Postfix enviando SPAM - Blacklist

[cpaynes]

Ola pessoal,

Eu venho alguns dias sendo listado na Spamhaus CBL. lista CBL relata que tenho um vírus na rede e que está enviando e-mails como "localhost.localdomain". Eu não sei de onde é que vem este "localhost.localdomain" porque o meu relay está fechado, e meu HELO é mail.domainclient.com.br .. Eu não encontrei vírus em estações de trabalho ou qualquer tipo de tráfego destinados a porta 25 que passam através do servidor .

Tivemos uma conta comprometida, mas já mudamos a sua senha. Ainda assim todos os dias eu estou listado no http://www.abuseat.org/.

Abaixo detalho as con configurações para uma ajuda em encontrar a causa do problema.

iptables:

Código: [Selecionar]

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 7501 1076K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
17175   23M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
  189 10216 ACCEPT     tcp  --  *      *       0.0.0.0/0            IP_SERVER1          tcp spts:1024:65535 dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            IP_SERVER1          tcp spt:25 dpts:1024:65535
    0     0 ACCEPT     udp  --  *      *       IP_SERVER1           0.0.0.0/0           udp spt:53 dpt:53
    0     0 ACCEPT     udp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `OUTPUT:  '

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 7501 1076K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  176 15768 ACCEPT     udp  --  eth3   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194
    0     0 ACCEPT     udp  --  tun+   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194
17117 1628K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  152  8052 ACCEPT     tcp  --  *      *       0.0.0.0/0            IP_SERVER1          tcp spts:1024:65535 dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            IP_SERVER1          tcp spt:25 dpts:1024:65535
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
   11   703 ACCEPT     udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp dpt:53
  126  9546 ACCEPT     udp  --  *      *       0.0.0.0/0            IP SERVER           udp spts:1024:65535 dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            IP SERVER           udp spt:53 dpt:53
    0     0 ACCEPT     udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp spt:67 dpt:68
  130  7520 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    3   120 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222
    0     0 ACCEPT     tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:3128
    4   208 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
    0     0 DROP       all  --  *      *       210.51.184.41        0.0.0.0/0           
  300 17819 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `INPUT:  '


Master.cf

Código: [Selecionar]

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no
#       -o content_filter=filter:dummy

submission   inet  n       -       n       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes

cleanup25    unix  n       -       n       -       0       cleanup
   -o header_checks=pcre:/etc/postfix/header_checks_submission


main.cf

Código: [Selecionar]

body_checks = regexp:/etc/postfix/body_checks
header_checks = regexp:/etc/postfix/header_checks

smtpd_banner = $myhostname ESMTP $mail_name
biff = no
append_dot_mydomain = no
readme_directory = no

sender_bcc_maps = hash:/etc/postfix/sender_bcc
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

debug_peer_level = 2
debug_peer_list = domainclient.com.br

myhostname = mail.domainclient.com.br
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = mail.domainclient.com.br
mydestination = mail.domainclient.com.br, domainclient.com.br
relayhost =
##mynetworks = 127.0.0.0/8, 192.168.1.0/24, IP_SERVER1, IP_SERVER2, hash:/var/lib/pop-before-smtp/hosts
mynetworks = 127.0.0.0/8, 192.168.1.0/24, IPSERVER1, IPSERVER2, hash:/var/lib/pop-before-smtp/hosts
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
home_mailbox = Maildir/


alias_maps = mysql:/etc/postfix/mysql-aliases.cf
transport_maps = mysql:/etc/postfix/mysql-transport.cf
virtual_maps = mysql:/etc/postfix/mysql-aliases.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-aliases.cf
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_mailbox_limit = 51200000
virtual_uid_maps = mysql:/etc/postfix/mysql-virtual-uid.cf
virtual_gid_maps = mysql:/etc/postfix/mysql-virtual-gid.cf

unknown_local_recipient_reject_code = 500
unknown_address_reject_code = 554
unknown_hostname_reject_code = 554
unknown_hostname_reject_code = 554
unknown_client_reject_code = 554
strict_rfc821_envelopes = yes

smtpd_delay_reject = yes
smtp_destination_concurrency_limit = 7
smtp_destination_recipient_limit = 10
smtpd_hard_error_limit = 3
smtpd_soft_error_limit = 1
smtpd_client_connection_count_limit = 10
smtpd_client_message_rate_limit = 25
smtpd_error_sleep_time = 20
smtpd_junk_command_limit = 1


maps_rbl_domains =
    xbl.spamhaus.org,
    relays.ordb.org,
    list.dsbl.org,
    dun.dnsrbl.net,
    spam.dnsrbl.net,
    cbl.abuseat.org,
    sbl-xbl.spamhaus.org,
    bl.spamcop.net,
    dns.rfc-ignorant.org

smtpd_helo_required = yes
smtp_helo_timeout = 60s

header_checks = regexp:/etc/postfix/header_checks

message_size_limit = 36214400

local_recipient_maps = $alias_maps $virtual_mailbox_maps unix:passwd.byname


smtpd_sasl_auth_enable = yes
# SASL Authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_path = private/auth
smtpd_sasl_application_name = smtpd
smtpd_tls_auth_only = yes


bounce_queue_lifetime = 1d
maximal_queue_lifetime = 1d


smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions =
smtpd_etrn_restrictions =
#check_sender_access mysql:/etc/postfix/mysql_virtual_mysenders_maps.cf 
#check_sender_access cidr:/etc/postfix/cidr_koreia_china_nets   


smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    check_helo_access regexp:/etc/postfix/regras_ehlo,
    reject_invalid_hostname,
    reject_unauth_pipelining
    reject_rhsbl_sender dsn.rfc-ignorant.org,
    reject_rbl_client maps_rbl_domains,
    #reject_non_fqdn_hostname

smtpd_client_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
#    check_client_access hash:/etc/postfix/ip-access,
    reject_unauth_pipelining,
    reject_rbl_client maps_rbl_domains



smtpd_sender_restrictions =
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/sender_block,
    reject_unknown_sender_domain,
    reject_unauth_pipelining,
    #reject_non_fqdn_sender,
    reject_authenticated_sender_login_mismatch,
    reject_unauthenticated_sender_login_mismatch,
    #reject_sender_login_mismatch,
    reject_non_fqdn_sender,
    reject_unlisted_sender,
    reject_unauth_pipelining


smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  check_client_access hash:/etc/postfix/whitelist-ips,
  #reject_non_fqdn_hostname,
  reject_unauth_destination,
  #reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  #reject_non_fqdn_sender,
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname,
  reject_unknown_hostname,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client cbl.abuseat.org,
  reject_rbl_client sbl.spamhaus.org,
  reject_rbl_client b.barracudacentral.org,
  #check_sender_access hash:/etc/postfix/sender_access,
#  check_policy_service unix:private/spfcheck,
  check_policy_service unix:private/policy,
  permit
   

# hostname
servermail-gw01

# cat /etc/mailname
mail.domainclient.com.br

#  cat /etc/hosts
127.0.0.1   localhost
127.0.1.1   servermail-gw01.domainclient.intra   servermail-gw01
IP_SERVER1   domainclient.com.br

[zekkerj]

Tem como vc fazer algum acompanhamento no tráfego de seu servidor, tipo o que é feito pelo NTOP?
Pq se houver algum malware em sua máquina, ele pode estar enviando a partir de outros processos --- ou mesmo a partir de outras máquinas de sua rede.

Dê também mais detalhes de como é sua rede; se é local [interna à sua empresa] ou está em um hosting; se há mais máquinas além desse servidor; e se esse servidor é o gateway da rede, ou se é o firewall da rede.

[cpaynes]

Olá Zekkerj,

A topologia é a seguinte:
- o gateway da rede possui proxy, firewall, email e web. (sem possibilidades de fazer troca ou segmentar no momento)
- possui outras duas filiais, que conectam e usam remotamente.

Na tentativa de identificar se é interno, algum vírus, realizei as alterações abaixo:

Nos logs do firewall não encontrei trafego na porta 25.

Fechei o relay e as portas 143 e 587 na sexta, sábado e domingo. Mesmo assim todos os dias estava listado na blacklist.

Adicionei no master.cf:
smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

O que remete quando alguém tenta logar na pota 25:

220 mail.dominiocliente.com.br ESMTP Postfix
EHLO ylmf-pc
250-mail.dominiocliente.com.br
250-PIPELINING
2AUTH LOGIN
503 5.5.1 Error: authentication not enable

Como poderia detectar um Malware?

Obrigado.

[zekkerj]

Não entendi como sua rede está montada. Poderia explicar melhor? É uma máquina só, ou há mais de uma?
Está na sua rede, ou está hospedada em alguma empresa?

[cpaynes]

Possuímos todos os serviços internos. Na matriz, tem apenas um servidor, que faz tudo. Ele faz Firewall, web, email, proxy. Esse servidor é o Gateway da rede.
Na primeira filial, existe um servidor que faz firewall, proxy e VPN com a matriz
Na segunda Filial, não possui servidor.

Sobre a possibilidade de alguma Malware.
Já usei o chkrootkit, rkhunter e o lynis. Mas não encontrei nada.

[zekkerj]

Esse servidor é o Gateway da rede.

OK. Eu quero ver o script completo de firewall dele, por favor. Em especial, a cadeia FORWARD e a tabela NAT, que vc não colocou na primeira mensagem.

[cpaynes]

Código: [Selecionar]

#!/bin/bash

PATH=/bin:/sbin:/usr/bin:/usr/sbin
export PATH

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK



iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t mangle -F
iptables -t nat -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


NET_INTRA="192.168.1.0/24"
INTER1="eth3"
INTRA="eth2"
SERVER_IP1="200.200.XXX.XXX"
SERVER_IP2="200.200.XXX.XXX"

##
#### INPUT

#lo
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth3 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -p udp --dport 1194 -j ACCEPT

# Gerencia porta 25
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d $SERVER_IP1 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 25 -d $SERVER_IP1 --dport 1024:65535 -j ACCEPT

#ICMP
iptables -A INPUT -p icmp -j ACCEPT

#Broadcast
iptables -A INPUT -m pkttype --pkt-type broadcast -j REJECT

#FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#DNS-intra
iptables -A INPUT -s $NET_INTRA -p udp --dport 53 -j ACCEPT
#DNS-ext
iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 -d $SERVER_IP1 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 53 -d $SERVER_IP1 --dport 53 -j ACCEPT


#DHCP
iptables -A INPUT -s $NET_INTRA -p udp --sport 67 --dport 68 -j ACCEPT


# HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#HTTPS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22600 -j ACCEPT

#SQUID INTERNA
iptables -A INPUT -s $NET_INTRA -p tcp --dport 3128 -j ACCEPT

#Email Client
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #pop
iptables -A INPUT -p tcp --dport 143 -j ACCEPT #imap
iptables -A INPUT -p tcp --dport 587 -j ACCEPT #smtp

# Intranet
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

# LOG
iptables -A INPUT  -j LOG --log-prefix 'INPUT:  ' --log-level 6



##
#### OUTPUT

#lo
iptables -A OUTPUT -o lo -j ACCEPT


iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 25 -j LOG --log-prefix '** PORTA 25 **'
iptables -A OUTPUT -p udp --dport 25 -j LOG --log-prefix '** PORTA 25 **'


# Gerencia porta 25
iptables -A OUTPUT -p tcp -s $SERVER_IP1 --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT


#DNS-ext
iptables -A OUTPUT -p udp -s $SERVER_IP1 --sport 53 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp -s $SERVER_IP1 --sport 53 -d 0/0 --dport 53 -j ACCEPT
#DNS-intra
iptables -A OUTPUT -o $INTRA -p udp --dport 53 -j ACCEPT


iptables -A OUTPUT  -j LOG --log-prefix 'OUTPUT:  ' --log-level 6


##
#### FORWARD


iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# LOG rede internet porta 25
iptables -A FORWARD -p tcp --dport 25 -j LOG --log-prefix '** PORTA 25 **'
iptables -A FORWARD -p udp --dport 25 -j LOG --log-prefix '** PORTA 25 **'


# portas liberadas
PORTAS="22 80 443 587 2222 8080 3389"
for i in $PORTAS
do
   iptables -A FORWARD -s $NET_INTRA -i $INTRA -o $INTER1 -p tcp --dport $i -j ACCEPT
done

# ntp
iptables -A FORWARD -s $NET_INTRA -i $INTRA -o $INTER1 -p udp --dport 123 -j ACCEPT

# dns
iptables -A FORWARD -s $NET_INTRA -p udp --dport 53 -j ACCEPT

# LOG
iptables -A FORWARD  -j LOG --log-prefix 'FORWARD:  ' --log-level 6



##
####  PREROUTING/POSTROUTING

# accept rede interna
iptables -A PREROUTING -t nat -s $NET_INTRA -d 192.168.0.0/16 -j ACCEPT

# redire dns externo para local
iptables -A PREROUTING -t nat -s $NET_INTRA -p udp --dport 53 -j DNAT --to-dest 192.168.1.254:53

# redit squid
iptables -A PREROUTING -t nat -s $NET_INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128


# Redir TS
iptables -A PREROUTING -t nat -d $SERVER_IP1 -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.19:3389

# nat
iptables -A POSTROUTING -t nat -s $NET_INTRA -d ! 192.168.0.0/16 -j MASQUERADE


[zekkerj]

iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# LOG rede internet porta 25
iptables -A FORWARD -p tcp --dport 25 -j LOG --log-prefix '** PORTA 25 **'
iptables -A FORWARD -p udp --dport 25 -j LOG --log-prefix '** PORTA 25 **'

# portas liberadas
PORTAS="22 80 443 587 2222 8080 3389"
for i in $PORTAS
do
   iptables -A FORWARD -s $NET_INTRA -i $INTRA -o $INTER1 -p tcp --dport $i -j ACCEPT
done

Era esse trecho que eu queria ver.

Em primeiro lugar, a tua primeira linha ("-A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT") tá errada. Quando vc aceita conexões novas, pré-estabelecidas e relacionadas, não sobra mais nada pra aceitar --- exceto, talvez, as inválidas, que vc não iria querer aceitar mesmo. Isso faz com que as linhas seguintes se tornem inúteis, todos os pacotes vão ser aceitos aqui, e não nas linhas seguintes.

Minha sugestão: retire o "NEW" dessa linha, e deixe que as conexões sejam liberadas conforme sua necessidade.

O trecho final (o loop [í]for[/i] onde vc cria várias regras) também pode ser substituído por uma única linha:

Código: [Selecionar]

iptables -A FORWARD -s $NET_INTRA -i $INTRA -o $INTER1 -p tcp -m multiport --dport 22,80,443,587,2222,8080,3389 -j ACCEPT
Essa mudança não vai impactar no funcionamento do firewall, só no "estilo". Assim, vc só deve fazer a mudança da regra lá em cima.

Depois de corrigir aquele estado "NEW" desnecessário, acompanhe o log do firewall, pra ver qual é a máquina que está gerando essas conexões com destino à porta 25/tcp.

[cpaynes]

Tem razão Zekkerj,
Não me recordo quando fiz essa alteração do NEW.
Vou acompanhar agora.

[cpaynes]

Bom dia Zekkerj.

Desde ontem de manhã, não venho sendo listado.
Não sei se fico triste ou feliz, pois não tenho certeza da causa raiz do problema.
Acredito que deva ter sido da conta que comentei no inicio que foi comprometida e a blacklist manteve listando por mais alguns dias.

Quanto ao remover o NEW, eu ajustei  e o único tráfego que passou pela rede com destino a porta 25, é um envio de relatório de backup de um servidor.

Até o momento agradeço pela ajuda.  obrigado.

[zekkerj]

Continue acompanhando.
Uma coisa que vc pode modificar seu script, agora, é pra fazer log de qualquer tentativa de conexão em portas não autorizadas. A regra pra isso é:

iptables -A FORWARD -p tcp --syn -j LOG --log-prefix " Tentativa de Conexao: " -m limit --limit 10/s

Essa regra deve ser a última da cadeia FORWARD, pra pegar aqueles pacotes SYN enviados pra alguma porta não prevista. Não apenas isso vai pegar comportamentos estranhos, tipo alguém tentando enviar tráfego pra portas IMAP, IMAPS, SMTPS, etc., como ainda pode pegar conexões legítimas que vc esqueceu de incluir no teu script...

[cpaynes]

Eu tenho a seguinte regra para LOG.

iptables -A FORWARD  -j LOG --log-prefix 'FORWARD:  ' --log-level 6

E com a regra que me passou, tenho em ambas as regras o mesmo registro. Não consegui compreender sua utilização.

                       FORWARD:  IN=eth2 OUT=eth3 SRC=192.168.1.73 DST=191.97.117.20 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=10674 DF PROTO=TCP SPT=60445 DPT=29861 WINDOW=8192 RES=0x00 SYN URGP=0
  Tentativa de Conexao: IN=eth2 OUT=eth3 SRC=192.168.1.73 DST=191.97.117.20 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=10674 DF PROTO=TCP SPT=60445 DPT=29861 WINDOW=8192 RES=0x00 SYN URGP=0

[zekkerj]

Se vc já tinha regra de Log, tudo bem. A regra que passei faz exatamente a mesma coisa, só coloca algumas proteções que vc pode colocar na sua regra também (limitar a 10 registros / segundo pra não sobrecarregar o sistema, adicionar um texto indicativo ao registro).