Newton escribió:Si quieres una respuesta detallada; debes detallar la pregunta.
¿Qué servidor de correo utilizas?
¿Cómo tienes configurado el servidor de correo?
¿Cómo son los correos que recibes (copy & paste)?
¿Tienes acceso a los ficheros de log?
...
Passy_22 escribió:Si quieres una respuesta detallada; debes detallar la pregunta.
Perdona, no había caído en ese pequeño detalle jejeje.
El servidor está alojado en un isp llamado Nexeo. Este correo no lo hemos tenido ninguna de las personas que lo utilizamos configurado en ningún cliente de correo. Estaba hecho para recibir copias de seguridad de varios equipos que nos interesa tener backups de ellos. Y los correos que recibo son siempre idénticos o muy parecidos a lo siguiente:
This is the mail system at host isp.nexeo.es.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<jeschembri@aol.com>: delivery temporarily suspended: host
mailin-04.mx.aol.com[64.12.88.131] refused to talk to me: 421 4.7.1 :
(DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
Reporting-MTA: dns; isp.nexeo.es
X-Postfix-Queue-ID: 4C3148FC158
X-Postfix-Sender: rfc822; xxxx@xxxxxx.es
Arrival-Date: Fri, 17 Nov 2017 13:39:55 +0100 (CET)
Final-Recipient: rfc822; jeschembri@aol.com
Original-Recipient: rfc822;jeschembri@aol.com
Action: failed
Status: 4.7.1
Diagnostic-Code: X-Postfix; delivery temporarily suspended: host
mailin-04.mx.aol.com[64.12.88.131] refused to talk to me: 421 4.7.1 :
(DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
Asunto You know how to make me wet
Remitente Nikhil B.
Destinatario jeschembri@aol.com
Fecha Vie 13:41
Swing parties in our town
Entering only for couples, no names and confidential
Looking for a man up to 55, 85 kg, which will become my partner
my photos and contacts are here
En xxx@xxxx.es es la cuenta de correo a la que están atacando, o al menos eso creo que está pasando. Gracias!!
421 DYN:T1
The IP address you are sending from has been temporarily rate limited because it is not Whitelisted, unexpected increase in volume, or poor IP reputation
Newton escribió:Passy_22 escribió:Si quieres una respuesta detallada; debes detallar la pregunta.
Perdona, no había caído en ese pequeño detalle jejeje.
El servidor está alojado en un isp llamado Nexeo. Este correo no lo hemos tenido ninguna de las personas que lo utilizamos configurado en ningún cliente de correo. Estaba hecho para recibir copias de seguridad de varios equipos que nos interesa tener backups de ellos. Y los correos que recibo son siempre idénticos o muy parecidos a lo siguiente:
This is the mail system at host isp.nexeo.es.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<jeschembri@aol.com>: delivery temporarily suspended: host
mailin-04.mx.aol.com[64.12.88.131] refused to talk to me: 421 4.7.1 :
(DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
Reporting-MTA: dns; isp.nexeo.es
X-Postfix-Queue-ID: 4C3148FC158
X-Postfix-Sender: rfc822; xxxx@xxxxxx.es
Arrival-Date: Fri, 17 Nov 2017 13:39:55 +0100 (CET)
Final-Recipient: rfc822; jeschembri@aol.com
Original-Recipient: rfc822;jeschembri@aol.com
Action: failed
Status: 4.7.1
Diagnostic-Code: X-Postfix; delivery temporarily suspended: host
mailin-04.mx.aol.com[64.12.88.131] refused to talk to me: 421 4.7.1 :
(DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
Asunto You know how to make me wet
Remitente Nikhil B.
Destinatario jeschembri@aol.com
Fecha Vie 13:41
Swing parties in our town
Entering only for couples, no names and confidential
Looking for a man up to 55, 85 kg, which will become my partner
my photos and contacts are here
En xxx@xxxx.es es la cuenta de correo a la que están atacando, o al menos eso creo que está pasando. Gracias!!
No lo sé con total seguridad, pero el código de error dice lo siguiente:421 DYN:T1
The IP address you are sending from has been temporarily rate limited because it is not Whitelisted, unexpected increase in volume, or poor IP reputation
Dices que este correo xxx@.xxx.es; es el que recibe las notificaciones de copias de seguridad que se realizan correctamente.
Supongo que tienes configurado en cada cliente que se realizan las copias de tal manera que se conecte con un usuario@contraseña al servidor SMTP para poder realizar los envios.
Este usuario@contraseña ¿dónde los almacenas? ¿Cómo los almacenas -en texto claro por casualidad-?
Si fuera así, te recomendaría que utilizaras otro correo gratuito para poder hacer la conexión SMTP y el envío del resultado de la copia. No cargaras tu servidor SMTP que tienes en Nexeo. (Utiliza una cuenta específica para ello, no utilices una cuenta personal que tengas en GMail u otro servicio; crea uno sólo para las copias y que te de igual que una tercera persona se entere del usuario@contraseña para el servidor SMTP).
Otra posibilidad es que cambies la contraseña del usuario que estas utilizando para realizar el envío en tu servidor SMTP; pero si lo ha conseguido una vez, probablemente lo vuelva a sacar.
Parece que te estas librando de que NO haga uso de tu servidor ya que la IP que utiliza no esta en la lista blanca.
Passy_22 escribió:Solo hay 3 equipos con el usuario y contraseña introducido para hacer los envíos a través de SMTP. Los mismos 3 de los que se hacen copias de seguridad. No había caído en la posibilidad de que estos mismos fueran o al menos uno de los 3, el que fuera atacado. Las credenciales por tema del funcionamiento que tienen los scripts en los mismos están en texto plano. Para poder acceder a estos equipos deben de estar en la red interna y además saberse los credenciales para entrar a los equipos, así que al menos ya puedo tener más acotado el problema. Aunque cambiara la contraseña es como tu dices, a base de fuerza bruta si lo han conseguido una vez, podrán conseguirlo de nuevo
Muchas graicas por la ayuda que me estás dando. Al menos empiezo a estar o creo estar más encaminado.
Newton escribió:Passy_22 escribió:Solo hay 3 equipos con el usuario y contraseña introducido para hacer los envíos a través de SMTP. Los mismos 3 de los que se hacen copias de seguridad. No había caído en la posibilidad de que estos mismos fueran o al menos uno de los 3, el que fuera atacado. Las credenciales por tema del funcionamiento que tienen los scripts en los mismos están en texto plano. Para poder acceder a estos equipos deben de estar en la red interna y además saberse los credenciales para entrar a los equipos, así que al menos ya puedo tener más acotado el problema. Aunque cambiara la contraseña es como tu dices, a base de fuerza bruta si lo han conseguido una vez, podrán conseguirlo de nuevo
Muchas graicas por la ayuda que me estás dando. Al menos empiezo a estar o creo estar más encaminado.
Mis consejos serían:
1) Cambiar las contraseñas de los 3 usuarios, por seguridad.
2) En los scripts que tienen texto plano para enviar los correos, utilizar una cuenta específica para el envío. Si es de un servidor de un tercero que no te importe que puedan saber usuario@contraseña mejor. Tienes miles de servicios gratuitos que puedes usar, gmx, india.com, yandex, gmail, YahooMail. Además, supongo que estos correos no tienen información crítica, se trataran de reports si la copia se ha realizado correctamente o no. Si fuera necesario, siempre puedes enviar el log comprimido & encriptado; aunque te consumiría un poco más el proceso tras realizar la copia realizando estas acciones.