Instalar el rpm de opendkim en Fedora 13

27 abril 2013 at 18:58 by Adrián Pérez

Spam dkimDKIM (DomainKeys Identified Mail) es un mecanismo de autentificación para luchar contra el spam, que consiste en (y aquí prácticamente copio de la wikipedia) añadir una cabecera llamada "DKIM-Signature"que contendrá una firma digital tanto de la cabecera como del cuerpo del mensaje. El destinatario, hará una consulta DNS usando el dominio origen y un selector, contra un registro DNS del tipo TXT del estilo selector._domainkey.dominio.com que contendrá la clave pública necesaria para descifrar el valor de la firma de la cabecera y verificar así su procedencia.

Aquí explican mejor qué es y cómo funciona DKIM, pero en esta ocasión, lo que veremos no es explicar cómo funciona, si no cómo usar nuestro servidor de correo (postfix sobre un antiguo Fedora 13) para firmar nuestros mails mediante opendkim, instalando el rpm oficial en lugar de instalarlo mediante yum. Instalar el rpm seguramente tenga más trabajo que hacerlo desde yum, pero el proceso servirá en cualquier distribución basada en Red Hat.

421 4.2.1 unable to connect

18 agosto 2010 at 11:49 by Adrián Pérez

SPAMBajo este título tan descriptivo, se encuentra un problema con el que me he peleado esta mañana.

El servidor de correo MS Exchange 2007 de un cliente, no podía enviar correos de salida (los correos enviados dentro de su propia red sí funcionaban) y no dejaban de amontonarse en la cola de salida del servidor de mail.

El Exchange, mostraba el siguiente mensaje:

"451 4.4.0 Primary Target IP address responded 421 4.2.1 unable to connect. Attempted failover to alternate host, but that did not suceed. Either there are no aternate hosts or delivery failed to the all alternate host."

Hemos estado mirando documentación al respecto, intentando detectar el problema:

Finalmente, hemos pensado que podía tratarse de un bloqueo que se realizaba una vez pasado el firewall, puesto que hemos visto que los correos parecían llegar a él. Hemos pasado a utilizar MXToolbox para comprobar la dirección IP de salida de correo, en la siguiente dirección:

http://mxtoolbox.com/SuperTool.aspx

Hemos introducido el siguiente texto en la casilla:

blacklist:IP_de_salida ,donde IP_de_salida corresponde con la IP pública de salida de correo

Ahí hemos visto que efectivamente, estábamos dentro de una blacklist, en la cual habíamos entrado un día antes de que empezaran los bloqueos. En la misma página de la blacklist, hemos podido comprobar las (pobres) razones del bloqueo hacia nuestra IP, y por tanto, encontrar la presumible causa del problema.

Finalmente, hemos cambiado la dirección IP de salida de correo (contábamos con varias ADSL de salida) y la incidencia se ha solucionado.

Esto nos ha hecho pensar en que seguramente exista la necesidad de implementar algún tipo de mecanismo de monitorización de correo de salida, de igual forma que las empresas tienen sistemas de antispam de entrada, puesto que las consecuencias del "spam" de salida pueden llegar a ser mucho peores que las molestias que provoca el spam de entrada.

Tendremos que buscar si existe una solución así.

Flickr! Foto por freezelight

Mi mailbox inundado de spam

16 julio 2008 at 17:44 by Adrián Pérez

SPAMHoy en día hay un problema en Internéeee : el spam. Un buen programa antispam como spamassassin acaba con la mayoría de él, pero últimamente estamos teniendo algunos ataques de spam que hasta ahora no habíamos visto: se trata de los ataques de spam NDR (Non-delivery report).

Básicamente, se inunda el mailbox de correo que has enviado y que se te ha devuelto porqué la dirección de destino no existe, porqué el mailbox destino está lleno, o por cualquier otra causa. La gracia del asunto, claro está, es que realmente tu no has enviado ninguno de esos correos, simplemente los spammers se hacen pasar por ti (ponen tu dirección de correo en el campo "From" del email) y envían mensajes con spam a direcciones no existentes, de tal forma que a nosotros nos llega un correo devuelto que es sumamente fácil confundir con los correos devueltos habituales (hasta que lo abres y ves el contenido, claro).

Esto está más controlado en las ultimísimas versiones de algunos antispams, como spamassassin, que en mi caso, me he encargado de actualizar de la versión 3.1 a la 3.2 de la siguiente manera :

  1. Añadimos el repositorio Debian Volatile, el cual provee paquetes más nuevos para ClamAV y spamassassin que el repositorio debian estándar.
    deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free
  2. Instalamos spamassassin mediante apt-get y sobrescribimos el anterior archivo de configuración /etc/default/spamassassin durante la instalación
  3. Habilitamos de nuevo spamassassin modificando la siguiente línea en /etc/default/spamassassin
    ENABLED=1
  4. Reiniciamos spamassassin
    /etc/init.d/spamassassin restart
  5. En /etc/mail/spamassassin/v320.pre añadimos la siguiente línea, que en nuestro caso ya viene habilitada por defecto, para encargarse de este tipo de ataques:
    loadplugin Mail::SpamAssassin::Plugin::VBounce
  6. Lanzamos spamassassin --lint para comprobar errores o warnings en la configuración
  7. Editamos el archivo de configuración de /etc/mail/spamassassin/local.cf para eliminar todas las entradas correspondientes a las "Network Checks", ya que a partir de esta nueva versión, esto estará en forma de plugin y se gestionará desde /etc/mail/spamassassin/v320.pre tal y como hemos visto.
  8. Finalmente probamos con algún mail en formato .txt que anteriormente el spamassassin nos había dejado pasar y que se trataba de un spam NDR, para ver si esta vez lo catalogaría correctamente con:
    spamassassin -Lt < mailtest.txt

¿Cómo está tu MailServer?

6 junio 2008 at 18:07 by Adrián Pérez

MailLlego a mxtoolbox, una web muy útil que nos sirve para indicarnos a que IP resuelve un determinado dominio para su registro MX, es decir, a qué IP irá un correo que enviamos para este determinado dominio.

A parte de esta funcionalidad, que podríamos ejecutar directamente desde la línea de comandos, también nos ofrece un par de servicios si cabe, más interesantes todavía: diagnóstico de nuestro smtp y blacklists. Especialmente interesante el segundo, que consulta si el dominio en cuestión aparece catalogado como spammer en alguna de las 124 blacklist a las que consulta, dando asesoramiento gratuito de cómo actuar en caso de aparecer como tal.

Flickr! Foto por e³°°°

Telefónica Nemesys

20 febrero 2008 at 22:14 by Adrián Pérez

NémesisEn las últimas semanas, he tenido conocimiento de una empresa que se ha visto afectada por la "fantástica" política antispam de Telefónica. Básicamente, Telefónica tiene un Centro llamado Nemesys que tiene la agradable función de banear IP's que ellos consideran como spammers.

¿Qué es para Nemesys un spammer?
Por ejemplo, el mero hecho de estar en un rango de IP's en el que se encuentra un spammer "de los de verdad" (aunque en la mayoría de veces sea un zombie y por tanto el usuario no sea consciente) ya te puede convertir así por las buenas, en candidato a ser baneado por Nemesys.

O por ejemplo, si Nemesys considera que estás enviando "demasiado" correo electrónico para la conexión que tienes contratada. Y sin necesidad de enviar ni un solo spam. ¡Y esto es verídico!. En este caso te "ofrecen" a contratar un servicio de telefónica que te asegura no estar filtrado por la sombra de Telefónica Nemesys.

¿Pero qué pasa si Telefónica Nemesys considera que eres un spammer? Pues fácil, fácil. Básicamente, te deniegan la salida de todo correo electrónico. Así de simple. No podrás enviar ningún tipo de correo electrónico saliendo por la IP pública baneada.

Así que además de controlar los correos electrónicos que envías, pueden proceder a denegarte el servicio de envío de mails si ellos lo creen oportuno. Pues nada, avisados estáis.

Flickr! Foto por ♫♪iΛ7 m a₫ ♫♪