controlando la cola con qshape (parte 2 de 2)

21 de febrero de 2009

El siguiente ejemplo nos permite detectar un ataque llamado "de rebote". Veamos la cola de deferred:

$ qshape deferred | head

                         T  5 10 20 40 80 160 320 640 1280 1280+
                TOTAL 2234  4  2  5  9 31  57 108 201  464  1353
  heyhihellothere.com  207  0  0  1  1  6   6   8  25   68    92
  pleazerzoneprod.com  105  0  0  0  0  0   0   0   5   44    56
       groups.msn.com   63  2  1  2  4  4  14  14  14    8     0
    orion.toppoint.de   49  0  0  0  1  0   2   4   3   16    23
          kali.com.cn   46  0  0  0  0  1   0   2   6   12    25
        meri.uwasa.fi   44  0  0  0  0  1   0   2   8   11    22
    gjr.paknet.com.pk   43  1  0  0  1  1   3   3   6   12    16
 aristotle.algonet.se   41  0  0  0  0  0   1   2  11   12    15

Vemos que en total hay 2234 correos pendientes de enviar y que por un motivo desconocido no se han podido entregar. Veamos ahora el remitente de estos correos:

$ qshape -s deferred | head

                     T  5 10 20 40 80 160 320 640 1280 1280+
            TOTAL 2193  4  4  5  8 33  56 104 205  465  1309
    MAILER-DAEMON 1709  4  4  5  8 33  55 101 198  452   849
      example.com  263  0  0  0  0  0   0   0   0    2   261
      example.org  209  0  0  0  0  0   1   3   6   11   188
      example.net    6  0  0  0  0  0   0   0   0    0     6
      example.edu    3  0  0  0  0  0   0   0   0    0     3
      example.gov    2  0  0  0  0  0   0   0   1    0     1
      example.mil    1  0  0  0  0  0   0   0   0    0     1

Vemos que el remitente es el MAILER-DAEMON. Lo que nos están haciendo es enviar correos desde un dominio que no existe a un usuario de nuestro dominio que tampoco existe. Esto provoca un correo de vuelta al remitente el cual no se puede entregar porque el dominio de origen no existe. El resultado es que la cola de deferred se va llenando y llenando de correos del MAILER-DAEMON.

El siguiente ejemplo muestra una estadística de envío de mucho correo hacia un dominio el cual su MTA es muy lento o da timeouts.

$ qshape deferred | head

                    T   5  10  20  40   80  160 320 640 1280 1280+
           TOTAL 5000 200 200 400 800 1600 1000 200 200  200   200
 muchocorreo.com 4000 160 160 320 640 1280 1440   0   0    0     0

Vemos como rápidamente el correo se va acumulando y cada vez es más viejo. Esto puede llegar a ser peligroso porque si realmente el MTA de destino no está caído todo este correo seguirá reintentando dentro de la cola active, y esto si que puede resultar preocupante.

Más información:
+ qshape postfix


si quieres estos botones bajate miaddthis

por amperis a las 2:59 p. m. enviar por correo suscribirse url ver reacciones

Etiquetas:


suscribirse al feed