

17 - 10142014 0700 AM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas

Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello

18 - 10142014 0818 AM - Daniel Vintildear Ulriksen

- Assignee changed from Andreacutes Piacuteas to Ernesto Mello

En realidad es a Ernesto que corresponde pasar esta tarea

10102018 420

19 - 10142014 0833 AM - Daniel Vintildear Ulriksen

- File 20141014Num_msg_godelpng added

La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre

20141014Num_msg_godelpng

A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el

blacklisteado El domingo unos 2 millones el lunes unos 6 millones

20 - 10142014 0624 PM - Victor Alem

Daniel Vintildear Ulriksen escribioacute

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

Fui yo

21 - 10152014 0248 PM - Daniel Vintildear Ulriksen

El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html

Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar

su resolucioacuten

22 - 10202014 1134 AM - Daniel Vintildear Ulriksen

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de

que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado

24 - 10202014 1207 PM - Daniel Vintildear Ulriksen

Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables

En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado

Crackers_y_spammers_godel_dirac

en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel

En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)

25 - 10202014 1213 PM - Daniel Vintildear Ulriksen

- Done changed from 30 to 40

Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas

A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo

- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten

individual respecto a las consecuencias de su actuar

10102018 520

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Mon 13 Oct 2014 042811 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port 10026)

with ESMTP id 06HV7xG77hnf Mon 13 Oct 2014 042807 -0200 (UYST)

Received from [1006450109] (unknown [11620372201])

by godelcsiceduuy (Postfix) with ESMTPSA id A17013E73B5

Mon 13 Oct 2014 042354 -0200 (UYST)

MIME-Version 10

Subject We Have A Package In Your Name

To ltinfofedexcomgt

From FedEx Express Delivery Service ltinfofedexcomgt

Date Mon 13 Oct 2014 115301 +0530

Reply-To delivery11outlookcom

Y el deslisteo es muy claro y simple

Removal Results

IP address 164736819 has been removed from the database It should be gone from the DNSBL list PSBL after the next zone file rebuild in a

couple of minutes

Note that it will be added back in the next time it sends email to one of our spam traps so please minimise any abusive behaviour by

164736819

15 - 10142014 0654 AM - Daniel Vintildear Ulriksen

psbl tambieacuten aconseja otra lista RBLs httpmultirblvalliorglookup164736819html

16 - 10142014 0656 AM - Daniel Vintildear Ulriksen

En httpwwwwpblinfo el delisteo es automaacutetico con el tiempo

17 - 10142014 0700 AM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - adminsys to Andreacutes Piacuteas

Andreacutes siendo un problema en el CUP te paso esta tarea Porfa verlo con Ernesto Viacutector tambieacuten estubo trabajando en ello

18 - 10142014 0818 AM - Daniel Vintildear Ulriksen

- Assignee changed from Andreacutes Piacuteas to Ernesto Mello

En realidad es a Ernesto que corresponde pasar esta tarea

10102018 420

19 - 10142014 0833 AM - Daniel Vintildear Ulriksen

- File 20141014Num_msg_godelpng added

La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre

20141014Num_msg_godelpng

A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el

blacklisteado El domingo unos 2 millones el lunes unos 6 millones

20 - 10142014 0624 PM - Victor Alem

Daniel Vintildear Ulriksen escribioacute

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

Fui yo

21 - 10152014 0248 PM - Daniel Vintildear Ulriksen

El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html

Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar

su resolucioacuten

22 - 10202014 1134 AM - Daniel Vintildear Ulriksen

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de

que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado

24 - 10202014 1207 PM - Daniel Vintildear Ulriksen

Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables

En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado

Crackers_y_spammers_godel_dirac

en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel

En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)

25 - 10202014 1213 PM - Daniel Vintildear Ulriksen

- Done changed from 30 to 40

Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas

A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo

- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten

individual respecto a las consecuencias de su actuar

10102018 520

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

19 - 10142014 0833 AM - Daniel Vintildear Ulriksen

- File 20141014Num_msg_godelpng added

La evolucioacuten de la cantidad de destinatarios de mensajes en Godel el domingo 12 y el lunes 13 de octubre

20141014Num_msg_godelpng

A priori el problema parece contenido Esta curva parece indicar la cantidad de destinatarios en los mensajes en cola por ende indicar cuando empexoacute el

blacklisteado El domingo unos 2 millones el lunes unos 6 millones

20 - 10142014 0624 PM - Victor Alem

Daniel Vintildear Ulriksen escribioacute

En realidad la cuenta ya estaba bloqueada iquestViacutector la bloqueaste vos

Fui yo

21 - 10152014 0248 PM - Daniel Vintildear Ulriksen

El servidor Godel todaviacutea estaacute blacklisteado en al menos cuatro listas RBL httpmultirblvalliorglookup164736819html

Estaacute en manos de los administradores de este servidor (dominios cur cut cure cup) en particular del de donde se origioacuten el problema finalizar

su resolucioacuten

22 - 10202014 1134 AM - Daniel Vintildear Ulriksen

De nuevo tenemos un aviso del CERT y vemos en la consola Zimbra supervisar -gt Colas de correo que hay maacutes de 18000 correos trancados signo de

que efectrivamente se estaacute enviando SPAM y se tiene el servidor blacklisteado

24 - 10202014 1207 PM - Daniel Vintildear Ulriksen

Luego de estos problemas SERIOS de SPAM y blacklisteo podemos adoptar una poliacutetica de blacklisteo a nivel del iptables

En el archivo FWBuilder de firewall para CSIC (ver [[servidoresSubir_iptables_a_servidores]]) agregamos un seudo-Host llamado

Crackers_y_spammers_godel_dirac

en el que podemos poner todas las IPs que observamos como atacando o procurando atacar o spamear dirac o godel

En la poliacutetica de Godel ta estaacute filtrado luego podemos ver para Dirac (Y para el spam habraacute que ver el tema de los MX secundarios)

25 - 10202014 1213 PM - Daniel Vintildear Ulriksen

- Done changed from 30 to 40

Ademaacutes de la medida de contencioacutenb en los fw iptables limpieacute los maacutes de 18000 mensajes ilegiacutetimos en colas

A priori no hay maacutes actividad de spam en el servidor Dejo al equipoid e admin de godeo

- el trabajo de bloquear las cuentas de quienes identificaron como lxs usuarixs que dejaron usurpar su contreasentildea Conviene una sensibilizacioacuten

individual respecto a las consecuencias de su actuar

10102018 520

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

- hacer el trabajo de deslisteo en las diferentes referencias mencionadas en las notas de esta tarea

26 - 10222014 1059 AM - Ernesto Mello

- Done changed from 40 to 50

Hice el bloqueo a las 4 cuentas que apareciacutean como comprometidas eacostabechevarriamarinas y notteg

Limpieacute los 40000 mensajes que proveniacutean de ips de la India(115241) y los 6 o 7 mil que implicaban estas cuentas que pongo antes

Me queda hacer un recorrido por los usuarios y asegurarme que pongan claves mas seguras distintas a la anterior(sobre todo a la que pusieron el la

trampa ( )

Revisar si seguimos en alguna blacklist

27 - 10222014 0304 PM - Victor Alem

Acabo de remover la IP de Godel de acaacute

httppsblorglistingip=164736819

iexclEspero no hayan maacutes

28 - 10222014 0401 PM - Andreacutes Piacuteas

Soliciteacute desblacklisteo en

httpanonmailsdednsblphpip=164736819

httpipadminjunkemailfiltercomremovephpip=164736819

httpwwwwpblinfocgi-bindetailcgiip=164736819

Acaacute ya la saqueacute a la ip

httpdnsblinpsdequerycgilang=enamp38ip=164736819amp38quick=1

En el primer link encontre algo interesante para nuestra configuracioacuten a poner en praacutectica

Usage with Spamassasin

To utilize the DNSBL in SpamAssasin add the following ruleset to your local configuration file etcmailspamassassinlocalcf

spamdnsblanonmailsde

header RCVD_IN_ANONMAILS evalcheck_rbl(anonmails-lastexternal spamdnsblanonmailsde)

describe RCVD_IN_ANONMAILS Relay is listed in spamdnsblanonmailsde

tflags RCVD_IN_ANONMAILS net

score RCVD_IN_ANONMAILS 30

29 - 10262014 1200 PM - Daniel Vintildear Ulriksen

OjO siguen habiendo mails reales de personas a personas que siguen deferred en godel Ver especiacuteficamente problemas con Yahoo 3113note-3

10102018 620

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Tenemos algunos rechazos de yahoo nos indican la direccioacuten httppostmasteryahoocom421-ts03html

Que termina por recomendar leer sus best-practices httpshelpyahoocomkbpostmasterpractices-senders-sln3435html

30 - 10272014 0450 PM - Andreacutes Piacuteas

Estuve aplicando algunas coniguraciones sobre Spam Assassin para que los usuarios dejen de recibir estos spams

Estuve mirando estos links

httpwikizimbracomwikiSpamAssassin_Customizations

httpswwwjorgedelacruzes20140512zimbra-anti-spam

Agregueacute en los blacklists a magisterial para ver si dejamos de recibir de esa direccioacuten

rootgodel~ su ndash zimbra

zimbragodel~confsa$ nano salocalcf

blacklist_from managerialmanagerialuy

Despueacutes se reinician estos servicios

zimbragodel~confsa$ zmmtactl restart ampamp zmamavisdctl stop ampamp

gt zmamavisdctl start

Unas de las RBLs mas comunmentes usadas son las de SpamHaus y Barracura Las configureacute asiacute

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client bbarracuracentralorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rbl_client zenspamhausorg

zimbragodel~$ zmprov mcf +zimbraMtaRestriction reject_rhsbl_client dblspamhausorg

31 - 10272014 1002 PM - Daniel Vintildear Ulriksen

- Assignee changed from Ernesto Mello to Cielito - Coord regional

Configureacute en Dirac las RBL y otras BL como indicado en esta wiki de zimbra

Extrantildeo en dirac las configuraciones de Comprobaciones de DNS estaban de-seleccionadas Pensaba haberlas activado

32 - 10272014 1148 PM - Daniel Vintildear Ulriksen

Estuve identificando los mensajes de error de los correos retrasados (deferred) con el filtro

grep deferred varlogzimbralog | less

Hice una solicitud de deslisteo en yahoo viendo los coacutedigos de error httphelpyahoocomlusyahoomailpostmasterbulkv2html

10102018 720

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Y otra en httpwwwmail-abusecomcgi-binlookupip_address=164736819

33 - 10282014 1227 AM - Daniel Vintildear Ulriksen

Recibiacute

------- Mensaje original --------

Asunto [MAPS 729232] (rbl) WWW remove for 164736819

Fecha Mon 27 Oct 2014 190247 -0700 (PDT)

De Franklynn Uy via RT ltrblmail-abuseorggt

Hello

Thank you for contacting Trend Micro about this IP address 164736819 on the RBL This IP was listed because we have seen spam activities

from it We have probated (temporarily remove) this IP address from RBL Please note that if we receive spam from this IP address in any given

time again it will automatically get re-listed on RBL without further notice

Please allow up to 24 hours for this change to reach all Trend Micro customers

===

Kind regards

Trend Micro Inc

Spam Investigations Team

-------------------------------------------- Managed by Request Tracker

34 - 10282014 0748 AM - Daniel Vintildear Ulriksen

Respecto a personalizacioacuten de SpamAssassin tambieacuten estaacute esta paacutegina de la comunidad httpwikizimbracomwikiImproving_Anti-spam_system

En dirac pongo el blacklisting de los spamers de Uruguay (managerialuy mktuy etc)

35 - 10282014 0910 AM - Daniel Vintildear Ulriksen

- File 2014-10-28_09-07-12_numero_msg_godelpng added

La evolucuioacuten de la cantidad de mensajes en Godel

2014-10-28_09-07-12_numero_msg_godelpng

36 - 10282014 0242 PM - Andreacutes Piacuteas

- File CUP-direcciones-reenviotxt added

- File esnilreenvioinfopng added

Creeacute un script en el servidor godel optzimbrafind_redirecsh para averiguar el listado de direcciones que tienen reenviacuteos en Zimbra

10102018 820

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Tiene una liacutenea dentro que indica el dominio desde donde se van a sacar (cupeduuy cureeduuy) Podriacutea continuar mejorando el script para que el

paraacutemetro pueda ser pasado desde liacutenea de comando

Ajunto el listado de mails con reenviacuteos en el CUP Encontreacute dos reenviacuteos de Esnil y Echevarria a la direccion inffomailcom Ya los desactiveacute por eso

entiendo no les estaba llegando copia local de los mails o sea la config estaba como muestra la imaacutegen

Ya quiteacute estos reenviacuteos

37 - 10282014 0501 PM - Daniel Vintildear Ulriksen

Solicito el deslisteo de Microsoft httpssupportmsncomeformaspxproductKey=edfsmsbl2amp38ct=eformtsamp38scrx=1

(encontrado en un foro)

38 - 10282014 0511 PM - Daniel Vintildear Ulriksen

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

39 - 10282014 0527 PM - Daniel Vintildear Ulriksen

Outlookcom responde pero por ahora sigue en error

-------- Mensaje reenviado --------

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Fecha Tue 28 Oct 2014 190219 +0000

De WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom

Estimadoa

Tenga en cuenta que su nuacutemero de vale aparece en la liacutenea del asunto de este mensaje

10102018 920

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

16473681932

1647368832

Nota Los errores son poco probables pero en caso de que se indique uno reenviacutee la direccioacuten IP o el intervalo de direcciones IP en concreto

Gracias

Servicio de soporte de entrega de Outlookcom

No responda a este mensaje ya que procede de un buzoacuten de correo desatendido Si responde a este correo electroacutenico el mensaje no se

atenderaacute ni se reenviaraacute Este servicio se usa uacutenicamente para mensajes de correo electroacutenico salientes y no para responder consultas

40 - 10282014 0604 PM - Daniel Vintildear Ulriksen

El 281014 1734 WINLVEDFSWW00ESMSFRMDTST01SPT00EMcssonemicrosoftcom escribioacute

Asunto Informe sobre problema de entrega a Outlookcom SRX1267437116ID

Estimadoa Daniel Vintildear

Hemos terminado de revisar las direcciones IP que nos ha enviado En la siguiente tabla encontraraacute los resultados de nuestra investigacioacuten

No cumple los requisitos para ser desbloqueada

16473681932 1647368832

Nuestra investigacioacuten ha determinado que las IP arriba indicada(s) no cumplen los requisitos para ser desbloqueadas

Aseguacuterese de que sus emails cumplen con las directivas procedimientos y directrices de Outlookcom disponibles en el siguiente enlace

httpmaillivecommailpoliciesaspx

Para que nuestro Servicio de Soporte de Entrega investigue su problema responda a este mensaje con una descripcioacuten detallada del mismo

incluyendo los mensajes de error que recibe y un agente se pondraacute en contacto con usted

Independientemente del estado de entrega Outlookcom recomienda a los remitentes que se unan a dos programas gratuitos que dan visibilidad en

el traacutefico de Outlookcom a las IPs remitentes a la reputacioacuten de la IP remitente con Outlookcom y a las tasas de quejas de los usuarios de

Outlookcom

El Junk Email Reporting Program (JMRP Programa de informes sobre correo no deseado) Cuando un usuario de Outlookcom marca un email

como ldquono deseadordquo los remitentes que forman parte de este programa obtienen una copia del mensaje que es reenviado a la direccioacuten email que

elijan Esto les permite ver queacute mensajes estaacuten siendo marcados como no deseados e identificar mensajes que no desean mandar Para unirse al

programa siga el siguiente enlace

httpsupportmsncomeformaspxproductKey=edfsjmrppamp38page=support_home_options_form_byemailamp38ct=eformts

El programa Smart Network Data Services (SNDS) Este programa le permite controlar la ldquosaludrdquo y la reputacioacuten de sus IPs registradas al

proporcionar datos sobre el traacutefico como el volumen de mensajes y las tasas de quejas que se han originado desde sus IPs Para inscribirse siga

el siguiente enlace httppostmasterlivecomsnds

No existe una uacutenica solucioacuten para mantener o mejorar la buena reputacioacuten de una IP pero estos programas le ayudan a gestionar de manera

proactiva su ecosistema de correo electroacutenico para asegurar una mejor entrega a usuarios de Outlookcom

Atentamente

10102018 1020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Outlookcom Deliverability Support

41 - 10282014 0633 PM - Andreacutes Piacuteas

Aviso por las dudas que en la tarea 3113 tambien soliciteacute desblacklisteo

42 - 10292014 1241 AM - Daniel Vintildear Ulriksen

Respuesta a Hotmail

He leido las recomendaciones que nos indican y a priori las respetamos

Al intentar escribir a su servicio mi MTA obtiene la siguiente respuesta

El 281014 1724 Mail Delivery System escribioacute

lthaitioutlookesgt host mx3hotmailcom[655592168] said 550 SC-001

(SNT004-MC3F3) Unfortunately messages from 164736819 werent sent

Please contact your Internet service provider since part of their network

is on our block list You can also refer your provider to

httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL

FROM command)

En mis logs encuentro el momento cuando empiezan a rechazar

Oct 28 091050 godel postfixsmtp[3726] B47E3900239 to=lthaitioutlookesgt orig_to=ltpablorosanocuteduuygt

relay=127001[127001]10024 delay=2 delays=0140018 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250 200

Ok queued as 6EB7090023B)

Oct 28 091050 godel postfixsmtp[3718] 6FCB5900ABC to=ltgabynog1hotmailcomgt orig_to=ltgabrielanogueiracuteduuygt

relay=127001[127001]10024 delay=16 delays=0330013 dsn=200 status=sent (250 200 from MTA(smtp[127001]10025) 250

200 Ok queued as 6E6BC900232)

Oct 28 091050 godel postfixqmgr[22743] 6FCB5900ABC removed

Oct 28 091051 godel postfixsmtp[3745] 72A27900ABF to=ltastuhldreherhotmailcomgt relay=mx3hotmailcom[655592184]25

delay=097 delays=01901051017 dsn=500 status=bounced (host mx3hotmailcom[655592184] said 550 SC-001 (SNT004-MC4F48)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 to=lthaitioutlookesgt relay=mx2hotmailcom[655592168]25 delay=13

delays=007011091017 dsn=500 status=bounced (host mx2hotmailcom[655592168] said 550 SC-001 (SNT004-MC3F45)

Unfortunately messages from 164736819 werent sent Please contact your Internet service provider since part of their network is on our block

list You can also refer your provider to httpmaillivecommailtroubleshootingaspxerrors (in reply to MAIL FROM command))

Oct 28 091051 godel postfixsmtp[3747] 92EE0900AC5 lost connection with mx2hotmailcom[655592168] while sending RCPT TO

Cabe recalcar que las cuentas a las que pasan correos en ese mismo momento son simplemente gente usa su correo institucional (el nuestro)

re-dirigieacutendolo enteramente a su casilla personal en su servicio

Nuestro servidor de correo tuvo efectivamente problemas de seguridad porque 3 cuentas fueron usurpadas de manera fraudulenta pero el problema a

10102018 1120

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

sido contenido como lo demuestran los grafos qu hemos publicado acaacute

httpsproyectosinterioreduuyissues3522note-35

Como puede observar nuestro servidor de correo 16473681932 ya no estaacute listada en niguna RBL

Le agradeceriacutea tenga a bien investigar el caso y cesar de considerar relevar la reputacioacuten de nuestros servidores de correos y pasar a aceptar sus

mensajes

De lo contrario le pido nos indique con mayor precisioacuten cuales son las caracteriacutesticas que Uds consideran deben ser modificadas

43 - 10292014 0146 AM - Daniel Vintildear Ulriksen

El 291014 0101 Hotmail Sender Support escribioacute

our IP (1647368832) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

El 291014 0136 Daniel Vintildear Ulriksen escribioacute

El 291014 0112 Hotmail Sender Support escribioacute

Hello Daniel

In order to proceed with our investigation of the IP 16473681932 please provide the following details as you have mentioned that there was a

recent compromise that took place on your system

Date(s) this compromise occurred

by October 13th

Brief description of the compromise

three user accounts passwords were compromised porblably after have answered to a scam Our server therefore started accepting relaying the

spam the frauders sent

Brief description of what was done to resolve the compromise

Identifiyng the fault accounts bloc them erase the forwarding configuration they have put and monitoring closely the server

And we started working on SPF and DKIM

44 - 10292014 1224 PM - Andreacutes Piacuteas

Creeacute un script en el servidor godel optzimbrafind_redirecsh

Viacute tu chat y la referencia gracias Pero en el servidor no lo encuentro

10102018 1220

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

El archivo estaacute en godel

apiasgodeloptzimbra$ ls -altr find_redirecsh

-rwxr-xr-x 1 zimbra root 262 oct 28 1420 find_redirecsh

45 - 10292014 0345 PM - Daniel Vintildear Ulriksen

- Done changed from 50 to 60

El 291014 1532 Hotmail Sender Support escribioacute

Hello

My name is Smita and I work with the Outlookcom Deliverability Support Team

Your IP (164736819) was blocked by Outlookcom because Outlookcom customers have reported email from this IP as unwanted I have

conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem This

process may take 24 - 48 hours to replicate completely throughout our system

46 - 10312014 0425 PM - Andreacutes Piacuteas

Instale razor y pyzor que son otros filtros anti-spam que se basan en bases de datos existentes de mensajes de spam

httpmysoporteblogspotcom201310mejorando-el-filtrado-del-spamassassinhtml

httpswwwjorgedelacruzes20140512zimbra-anti-spam

sudo apt-get install razor

sudo apt-get install pyzor

rootzimbra~ su - zimbra

zimbrazimbra~$ pyzor ndashhomedir optzimbradataamavisdpyzor discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --create

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor --discover

zimbrazimbra~$ razor-admin -home=optzimbradataamavisdrazor -register -user apiascupeduuy

zimbrazimbra~$ nano optzimbraconfsasauserscf

pyzor

use_pyzor 1

pyzor_path usrbinpyzor

pyzor_timeout 20

razor

use_razor2 1

47 - 11032014 1214 PM - Daniel Vintildear Ulriksen

10102018 1320

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Faltariacutea deslistear

22 164736819 Unsubscribe Blacklist UBL ublunsubscorecom Listed

Query 196873164ublunsubscorecom

A Record 127002

TTL 600

TXT Sender has sent to LashBack Unsubscribe Probe accounts

Visit httpblacklistlashbackcom for more information

si alguien quiere poner su mail y aceptar las condiciones )

48 - 11052014 1200 PM - Daniel Vintildear Ulriksen

- Assignee changed from Cielito - Coord regional to Viacutector Viana

50 - 11072014 1259 PM - Andreacutes Piacuteas

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

51 - 11072014 0500 PM - Daniel Vintildear Ulriksen

Tentativa de deslistar de httpwwwdnsblchileorgeliminarhtml

tuve que solicitar un registro siacute o siacute con la casilla postmastercsiceduuy me respondioacute que seraacute tratado en 5 diacuteas haacutebiles

52 - 11072014 0514 PM - Viacutector Viana

Removido de la listas de

- DNSBL (DNS-based blacklist) of NiX Spam httpwwwdnsblmanitunet

- DNSBL spamdnsblanonmailsde httpwwwanonmailsderemovephp

- RBL listing httpwwwusenixorgukcontentrblhtmlhow_do_i_delist

53 - 11072014 0605 PM - Daniel Vintildear Ulriksen

Hay 113000 correos en cola (nuevamente un record) es decir que sin duda hay nuevas cuentas usurpadas iexcliexcliexcltenemos que organizar nuestra

comunicacioacuten

Veo muacuteltiples IPs de origen 10064XY que a priori no son IPs legiacutetimas en el espacio de direccionamiento puacuteblico

httpwhoisarinnetrestnetNET-100-64-0-0-1

httpstoolsietforghtmlrfc6598

Suprimo los correos correspondientes y en el firewall agrego el 100640010 (por ahora a mano luego vemos en fwbuilder y conviene crear un grupo

IP marcianas que se rechaza sistemaacuteticamente)

10102018 1420

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

54 - 11072014 0624 PM - Daniel Vintildear Ulriksen

Volvemos a ejecutar el script que devuelve las cuentas con redirecciones para identificar las que puedan haber sido usurpadas (se nota en la redireccioacuten

que tiene) En notas privadas reporto aquiacute las cuentas usurpadas

56 - 11072014 0635 PM - Viacutector Viana

Andreacutes Piacuteas escribioacute

Estaba mirando los mails con reenviacuteos desde el cut y veo 2 cosas que me parecieron extrantildeas Estariacutea bien comprobar si esto es correcto

- astuhldrehercuteduuy -gt astuhldreherhotmailcom

- pablorosanocuteduuy -gt haitioutlookes

Es correcto

57 - 11072014 0746 PM - Pablo Garciacutea

Una forma de frenar el enviacuteo de spam

httpwwwcadinorcomblogzimbra-implementando-postfwd-para-securizar-nuestro-entorno

58 - 11072014 0747 PM - Victor Alem

Vemos en este enlace un script que nos puede ser uacutetil

Corremos este script que nos proporcionaron colegas del MIDES

binbash

Este script revisa el log de zimbra y contabiliza la cantidad de autentificaciones sasl por usuario por minuto

Si un usuario supera el maximo establecido se bloquea la cuenta y se envia un mail al administrador

logfile=varlogzimbralog

maxmails=10

mydomain=ltmi dominiogt

support=inrormatica$mydomain

ano=`date +Y`

mes=`date +m`

dia=`date +d`

hora=`date +HM`

echo Control de spam iniciado el $dia$mes$ano a la hora $hora

Se crea una lista con las cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 | cut -f -1 -d gt tmpactive_accounts

zgrep -i auth ok $logfile | sed s g | awk -F[ ]+ print $3$4$9 | uniq -c | sort -n |

while read line

do

count=`echo $line | cut -d -f 1`

10102018 1520

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

userid=`echo $line | cut -d -f 3 | cut -f -1 -d`

timestamp=`echo $line | cut -d -f 2`

active=`grep $userid tmpactive_accounts`

bloqueada=`grep $userid rootcuentas_bloqueadas | uniq`

if [ $count -gt $maxmails ] ampamp [ $active == $userid ] ampamp [ $userid = $bloqueada ] then

echo $userid gtgt rootcuentas_bloqueadas

echo La tasa maxima de emails ha sido exedida por $userid$mydomain la cuenta fue bloqueada

su - zimbra -c optzimbrabinzmprov ma $userid zimbraAccountStatus locked

Preparo texto para el mensaje

echo Subject La cuenta $userid fue bloqueada por excesivas conexiones gt tmpmensaje

echo La cuenta $userid fue bloqueada tras tener $count conexiones realizadas a lasgtgt tmpmensaje

echo $timestamp por favor pida que el usuario cambie su contrasena gtgt tmpmensaje

Envio el correo al administrador

cat tmpmensaje | optzimbrapostfixsbinsendmail $support

rm -f tmpmensaje

Actualizo la lista de cuentas activas

su - zimbra -c optzimbrabinzmaccts | grep | grep active | awk print $1 gt tmpactive_accounts

rm -f tmpactive_accounts

fi

done

echo Control de spam finalizado el $dia$mes$ano a la hora $hora

exit 0

59 - 11072014 0836 PM - Victor Alem

Corremos este comando para verificar las cuentas con redireccioacuten

zmaccts | grep | awk print $1 | while read line do echo $line zmprov ga $line | grep zimbraPrefMailForwardingAddress done

60 - 11082014 0903 AM - Daniel Vintildear Ulriksen

OjO surjen problemas al intentar acceder a la consola al mismo tiempo que se corren scripts Da error y en el shell sale

channel 3 open failed connect failed Connection refused

61 - 11082014 1011 AM - Daniel Vintildear Ulriksen

Ayer al final bloqueamos el puerto 25 en entrada y en salida con iptables

hoy de mantildeana las colas ya estaban en miles y fue posible terminar de limpiarla quedan 42 correos que parecen legiacutetimos

10102018 1620

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

62 - 11082014 1013 AM - Daniel Vintildear Ulriksen

entramos con una persona del cut a su casilla y encontramos 2 correos fraudulentos ===gt en cuanto re-establecemos el servicio (o antes) hay que

comunicar claramente a los usuarios para disminuir el riesgo que otros caigan en la misma trampa

63 - 11082014 1015 AM - Daniel Vintildear Ulriksen

Estamos blacklisteados hasta el 1411 en httpwwwuceprotectnet pretenden tener un express delist a US$ 108 (iquestiquestquieacuten usa esta RBL iquestiexclestafa

---gt no entrammos en esta y primero vemos todo el resto

Ese tambieacuten nos bloquea en httpwwwjustspamorgcheck-an-ipip=164736819

Pediacute una cuenta en httpwwwsorbsnet

En httpwwwspamcannibalorgcannibalcgipage=lookupamp38lookup=164736819 vemos los estragos que nos son imputables

Click for WhoisIP 164736819 UY

godelcsiceduuy

Uruguay

Return-Path ltinfoloandeskcomgt

Received from mail2bizsystemsnet (ns2bizsystemsnet

[50025192])

by bzsorg (81148114) with ESMTP id sA6IGkI12765

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101646 -0800

Received from godelcsiceduuy (godelcsiceduuy [164736819])

by mail2bizsystemsnet (81438143) with ESMTP id sA6IGiJg009017

for ltmichaelbizsystemscomgt Thu 6 Nov 2014 101645 -0800

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 3F32B902F66

Thu 6 Nov 2014 160755 -0200 (UYST)

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10032)

with ESMTP id jkqjfxl1I4pA Thu 6 Nov 2014 160753 -0200 (UYST)

Received from localhost (localhost [127001])

by godelcsiceduuy (Postfix) with ESMTP id 45093902633

Thu 6 Nov 2014 160726 -0200 (UYST)

X-Virus-Scanned amavisd-new at correocureeduuy

Received from godelcsiceduuy ([127001])

by localhost (godelcsiceduuy [127001]) (amavisd-new port

10026)

with ESMTP id LNtU38RkBSaQ Thu 6 Nov 2014 160725 -0200 (UYST)

Received from [1006430233] (unknown [11620372123])

by godelcsiceduuy (Postfix) with ESMTPSA id 6226B90423D

Thu 6 Nov 2014 155546 -0200 (UYST)

Content-Type textplain charset=iso-8859-1

MIME-Version 10

Content-Description Mail message body

Subject 3 Loan Offer Apply Today Before Offer Exires

To Recipients ltinfoloandeskcomgt

From Fastest Loan Approval ltinfoloandeskcomgt

10102018 1720

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Date Thu 06 Nov 2014 232531 +0530

Reply-To hijabdeskfoxmailcom

Message-Id lt201411061755476226B90423Dgodelcsiceduuygt

X-Scanned-By MIMEDefang 267 on 50025192

Content-Transfer-Encoding 8bit

X-MIME-Autoconverted from quoted-printable to 8bit by bzsorg id

sA6IGkI12765

X-EsetId 0DB22A27B4DF393056F174

X-PMFLAGS 34078848 0 1 P7EQCVHACNM

We can help you with a genuine loan to meet your needs

Do you need a personal or business loan without stress and quick

approval

Do you need an urgent loan today No Credit Checks

LOAN APPROVAL IN 60MINS

GUARANTEED SAME DAY TRANSFER

100 APPROVAL RATE

64 - 11082014 1026 AM - Daniel Vintildear Ulriksen

Incluso con cuenta SORBS no me quiso deslistear Puse un ticket y les escribiacute

We are a University and provide email to teachers and workers with this server

We had a few compromised accounts that are now identified and blocked Queues in the server have been cleaned also

We will send immediately an awareness message about phishing to all users

65 - 11082014 0110 PM - Daniel Vintildear Ulriksen

- Assignee changed from Viacutector Viana to Cielito - Coord regional

Deslisteo solicitado acaacute con mismo texto httpwwwsrntoolscomsrn164736819

Acaacute httpipadminjunkemailfiltercomremovephp estamos en lista amarilla lo que dice que estaacute bien

Conviene pensar el tema de algunas casillas estaacutendar

DNSBL Informationallist Test

542 godelcsiceduuy Abusenet contactsabusenet Listed

Comment abusenet recommended contact addresses

This is NOT a blacklist or whitelist and does not block any mail

Query godelcsiceduuycontactsabusenet ()

TXT abusegodelcsiceduuy

abusecsiceduuy

10102018 1820

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

628 164736819 abusixorg Abuse Contact DB abuse-contactsabusixorg Listed

Comment This is NOT a blacklist or whitelist and does not block any mail

Query 196873164abuse-contactsabusixorg ()

TXT securityraueduuy

para lo cual abro la tarea 3655

66 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_ 13-43-07png added

Volvimos a mandar 15 millones de spams

Godel_num_mensajes2014-11-08_13-43-07png

67 - 11082014 0147 PM - Daniel Vintildear Ulriksen

- File deleted (Godel_num_mensajes2014-11-08_ 13-43-07png)

68 - 11082014 0148 PM - Daniel Vintildear Ulriksen

- File Godel_num_mensajes2014-11-08_13-43-07png added

69 - 11082014 0155 PM - Daniel Vintildear Ulriksen

En los logs tambieacuten vemos

Nov 8 135145 godel postfixsmtp[28315] 96292911F4C to=ltmgapgubuygt relay=mailmgapgubuy[1906428104]25 delay=85550

delays=855500010840 dsn=471 status=deferred (host mailmgapgubuy[1906428104] refused to talk to me 450 471 Service temporarily

unavailable Client host [164736819] blocked using Trend Micro Email Reputation Service

Please see httpwwwmail-abusecomcgi-binlookupip_address=164736819 Mail from 164736819 deferred using Trend Micro Email

Reputation database

Please see lthttpwwwmail-abusecomcgi-binlookup164736819gt)

70 - 11082014 0210 PM - Daniel Vintildear Ulriksen

- Done changed from 60 to 70

El trendmicro fue faacutecil de solicitar

En la web responde

Rating Information

164736819 has been removed from the spam list

10102018 1920

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020

Please be aware that this IP address may be blocked again if it sends more spam

To prevent abuse we limit the number of exception requests

pero todaviacutea los correos siguen siendo bloqueados esperemos

los correos a priori pasan a hotmail y gmail Hay que verificar yahoo

71 - 05312017 0125 PM - Daniel Vintildear Ulriksen

- Status changed from En curso to Resuelta

Aparentemente esto fue un blacklisteo momentaneo ahora resuelto

72 - 09142017 1203 PM - Daniel Vintildear Ulriksen

- Status changed from Resuelta to Cerrada

Files

20141014Num_msg_godelpng 806 KB 10142014 Daniel Vintildear Ulriksen

2014-10-28_09-07-12_numero_msg_godelpng 945 KB 10282014 Daniel Vintildear Ulriksen

CUP-direcciones-reenviotxt 225 KB 10282014 Andreacutes Piacuteas

esnilreenvioinfopng 483 KB 10282014 Andreacutes Piacuteas

Godel_num_mensajes2014-11-08_13-43-07png 985 KB 11082014 Daniel Vintildear Ulriksen

10102018 2020