Mi servidor de correo está enviando miles de mails

Antes que nada revisa no lo vayas a tener configurado como open relay y este reenviando spam a tropecientos mil sitios.

Anda edita el msg borrando esas direcciones email... xD

seguramente muchas de esas direcciones ni existan.
Que puerto usas para el servidor saliente?

Es como si un virus se haya apoderado de mi servidor de correo electrónico y no cesa de enviar miles de mails. Me está utilizando como spamer. Va cambiando tanto la dirección del remitente como la dirección del destinatario.

¿Cómo se puede llamar este virus?

Noumaios, niguna de esas direcciones de Remitente existen. Estoy utilizando el puerto típico 110 y 25. Sin cifrado.

exitfor, gracias por responder y por el consejo, esas direcciones no existen.

Samy_nos_mos, no se cómo verificar si está configurado o no como open relay. Sí, está enviando spam a miles de sitios.

Muchas gracias!

De principio lo que deberías hacer es parar el servicio de correo, si lo has parado y siguen saliendo es que otro servicio lo está usando, cambiar tus contraseñas y bloquear esos puertos de correo. Mientras no consigas parar el envío no podrás hacer nada e incluso te pueden bloquear el servidor por spammer.
Sobre lo del robo de tus dominios, los dominios solo son nombres y no envían spam, pero el servidor si y ahí tienes el problema.
Lo recomendable es ir cambiando a los puertos seguros porque muchos ISP ya bloquean esos puertos por ese mismo motivo.
Tienes que ir revisando los servicios y logs del servidor a ver si encuentras algún programa o servicio que no conozcas.
Y que alguien te diga que ataque se trata o algo parecido sin tener logs o listado de servicios de tu servidor es bastante complicado o imposible.

Seguidamente listo los procesos extraídos con el comando "top". He investigado un poco por encima y no me suenan los procesos linux, he ido buscando algunos en Google y me decía que eran procesos que pertenecen a Linux.

29669 root 20 0 712m 587m 1944 D 5.3 15.6 0:55.55 qmHandle
276 root 20 0 0 0 0 S 1.0 0.0 4:11.88 jbd2/sda3-8
22 root 20 0 0 0 0 S 0.3 0.0 2:44.41 kblockd/0
30106 root 20 0 15028 1348 1000 R 0.3 0.0 0:00.10 top
1 root 20 0 19232 572 404 S 0.0 0.0 0:04.56 init
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT 0 0 0 0 S 0.0 0.0 0:06.78 migration/0
4 root 20 0 0 0 0 S 0.0 0.0 0:02.65 ksoftirqd/0
5 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
6 root RT 0 0 0 0 S 0.0 0.0 0:00.13 watchdog/0
7 root RT 0 0 0 0 S 0.0 0.0 0:21.36 migration/1
8 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration/1
9 root 20 0 0 0 0 S 0.0 0.0 0:04.62 ksoftirqd/1
10 root RT 0 0 0 0 S 0.0 0.0 0:00.11 watchdog/1
11 root 20 0 0 0 0 S 0.0 0.0 0:09.86 events/0
12 root 20 0 0 0 0 S 0.0 0.0 0:09.36 events/1
13 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cgroup
14 root 20 0 0 0 0 S 0.0 0.0 0:00.00 khelper
15 root 20 0 0 0 0 S 0.0 0.0 0:00.00 netns
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 async/mgr
17 root 20 0 0 0 0 S 0.0 0.0 0:00.00 pm
18 root 20 0 0 0 0 S 0.0 0.0 0:00.43 sync_supers
19 root 20 0 0 0 0 S 0.0 0.0 0:00.45 bdi-default
20 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kintegrityd/0
21 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kintegrityd/1
23 root 20 0 0 0 0 S 0.0 0.0 0:01.63 kblockd/1
24 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kacpid
25 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kacpi_notify
26 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kacpi_hotplug
27 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ata_aux
28 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ata_sff/0
29 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ata_sff/1
30 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ksuspend_usbd
31 root 20 0 0 0 0 S 0.0 0.0 0:00.17 khubd
32 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kseriod
33 root 20 0 0 0 0 S 0.0 0.0 0:00.00 md/0
34 root 20 0 0 0 0 S 0.0 0.0 0:00.00 md/1
35 root 20 0 0 0 0 S 0.0 0.0 0:00.00 md_misc/0
36 root 20 0 0 0 0 S 0.0 0.0 0:00.00 md_misc/1
37 root 20 0 0 0 0 S 0.0 0.0 0:00.00 linkwatch
38 root 20 0 0 0 0 S 0.0 0.0 0:00.06 khungtaskd
39 root 20 0 0 0 0 S 0.0 0.0 1:59.03 kswapd0
40 root 25 5 0 0 0 S 0.0 0.0 0:00.00 ksmd
41 root 39 19 0 0 0 S 0.0 0.0 0:02.22 khugepaged
42 root 20 0 0 0 0 S 0.0 0.0 0:00.00 aio/0
43 root 20 0 0 0 0 S 0.0 0.0 0:00.00 aio/1
44 root 20 0 0 0 0 S 0.0 0.0 0:00.00 crypto/0
45 root 20 0 0 0 0 S 0.0 0.0 0:00.00 crypto/1
50 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthrotld/0
51 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthrotld/1
53 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kpsmoused
54 root 20 0 0 0 0 S 0.0 0.0 0:00.00 usbhid_resumer

Voy a tratar de interpretar el fichero log, lo colgaré con alguna conclusión.

He investigado en general antivirus para linux y he encontrado antivirus únicamente para mail. No se si estos me podrán servir.

Me parece un tema bastante complejo, no sabía que Linux tuviera virus. Quizá no me he protegido debidamente en un primer momento.

He leído este artículo que hablaba sobre cambio de políticas de seguridad en RedHat 6.5 y CentOS 6.5
http://www.alcancelibre.org/article.php/evita-apocalipsis-serv-correo-antivirus
¿Sigo las instrucciones? ¿Me podrá arreglar algo?

He encontrado este antivirus:
http://ernestogamez.es/instalar-antivirus-clamav-en-centos-6/
¿Me podrá ser útil?

Muchísimas gracias por la ayuda!!


-----------------------------------------------------------------------------------------------------------------------------------------------

He investigado el LOG y las líneas más extrañas son las siguientes:

Jun 14 23:01:46 h2286931 spamd[3670]: spamd: connection from localhost [127.0.0.1] at port 43888
Jun 14 23:01:46 h2286931 spamd[3662]: prefork: child states: II
Jun 14 23:06:58 h2286931 spamd[3670]: spamd: connection from localhost [127.0.0.1] at port 43900
Jun 14 23:06:58 h2286931 spamd[3662]: prefork: child states: II
Jun 14 23:12:05 h2286931 spamd[3670]: spamd: connection from localhost [127.0.0.1] at port 43908
Jun 14 23:12:05 h2286931 spamd[3662]: prefork: child states: II

Además de estas líneas únicamente aparecen los intentos de conexión de las diferentes cuentas de correo.
Me aparecen accesos de conexión de 2 cuentas de lormatrans.com periódicamente, pertenecen a una IP de inglaterra pero pone que es una BlackBerry, justo el móvil que tiene el cliente que accede a las cuentas de lormatrans.com.
Otras líneas pertenecen por ejemplo a mi conexión con Outlook.

Ahora mismo el servidor de correo está parado, es Postfix. La cola está vacía. El cliente plesk de lormatrans.com lo tengo desactivado por tanto no se pueden utilizar los servicios de mail, ni de web, ni nada que tenga que ver con usuarios de ese dominio.

Es cierto que he leído un artículo que comentaba un compañero que tuvo muchísimos problemas por spamer y ese caso resultó que sus clientes tenían múltiples virus.

Iré analizando el log, ahora voy a encender el servidor de mail a ver qué sucede.

Muchas gracias!!


-------------------------------------------------------------------------------------------------------------------------------------------------

Ya tengo todo funcionando y dado de alta el cliente lormatrans.com que era el problemático. A partir de este momento se repite constantemente:

Jun 15 15:20:03 h2286931 postfix/smtpd[10831]: warning: unknown[122.2.17.194]: SASL LOGIN authentication failed: authentication failure
Jun 15 15:20:03 h2286931 postfix/smtpd[10831]: lost connection after AUTH from unknown[122.2.17.194]
Jun 15 15:20:03 h2286931 postfix/smtpd[10831]: disconnect from unknown[122.2.17.194]
Jun 15 15:20:04 h2286931 postfix/smtpd[10831]: warning: 122.2.17.194: hostname 122.2.17.194.static.pldt.net verification failed: Name or service not known
Jun 15 15:20:04 h2286931 postfix/smtpd[10831]: connect from unknown[122.2.17.194]
Jun 15 15:20:05 h2286931 postfix/smtpd[10786]: lost connection after AUTH from unknown[122.2.17.194]
Jun 15 15:20:05 h2286931 postfix/smtpd[10786]: disconnect from unknown[122.2.17.194]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: activity on 1 channel(s)
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: new client (fd=10) registered
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: main cycle iteration
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: activity on 1 channel(s)
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: some read activity on client 10
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 2)=2
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=0]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 26)=26
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=1]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 2)=2
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=2]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 9)=9
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=3]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 2)=2
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=4]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 4)=4
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=5]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: read(10, &buf, 2)=2
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=6]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: processing client data chunk [state=7]
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: Invalid mail address 'instalacionesdedomotica.es@'
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: main cycle iteration
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: activity on 1 channel(s)
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: some write activity on client 10
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: attempt to write(10, &buf, 4)
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: client 10 processed
Jun 15 15:20:08 h2286931 plesk_saslauthd[10795]: main cycle iteration

Hay algo que me está atacando constantemente. Su IP es 122.2.17.194 y según he visto pertenece a las Filipinas.

He pasado el antivirus y ha encontrado virus, este es el resumen:
----------- SCAN SUMMARY -----------
Known viruses: 3364820
Engine version: 0.98.3
Scanned directories: 77627
Scanned files: 861621
Infected files: 53
Total errors: 5367
Data scanned: 185870.48 MB
Data read: 557383.08 MB (ratio 0.33:1)
Time: 18064.698 sec (301 m 4 s)


Seguiré investigando ...


---------------------------------------------------------------------------------------------------------------------------------------------

Me siguen atacando, ahora desde una IP de China. La anterior IP la bloqueé en el FireWall y ahora me viene otra. Seguidamente pongo el LOG.

Por favor, ¿Alguien tendría la amabilidad de poner nombre a este tipo de ataque? Parece ser que desde una ip externa acceden a mi servidor de correo y lanzan miles de ellos. Ahora mismo activando todo lo que he visto de seguridad en Plesk parece que ya he puesto dificultades para que me asalten al servidor de correo pero, los ataques siguen viniendo.

Este es el último LOG:

Jun 15 17:35:33 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:35:33 h2286931 authpsa[1715]: No such user 'ramirez@stratoserver.net' in mail authorization database
Jun 15 17:35:33 h2286931 courier-pop3d: LOGIN FAILED, user=ramirez@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:35:39 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:35:39 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:35:39 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:35:39 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:35:40 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:35:41 h2286931 authpsa[1716]: No such user 'serrano@stratoserver.net' in mail authorization database
Jun 15 17:35:41 h2286931 courier-pop3d: LOGIN FAILED, user=serrano@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:35:46 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:35:46 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:35:47 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:35:47 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:35:47 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:35:48 h2286931 authpsa[1717]: No such user 'blanco@stratoserver.net' in mail authorization database
Jun 15 17:35:48 h2286931 courier-pop3d: LOGIN FAILED, user=blanco@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:35:53 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:35:54 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:35:54 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:35:54 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:35:54 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:35:55 h2286931 authpsa[1718]: No such user 'suarez@stratoserver.net' in mail authorization database
Jun 15 17:35:55 h2286931 courier-pop3d: LOGIN FAILED, user=suarez@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:36:00 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:36:01 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:36:01 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:36:01 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:36:02 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:36:02 h2286931 authpsa[1719]: No such user 'molina@stratoserver.net' in mail authorization database
Jun 15 17:36:02 h2286931 courier-pop3d: LOGIN FAILED, user=molina@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:36:08 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:36:08 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:36:08 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:36:08 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:36:09 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:36:10 h2286931 authpsa[1715]: No such user 'morales@stratoserver.net' in mail authorization database
Jun 15 17:36:10 h2286931 courier-pop3d: LOGIN FAILED, user=morales@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:36:15 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:36:15 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:36:16 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:36:16 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:36:16 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:36:17 h2286931 authpsa[1716]: No such user 'ortega@stratoserver.net' in mail authorization database
Jun 15 17:36:17 h2286931 courier-pop3d: LOGIN FAILED, user=ortega@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:36:22 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:36:23 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:36:23 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]
Jun 15 17:36:23 h2286931 postfix/smtpd[2510]: disconnect from unknown[119.188.3.57]
Jun 15 17:36:23 h2286931 courier-pop3d: Connection, ip=[::ffff:119.188.3.57]
Jun 15 17:36:24 h2286931 authpsa[1717]: No such user 'delgado@stratoserver.net' in mail authorization database
Jun 15 17:36:24 h2286931 courier-pop3d: LOGIN FAILED, user=delgado@stratoserver.net, ip=[::ffff:119.188.3.57]
Jun 15 17:36:29 h2286931 courier-pop3d: Disconnected, ip=[::ffff:119.188.3.57]
Jun 15 17:36:30 h2286931 postfix/smtpd[2510]: connect from unknown[119.188.3.57]
Jun 15 17:36:30 h2286931 postfix/smtpd[2510]: lost connection after UNKNOWN from unknown[119.188.3.57]

rfernandezn escribió:Por favor, ¿Alguien tendría la amabilidad de poner nombre a este tipo de ataque?

Ese ataque es para reventar el acceso a servidores y usarlos de servidor de spam. No se que nombre le dan pero su utilidad es esa.
Cierra todos los puertos en el firewall menos los que necesites usar para correo o conexión al servidor. Usa puertos seguros de correo.
Mientras el firewall bloquee los ataques no hay problema. Vete añadiendo esas IP al bloqueo del firewall y usa contraseñas lo más fuertes que se ocurran. Si pueden ser de 8 o más caracteres incluyendo mayúsculas, minúsculas, números y símbolos sin que formen una palabra. Ej: simbolo --> S1mb0lo. Más larga sería mejor pero con cambiar la i por el 1 y la o por el 0 ya no aparece en los diccionarios de ataques y la contraseña es más fuerte.
Si vas bloqueando todos las IP, en cuanto se cansen y no consigan entrar, te dejarán en paz.

Me dió por revisar ese dominio al que te atacan y en la web, no funciona la página de contacto. Por suponer, si tenías un formulario de contacto y no le tenías un capcha para poder enviar el formulario, por ahí te podían enviar spam.

rfernandezn escribió:Por favor, ¿Alguien tendría la amabilidad de poner nombre a este tipo de ataque?

http://en.wikipedia.org/wiki/Denial-of-service_attack

Saludos

Un millón de gracias por vuestras respuestas.

phant0m me parecen muy adecuados tus consejos, algunos de ellos los había puesto en marcha, me parece una hoja de ruta muy buena y lo seguiré al pie de la letra.

Perfect Ardamax, te agradezco muchísimo esa información, investigaré todo lo que pueda del tema.

Iré informando de los resultados. Estoy sin tiempo prácticamente, me ha pillado esto en un momento muy difícil y lo agrava todavía más.

De nuevo muchas gracias!
Hasta ahora!

Perfect Ardamax escribió:

rfernandezn escribió:Por favor, ¿Alguien tendría la amabilidad de poner nombre a este tipo de ataque?

http://en.wikipedia.org/wiki/Denial-of-service_attack

Saludos

No es un ataque de denegación de servicio.
Ese tipo de ataque lo que genera son miles de peticiones para saturar un sitio web de tal manera que tarde demasiado en responder y de un time out al navegador. Lo que hace ese ataque es enviar una petición de visualizar una web y antes de que le devuelva la petición con la web, cuestión de milisegundos, le envía otra petición igual y otra, etc llegando a ser miles por segundo.
Los más actuales se conocen como DDoS ( Distributed Denial of Service ) por usar muchos ordenadores desde diferentes sitios y se hicieron muy conocidos para todo el mundo porque era la forma que tenían los de Anonymous para tirar sitios durante días.

La ip del ataque es china

Podrias mirar de limitar las conexiones por segundo de una ip. Estilo si hace 50 conexiones en un segundo banear esa ip.

E imagino que tendrás algún tipo de IP fija... deberías hacer todo lo posible por cambiarla. Si cambias de IP, se acaban los ataques

Tienes el relay abierto y desprotegido. Hasta que no lo limites y protegas por muchos baneos, muchos cambios de ip y todo lo que tu quieras te va a seguir pasando.

entre esos emails he encontrado a gente que los usa en los circulos sociales

Jerry Chasteen
que trabaja en McDonald's
vive en Richardson (Texas)
de Toledo (Ohio)...

luego a otro:
Mohammed Jassim Al Ameer
que bla bla bla

con fotos y tal

y habrán mas, pa que veas como es el internete de seguro y sus circulos sociales.

y eso solo mirando por arriba, edita los mails esos.

PD- Si, soy algo tiquismiquis con la seguridad y privacidad.

Muchísimas gracias por vuestros comentarios,

Finalmente pude solucionar el problema contratando otro servidor económico y hacerlo de servidor de correo electrónico, de este modo pude cambiar la IP. Antes tuve que cambiar las contraseñas de las cuentas de correo electrónico, poniéndolas más fuertes. Por lo visto, el problema es que averiguaron una de las contraseñas, se logaban en mi servidor de forma automática y desde ahí enviaban miles de mails.

Ahora hay un par de configuraciones que me gustaría saber cómo se hacen. He leído que existen y que ayudan a que no se repita con facilidad este problema. Mi servidor de correo electrónico es PostFix y Dovecot, ambos en su última versión. El sistema operativo que utilizo es CentOS, aunque me serviría cualquier información para cualquier distribución de Linux.

1) He leído que existe la posibilidad de poner un límite de mails que una cuenta puede enviar en un periodo de tiempo determinado y bloquear la IP que realiza esta acción. ¿Es posible hacer esta limitación? ¿Sabrían cómo se puede hacer esta configuración?

2)También he leído que existe una manera de que no se puedan enviar mails con unas cuentas de correo que no existen. Me trataré de explicar, en mi caso tenía el dominio lormatrans.com y tengo una serie de cuentas existentes. El ataque que sufría se metía en mi server y enviaba mails desde cuentas diferentes, todas diferentes, por ejemplo asdlkfj@lormatrans.com o ghasdjh@lormatrans.com. Ninguna de estas dos cuentas existen y en cambio enviaban mails desde estas cuentas. Me gustaría saber el modo que se puede configurar para que esto no suceda.

Les agradezco mucho sus comentarios y soluciones.
Hasta ahora!!