Si notas que tu correo se recibe lentamente, que pasa tiempo desde que envias un email, hasta que lo recibes puede que tengas la cola de correo colapsada por un ataque de SPAM.
Lo más importante en estos casos, es comprobar que efectivamente tienes un ataque de SPAM. Para ello comprueba la cola de correo de su servidor. Si utilizar Qmail, un programa muy comodo para conocer esto es el programa qmHandle. Ya comenté en otro post, como descargarlo y los parametros a utilizar http://blogdavidrodriguez.piensaennaranja.com/2013/07/23/borrar-algunos-correos-de-la-cola-de-qmail/
Nos situamos en el directorio donde hemos descomprimirdo qmHandle, y lo ejecutamos:
> ./qmHandle -s
Nos da una respuesta parecida a esta:
Total messages: 1500
Messages with local recipients: 0
Messages with remote recipients: 1500
Messages with bounces: 0
Messages in preprocess: 0
Podemos ver que tenemos 1500 mensajes en cola. Con el siguiente comando, podemos ver las cabeceras de los correos que están en la cola de correo de Qmail.
>./qmHandle -l
801681 (16, 16/801681)
Return-path: [email protected]
From: PagSeguro <[email protected]>
Subject: Atualiza?ao automatica do Sistema de Seguran?a Pagseguro.
Date: 11 Nov 2013 17:29:02 +0100
Size: 886 bytes
……
Efectivamente, estamos viendo que se están enviando correos de SPAM desde nuestro servidor. Ahora lo más importante es borrar esos correos de la cola de correo, y encontrar el agujero por el que han entrado.
Para borrar los correos de la cola de correo, seguimos utilizando el programa qmHandle con una parte del asunto,
>./qmHandle -SPagseguro
Le estamos diciendo que borre todos los mensajes de la cola de correo que tienen en el asunto PagSeguro
Una vez hemos borrado la cola de correos, nos que da la tareas más ardua y penosa. Encontrar por donde han metido el codigo malicioso y tapar el agujero. Mi consejo, es que si en ese servidor tienes algún CMS tipo WordPress, Magento, Joomla, etc .. empieces por esos dominios actualizando los CMS a la ultima versión.
Hay que analizar los correos que se envian, con cualquier correo que se devuelva porque el correo no existe lo podemos analizar las cabeceras. Lo abrimos en cualquier cliente de correo y le damos a «ver código fuente».
Return-Path: <[email protected]> Received: (qmail 15479 invoked by uid 502); 11 Nov 2013 17:31:04 +0100 Date: 11 Nov 2013 17:31:04 +0100 Message-ID: <[email protected]> To: [email protected] Subject: Atualizaçao automatica do Sistema de Segurança Pagseguro. X-PHP-Originating-Script: 10012:FaillureCorp.Org_BB_Empresa.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 From: PagSeguro <[email protected]>
Analizando las cabeceras, podemos saber, por ejemplo, el uid que ha enviado el mail.
> grep 502 /etc/passwd
psaftp:x:501:502:anonftp psa user:/:/sbin/nologin
apache:x:502:503:Apache server:/:/sbin/nologin
En ese caso, podemos ver que ha sido el usuario apache el que ha lanzado el email … pero podríamos saber desde qeu dominio o servicio se podría haber mandado.
Analizando más a fondo las cabeceras, podemos ver el fichero que ha lanzado ese email
X-PHP-Originating-Script: 10012:FaillureCorp.Org_BB_Empresa.php
Vemos que ha sido lanzado por un fichero php, aunque tambien puede que haya sido algún cgi, perl, python, etc.
Ahora buscamos ese archivo en nuestro servidor
> find / -iname *Org_BB_Empresa.php
y tenemos que encontrar la ubicación de ese fichero.
Borrarlo y ya tendremos el fichero eliminado. Para que no vuelvan a crearlo, lo más normal es que hayan encontrado alguna contraseña FTP del dominio donde estaba alojado ese fichero.
Muy importante cambiar todas las contraseñas de ese dominio, y por supuesto, la de root del servidor.
Habremos solucionado el problema de SPAM. Siempre es recomendable actualizar todos los servicios que se estén utilizando en el servidor, para evitar agujeros de seguridad.
Pingback: Error 550 SC-001 al enviar a correos hotmail, live, outlook | Blog de David Rodriguez