el blog de DIMENSIS

Un spammer ha aprovechado un fallo de seguridad, después de resolver una incidencia de enrutamiento, para acceder a la máquina ESP 07 y reconfigurar el sistema para enviar spam por medio de la IP principal de la máquina.

El objetivo del atacante no ha sido acceder a datos personales, ni bloquear el servicio, ni desconfigurar el sistema. Se trató de un simple ataque para enviar varios miles de mensajes spam gratuitamente. El ataque no hubiera tenido mayor importancia si no fuera porque la reconfiguración que realizó el atacante afectó de forma crítica al sistema interno de procesamiento y entrega de correos en la máquina.

Ningún servidor virtual recibió el ataque directo del spammer, ni sufrío modificación alguna en la configuración, pero los 6 servidores virtuales que comparten ESP 07 se vieron afectados por un corte del servicio de envío de correos (SMTP con SendMail). El problema fue difícil de localizar, porque todos los servicios estaban activos y bien configurados. Todos los puertos respondían correctamente y el servicio DNS era correcto. Sin embargo, los servidores virtuales no permitían el RELAY de mensajes.

Tras varias horas de revisiones y pruebas, se identificó el problema real, que afectaba la máquina y no a los servidores virtuales, como se había pensado y como apuntaban los mensajes de error.

Se trata de un problema realmente raro, que ha servido para detectar el fallo de seguridad y resolverlo. Lamentablemente ha supuesto la imposibilidad de utilizar sendmail durante unas horas. Rogamos disculpen las molestias.

Una incidencia crítica en la pasarela de correo principal ha provocado la interrupción del servicio de filtrado antispam desde las 17:30 horas aproximadamente. A partir de las 15:00 horas se han detectado los primeros problemas, pero han sido resueltos inicialmente. Más tarde se ha perdido la conexión con la máquina que aloja la pasarela principal y todavía no ha podido ser restablecida.

La incidencia se considera crítica porque afecta al hardware de la máquina y requiere el cambio de varios componentes. Un técnico se ha desplazado a la máquina y está trabajando para reiniciar el servicio lo antes posible.

Esta incidencia ha afectado al filtrado antispam y al servicio SMTP (Sendmail) en una veintena de servidores virtuales que utilizan esta pasarela. Para minimizar los problemas derivados, se ha desactivado el filtrado antispam de forma temporal en algunos servidores, o se ha redireccionado hacia otras pasarelas de correo secundarias.

Actualizado a las 23:00 horas: La máquina averiada ya ha sido reparada. La pasarela de correo principal se reiniciará en unos minutos y progresivamente se volverá a restablecer el servicio antispam en los servidores que quedó deshabilitado temporalmente.

Disculpen las molestias.

La madrugada del 10 de abril estaba prevista una actualización del software preinstalado que forma parte de los servidores virtuales con IspManager. Todo estaba preparado y revisado, pero una incidencia en el servidor central de actualizaciones generó una actualización incorrecta en varios servidores.

Afortunadamente, el sistema de actualizaciones detecta los fallos de actualización en remoto y detiene el proceso inmediatamente. Aún así, a las 09:00 de ayer se detectó que una de las máquinas ya había iniciado la actualización incorrecta de varias aplicaciones.

La incidencia afectó algunas librerías importantes del sistema, utilizadas por casi todos los servicios, pero los técnicos pudieron restringir el problema a partir de las 12:00 horas. A pesar de los esfuerzos para realizar una reinstalación manual de las librerías afectadas  y una reconfiguración de sendmail y proftp, la resolución de la incidencia se retrasó hasta las últimas horas del día.

Desde Dimensis solicitamos disculpas por las molestias que la incidencia causó a los clientes alojados en la máquina ESP05. Se trató de subsanar lo más pronto posible, pero en este caso era imprescindible la participación de los técnicos de IspServer (empresa propietaria de IspManager y encargada del desarrollo y mantenimiento del software), por lo que el tiempo de respuesta se incrementó por encima de los plazos de intervención garantizados por Dimensis.

Como consecuencia de la grave incidencia que hoy ha afectado a una de las máquinas de Dimensis (dimensis.com), se ha tomado la decisión de abandonar definitivamente el datacenter de Bruselas.

Desde principios de año, Dimensis ya ha trasladado 6 máquinas desde Bruselas y Nueva York hacia España, pero todavía se mantenía una máquina en Bruselas, con la intención de ofrecer servicios desde un datacenter fuera de España.

[leer noticia completa]

Hoy he sufrido un problema de envío de mensajes desde nuestra conexión local (Telefónica). Por suerte no ha habido ningún problema en los servidores de Dimensis y eso me ha permitido recibir correos perfectamente y enviarlos también, pero desde WebMail (es decir, directamente desde el servidor).

El problema ha sido local. Y me ha recordado a algunas incidencias comentadas por clientes. Esta mañana no podía enviar emails, pero rápidamente he observado que se trataba de un problema de mi ordenador o conexión. He revisado la instalación de Windows XP, he instalado algunas actualizaciones, he escaneado con varios antivirus y varios antispyware. NADA.

Después me he puesto a revisar el router, pero todo parecía perfecto, aunque he visto que la IP de mi conexión estaba listada en 8 listas antispam mundiales. Así que he reseteado el router y he desactivado la conexión wireless para intentarlo directamente con el cable de red. Además he modificado la configuración de TCP/IP para asignar manualmente las DNS de Telefónica que supuestamente funcionan mejor. NADA.

En la Red le leído algunos problemas parecido y todos me apuntaban en la misma dirección: Contacta con tu proveedor de conexión. Así lo he hecho pero como siempre ellos no tienen constancia de ninguna incidencia. Les pido que lo revisemos juntos y me dicen que no encuentran ningún fallo en la respuesta del router y que mi conexión funciona perfectamente. Seguimos hablando y después de explicarle otra vez por qué se que se trata de un fallo de la conexión, me dice que quizás tengo bloqueado el puerto 25 de la conexión. ¿Cómo? Pero si me han asegurado que todo funciona perfectamente. Sigo insistiendo y finalmente me dice que envíe una incidencia a NEMESIS, que son los responsables de las conexiones de red de Telefónica (particulares y empresas). Así lo hago…pero 6 horas después sigo esperando que alguien me responda.

Con tanto tiempo para pensar, aunque puedo trabajar con normalidad a través de WebMail, no me doy por vencido y sigo buscando una solución. Me da por pensar que si tengo bloqueado el puerto 25 de la conexión, quizás se solucione si envío los emails hasta Dimensis por medio de otro puerto. Así que después de buscar un poco encuentro varios puertos que pueden servir.

SOLUCIONADO. Modifico la configuración de Thunderbird para que envíe los mensajes por el puerto 587 y ya me deja enviar.

Osea, que no era un problema de Windows, ni de firewall (desactivado en las pruebas) ni antivirus (desactivado en las pruebas), ni del router (todos los puertos abiertos en las pruebas). Lo que está claro es que los servidores de Dimensis me responden desde el puerto 25 y procesan bien el envío. En el maillog se ve claramente que todos los clientes envían y reciben sin problemas. SpamAssassin no me ha bloqueado nada y lo único que he tenido que hacer es cambiar el puerto de conexión para enviar la petición a Dimensis.

Supongo que dentro de unos días me dirán algo de Timofónica o Nemesis, me dirán que reinicie el router y ya me funcionará o simplemente un día funcionará con una nueva IP. Pero es triste ver que he cambiado 4 veces de IP en las pruebas y todas ellas están dentro de listas antispam mundiales. ¡Qué vergüenza! Yo no le pago a Telefónica para que me asigne una IP dinámica que está en una lista antispam. No soy un spammer y no tengo porque sufrir bloqueos en mi conexión o mis envíos. Yo no le pago a Telefónica para que me bloquee el puerto de envío de mensajes. ¡Qué vergüenza!

Por suerte para mí, yo estoy seguro de qué pasa y se que no es un problema de bloqueo desde Dimensis o malfuncionamiento de los servidores o de los equipos en local. Desgraciadamente, lo único que no podemos controlar es el camino desde la oficina al datacenter que aloja los servidores Dimensis. Desgraciadamente, esto depende de Telefónica.

Algunos clientes, especialmente en América, nos han comunicado que tienen problemas para enviar correos a hotmail.com. Tras descartar que se trate de un problema en los servidores de Dimensis, se ha contactado con hotmail y parece ser que se trata de un problema con el filtro antispam de la compañía. Los mensajes salen del servidor de Dimensis, pero quedan en cola de envíos pendientes de procesamiento cuando llegan a Hotmail. Una vez allí no son procesados, y el sistema tampoco envía ningún correo de advertencia al remitente.

Hemos observado que el problema se repite sólo en algunos servidores de correo de la red de hotmail.com, aunque no en todos.

Gracias al Bruno Touleau (Web Gear International) hemos obtenido la siguiente respuesta por parte de Hotmail:

We received your message at randomtestacct@hotmail.com . This message was delivered to the Junk Mail folder in this account. I am unable to disclose what specifically within the content of your message is causing our filters to view it as unsolicited e-mail. In general, however, I can explain what happens with our filters.

While you have valid SPF/Sender ID records published for your domain (webgearinternational.com) and your domain has been added to the Sender ID database. This may take up to 2 business days to be fully replicated in the DNS and our systems. The email headers in the sample message that you sent indicate that your information has not been fully replicated in our systems, yet.

Alrededor de las 11:30 horas se ha producido una incidencia en el funcionamiento de la máquina 213.195.72.8. Minutos después se ha perdido la conexión total de forma remota. Nuestros técnicos en el datacenter de San sebastián ya están trabajando sobre la máquina para restablecer su funcionamiento en el menor tiempo posible.

12:10 horas: Los técnicos detectan un fallo de hardware y proceden a su sustitución.

12:45 horas: Se reinicia la máquina y se procede a la reactivación de todos los recursos afectados.

Disculpen las molestias.