Hallazgos en Servidor coopsantodomingo.

org
1.- Primero se hace un scaneo de forma local de puertos abiertos usando nmap correo:/home/jwarton# nmap 127.0.0.1 Starting Nmap 4.62 ( http://nmap.org ) at 2013-03-25 00:18 PET Interesting ports on localhost (127.0.0.1): Not shown: 1701 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 465/tcp open smtps 587/tcp open submission 953/tcp open rndc 993/tcp open imaps 995/tcp open pop3s 3306/tcp open mysql 8081/tcp open blackice-icecap Luego se escanea desde fuera tvillalba@mail:~$ nmap 200.121.120.116 Starting Nmap 4.53 ( http://insecure.org ) at 2013-03-25 00:30 PET Interesting ports on coopsantodomingo.com (200.121.120.116): Not shown: 1701 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 389/tcp open ldap 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 8081/tcp open blackice-icecap Nmap done: 1 IP address (1 host up) scanned in 3.219 seconds Inicialmente podemos concluir que no existe ningn tipo e filtro para el exterior, lo que podra causar que alguien detecte un server facil de vulnerar y pueda intentar varias cosas entre ellas usarlo como servidor relay. La conclusin es que deben cerrarse puertos y en algunos casos necesarios bloquear solo para acceso por redes dentro de Per y en casos muy necesario dejar abierto. En este caso los nicos puertos justificado para dar acceso desde el exterior es el 25,53 y 80 todo el resto de casos debe ser examinados uno a uno pero de inicio debera bloquearse,

para esto podra usarse un pequenho firewall en el mismo server con iptables. NOTA.- Talvez este punto no tenga relevancia si fuera que se abri todo el servidor para hacer factible la coneccion remota para realizar esta evaluacin. 2. Se examino el trafico por todos los puertos quitando nicamente las conecciones hechas por mi equipo (computador de Tany) ya que para realizar las pruebas estoy conectado y se mostrara obviamente mi acceso por ssh, y incomodaria para ver el resto de trafico por lo cual se ejecuto.
correo:/home/jwarton# tcpdump not host 200.37.175.14 00:33:20.764149 IP 200.121.120.115.52255 > 224.0.0.252.hostmon: UDP, length 23 00:33:20.964269 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:21.714096 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:22.463951 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:22.598112 STP 802.1w, Rapid STP, Flags [Forward], bridge-id 8000.20:fd:f1:6d:98:14.8001, length 47 00:33:22.823368 IP 200.121.120.117.64544 > correo.coopsantodomingo.com.domain: 6867+ A? REC03.coopsantodomingo.com. (44) 00:33:22.823535 IP correo.coopsantodomingo.com.domain > 200.121.120.117.64544: 6867 NXDomain* 0/1/0 (85) 00:33:22.825274 IP 200.121.120.117.64545 > correo.coopsantodomingo.com.domain: 64343+ A? REC03.coopsantodomingo.com. (44) 00:33:22.825357 IP correo.coopsantodomingo.com.domain > 200.121.120.117.64545: 64343 NXDomain* 0/1/0 (85) 00:33:22.827692 IP 200.121.120.117.51107 > correo.coopsantodomingo.com.domain: 25826+ A? SMBCACSDG.coopsantodomingo.com. (48) 00:33:22.827769 IP correo.coopsantodomingo.com.domain > 200.121.120.117.51107: 25826 NXDomain* 0/1/0 (89) 00:33:22.829317 IP 200.121.120.117.56153 > correo.coopsantodomingo.com.domain: 27250+ A? SMBCACSDG.coopsantodomingo.com. (48) 00:33:22.829385 IP correo.coopsantodomingo.com.domain > 200.121.120.117.56153: 27250 NXDomain* 0/1/0 (89) 00:33:23.227360 IP 200.121.120.115.62210 > 224.0.0.252.hostmon: UDP, length 23 00:33:23.317078 IP6 fe80::b047:70c8:665e:2a6e.57390 > ff02::1:3.hostmon: UDP, length 23 00:33:23.317118 IP 200.121.120.115.62210 > 224.0.0.252.hostmon: UDP, length 23 00:33:23.517360 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:24.267109 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:24.597390 STP 802.1w, Rapid STP, Flags [Forward], bridge-id 8000.20:fd:f1:6d:98:14.8001, length 47 00:33:24.641651 arp who-has 200.121.120.117 tell correo.coopsantodomingo.com 00:33:24.641838 arp reply 200.121.120.117 is-at 78:e7:d1:dd:e3:ba (oui Unknown) 00:33:25.017046 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:25.779041 IP 200.121.120.115.64011 > 224.0.0.252.hostmon: UDP, length 23 00:33:25.868283 IP6 fe80::b047:70c8:665e:2a6e.53597 > ff02::1:3.hostmon: UDP, length 23 00:33:25.868322 IP 200.121.120.115.64011 > 224.0.0.252.hostmon: UDP, length 23 00:33:26.068384 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:26.597487 STP 802.1w, Rapid STP, Flags [Forward], bridge-id 8000.20:fd:f1:6d:98:14.8001, length 47 00:33:26.818296 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 00:33:27.042189 IP 200.121.120.117.64538 > correo.coopsantodomingo.com.domain: 39747+ A? usuhp.CACSDGCUSCO.local. (42) 00:33:27.042629 IP correo.coopsantodomingo.com.6063 > ns2.unired.net.pe.domain: 5406+ [1au] A? usuhp.CACSDGCUSCO.local. (53) 00:33:27.069285 IP ns2.unired.net.pe.domain > correo.coopsantodomingo.com.6063: 5406 NXDomain 0/6/1 (653) 00:33:27.069550 IP correo.coopsantodomingo.com.domain > 200.121.120.117.64538: 39747 NXDomain 0/1/0 (117) 00:33:27.070806 IP 200.121.120.117.57257 > correo.coopsantodomingo.com.domain: 26716+ A? usuhp.coopsantodomingo.com. (45) 00:33:27.070940 IP correo.coopsantodomingo.com.domain > 200.121.120.117.57257: 26716 NXDomain* 0/1/0 (86) 00:33:27.568137 IP 200.121.120.115.netbios-ns > 200.121.120.127.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Estos paquetes son repetitivos incluso en horas de dia y madrugada, aqui aparentemente el servidor de correo no muestra mucho trafico mas alla de consultas dns que realiza. Pero se noto que hay dos equipos que generan trafico en la red y que no van necesariamente dirigidas al servidor de correo estos ips son 200.121.120.117 y 200.121.120.115 en especial este ultimo genera bastantes paquetes de bsqueda en la red, se puede asumir que este es una especie de proxy y atiende a varios equipos que incluso quedan encendidos de noche por eso la razn del trafico, se podra crear dominios de colisin para evitar que esta bulla llegue hasta el servidor de correo, ya que podra ser algunos virus o programas maliciosos buscando algn servidor de correo para enviar spam o maquina a infectar, por eso se hace necesario tambin el bloqueo de algunos puertos para el interior. Estos dominios de colisin se pueden crear de varias maneras: entre ellas separando la red con swith o separando la red fsica con vlans o bloqueando paquetes broadcast que lleguen al servidor y filtrando quienes estn autorizados y a que servicios en este servidor de correo (solo webmail o smtp desde un cliente). Este punto talvez es uno de los puntos que inician los problemas de spam. Ahora escucharemos nicamente puertos utilizados por el servidor zimbra, para que ver los paquetes que estn circulando hacia estos servicios.
correo:/home/jwarton# tcpdump port 25 or port 80 or port 110 or port 143 or port 465 or port 993 or port 995 01:12:10.768749 IP correo.coopsantodomingo.com.imap2 > 200.121.120.115.63515: P 409:499(90) ack 344 win 125 01:12:10.771860 IP 200.121.120.115.63515 > correo.coopsantodomingo.com.imap2: P 344:418(74) ack 499 win 16202 01:12:10.772397 IP correo.coopsantodomingo.com.imap2 > 200.121.120.115.63515: P 499:573(74) ack 418 win 125 01:12:10.968749 IP 200.121.120.115.63515 > correo.coopsantodomingo.com.imap2: . ack 573 win 16184 01:13:14.200795 IP 200.121.120.115.63537 > correo.coopsantodomingo.com.pop3: S 820399036:820399036(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK> 01:13:14.200818 IP correo.coopsantodomingo.com.pop3 > 200.121.120.115.63537: S 1968952219:1968952219(0) ack 820399037 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6> 01:13:14.201067 IP 200.121.120.115.63537 > correo.coopsantodomingo.com.pop3: . ack 1 win 16425 01:13:14.215193 IP correo.coopsantodomingo.com.pop3 > 200.121.120.115.63537: P 1:52(51) ack 1 win 92 01:13:14.215615 IP 200.121.120.115.63537 > correo.coopsantodomingo.com.pop3: P 1:7(6) ack 52 win 16412 01:13:14.215631 IP correo.coopsantodomingo.com.pop3 > 200.121.120.115.63537: . ack 7 win 92 01:13:14.215775 IP correo.coopsantodomingo.com.pop3 > 200.121.120.115.63537: P 52:170(118) ack 7 win 92 01:13:14.216311 IP 200.121.120.115.63537 > correo.coopsantodomingo.com.pop3: P 7:13(6) ack 170 win 16382

Se ve el consumo del ip 115 el servicio imap2 y smtp, lo cual es normal en horario de oficina pero no mucho en horas de la madrugada, por lo cual se refuerza lo anterior que es bloquear algunos puertos y cierto tipo de servicios a usuarios no autorizados. 3.- Desde un equipo en otra red se hizo ping al dominio local que tiene configurado este servidor: tvillalba@mail:~$ ping correo.coopsantodomingo.com PING correo.coopsantodomingo.com.cosituc.com (82.98.86.161) 56(84) bytes of data. 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=1 ttl=46 time=217 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=2 ttl=46 time=234 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=3 ttl=46 time=226 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=4 ttl=46 time=223 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=5 ttl=46 time=223 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=6 ttl=46 time=218 ms 64 bytes from www161.sedoparking.com (82.98.86.161): icmp_seq=7 ttl=46 time=220 ms Teniendo una respuesta que no corresponde al ip del servidor. Tambin se probo desde una red de adsl de Peru y en ese caso se obtuvo esta respuesta

usuario@pcseis:~$ ping correo.coopsantodomingo.com ping: unknown host correo.coopsantodomingo.com Lo que indica que el dominio no es conocido o alguna vez estuvo declarado con el ip de arriba y ahora no mas. Esto puede traer problemas de DNS reverso que cuidan mucho los servidores de correo como hotmail. Este punto es importante o es la razon por la que algunos servidores de correo bloquean algunos dominios. Para comprobar se hizo prueba de resolucin de nombres y consulta de default MX como se muestra a continuacin: tvillalba@mail:~$ dig MX @200.48.225.146 coopsantodomingo.com ; <<>> DiG 9.4.2-P2.1 <<>> MX @200.48.225.146 coopsantodomingo.com ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25433 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;coopsantodomingo.com. IN MX ;; AUTHORITY SECTION: coopsantodomingo.com. 3600 IN SOA ns57.domaincontrol.com. dns.jomax.net. 2011052700 28800 7200 604800 3600 ;; Query time: 318 msec ;; SERVER: 200.48.225.146#53(200.48.225.146) ;; WHEN: Mon Mar 25 01:09:29 2013 ;; MSG SIZE rcvd: 106 El resultado muestra que el dominio no tiene configurado el MX o servidor de correo por defecto para este dominio como si muestra para otros dominios, como por ejemplo: tvillalba@mail:~$ dig MX @200.48.225.146 reniec.gob.pe ; <<>> DiG 9.4.2-P2.1 <<>> MX @200.48.225.146 reniec.gob.pe ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3380 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;reniec.gob.pe. IN MX ;; ANSWER SECTION: reniec.gob.pe. 671 IN MX 10 smtp.reniec.gob.pe. ;; Query time: 28 msec ;; SERVER: 200.48.225.146#53(200.48.225.146) ;; WHEN: Mon Mar 25 01:09:18 2013 ;; MSG SIZE rcvd: 52 Como se ve la linea donde indica que hay un registro MX del dominio consultado hacia el equipo smtp.reniec.gob.pe, indica que este equipo esta autorizado por el dominio para manejar su correo. Luego se probo el dns reverso para el dominio local de este servidor:

tvillalba@mail:~$ nslookup correo.coopsantodomingo.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: correo.coopsantodomingo.com.cosituc.com Address: 82.98.86.161 Nuevamente se mostr un ip equivocado. Este problema de DNS reverso y en general de DNS es encontrado por muchos servidores de correo como una razn fuerte para bloquear dominios. 4.- Sobre el tema de las listas negras. Este punto es muy subjetivo debido a que existe varias empresas u organizaciones que manejan listas negras, la pregunta es cual de estas listas es consultada por hotmail o gmail, pues la respuesta casi segura es ninguna. Estos servidores de correos grandes normalmente manejan sus propias listas negras, por lo cual revisar las paginas que mantienen listas negras es solo para saber que tipo de problemas tenemos y corregirlas antes de ser bloqueados, ya que al inicio nuestro server podra funcionar bien porque nunca envo correo antes pero desde que inicia su labor podra empezar a trabajar con malas configuraciones y poco a poco ser detectado y tachado. Este esquema es como el delincuente que inicialmente es capturado robando, al inicio solo le dara una llamada de atencin, despus lo retendrn unos 5 das y si reincide lo castigaran con anhos de carcel. Este esquema es el usado por servidores de correo y depende de cada server que tan riguroso ser. Entre los mas rgidos esta hotmail. Salir de un bloqueo de gmail no es muy difcil, salir de hotmail una vez que es bloqueado es difcil y lleva mucho tiempo. Solo un punto mas a este tema, es bueno no unicamente revisar el ip del servidor de correo en estas paginas de listas negras (blacklist) sino tambien los ips de los servidores de la red en especia proxys. Para explicar mejor imagina que mi server tiene el ip 116 y el proxy que atiende a mis clientes tiene el ip 115. Ahora imagina que un cliente se infecta y justo tiene su outllok o otro cliente instalado en su equipo, lo primero que har el virus para distribuirse es buscar todas las cuentas de correo que existan en la maquina y enviara correos a todos ellos usando estas mismas cuentas. Osea por ejemplo si ubica un correo A y otro correo B, vera la manera que A envie a B y tambien que B envie a A porque el virus tratara de encajar si alguno es amigo del otro y seria normal que reciba un correo y abra o hasta ejecute el contenido (Un modo de evitar esto es el DNS inverso consultando cual fue su origen y corresponde al dominio). Ahora esta tarea no necesariamente lo har usando tu servidor de correo podra ya tener un servidor de correo identificado como openrelay o incluso usar un correo valido configurado por el creador de virus para enviar a estos correos que el virus consiga recopilar. Si tus cuentas son usadas por este virus, no solo tacharan estas cuentas como spam sino tambin todo tu dominio por eso no solo hay que proteger a tu server sino tambin a tus clientes. Por eso te deca que es bueno proteger que tus clientes no salgan a smtp de fuera de tu red, porque podra estar enviando correo masivo. Incluso hay virus que ellos mismos son servidores smtp en as maquinas de los clientes y envan correo masivo, usando tus cuentas que ubican en estas maquinas infectadas. Con este preambulo por ejemplo usamos este link: http://whatismyipaddress.com/blacklist-check Y buscamos el ip de tu server de correo y ubicara varias listas negras donde fue ubicado tu ip, pero si colocas el ip de tu proxy que creo es el 115 veras que tambin esta, por lo cual podramos asumir que hubo clientes infectados o incluso podran seguir habiendo. El concejo de esto es ubicar la razn del bloqueo para levantar esta observacin y esperar que

el bloqueo caiga. CONCEJOS.Todos los problemas mencionados y acciones, algunas de ellas son de solucin inmediata pero otras pueden demorar mucho tiempo en ser resueltas. Para reproducir las pruebas hechas y mencionados en este documento debe utilizarse un equipo linux diferente del servidor y de preferencia fuera de la red del servidor en problemas, ya que problemas de dns podran estar controlados dentro dela red pero hacia internet presentar problemas. La razn de bloqueo puede deberse a varias cosas: puede ser un openrelay, una mala configuracin de dns o servidor de correo, usuarios de correo infectados enviando mail por otros servidores. Incluso existe un problema en Peru, Si buscas en algunas listas negras veras que todas las ips del rango 200.37 200.48 y otras de Peru estn bloqueadas por completo, es decir no es una institucin sino redes enteras. Fjate bien la razn de bloqueo que aparece en las blacklist y veras que algunos casos indican que en realidad el bloqueo es a todo un rango grande por enviar spam, y eso se debe a que algunas lineas son reutilizadas por telefnica, por ejemplo si pides cambio de linea y te dan una que era usada por una cabina o universidad, ya heredaras el problema. Las mejores listas de bloqueo indican la razon del bloqueo y el nivel, porque se manejan por colores o niveles, no es igual bloquear a alguien por no tener reverse dns que por spam o porque no se identifico en el ip el servicio de correo. O incluso si hubo muchos rechazos de correo desde el dominio, se sospecha que el servidor solamente estuvo activo para suplantar algn dominio. En este caso hay que cuidar incluso no estar mucho tiempo fuera de linea, esto solo lo vi en hotmail que despus de un mes de no pagar una linea el dominio simplemente fue bloqueado, porque muchos correos rebotaron.