correos "falsos" con mi dominio

David_erh · #1 (**permalink**) 16/06/2005, 20:21

Hola a todos los del foro, soy un muy novel administrador de red,mi primo me ha dado la oportunidad de administrar la red de su empresa y espero me ayuden en este reto.El server es win2000, el correo lo administramos con exchange server, GFI para filtrar y Mcaffe Virus scan.
Bueno resulta que desde hace unos días a los usuarios les ha estado llegando correos con el dominio nuestro(midominio.com),pero con nombres de unsuarios extraños e inexistentes,ejemplo [email protected], [email protected] ,[email protected],etc.
¿a que se debe esto?, ¿virus?, espero me puedan ayudar.
Otra cosa más, un cliente nos llamo para indicarnos que cuando nos envia un correo le retorna un aviso extraño que no entiende y además no recibimos su correo; yo le pedi que me envíara una copia de ese correo que le llega a mi correo personal; y esto es lo que dice:

> El mensaje adjunto tenía errores de entrega no graves y transitorios
>
> ESTE ES SÓLO UN MENSAJE DE ADVERTENCIA - ¡NO NECESITA REENVIAR EL MENSAJE!
>
> Este servidor está configurado para reintentar automáticamente la entrega a intervalos
> configurados. Los intentos subsiguientes para entregar este mensaje están pendientes.
>
> Failed address: [email protected]
>
> --- Session Transcript ---
> Thu 2005-06-16 11:00:33: Parsing Message <xxxxxxxxxxxxxxxxxx\pd50000000359.msg>
> Thu 2005-06-16 11:00:33: From: [email protected]
> Thu 2005-06-16 11:00:33: To: [email protected]
> Thu 2005-06-16 11:00:33: Subject: PROG. INGLES
> Thu 2005-06-16 11:00:33: Message-ID: < [email protected]>
> Thu 2005-06-16 11:00:33: Resolución del registro-MX de [ midominio.com] en curso (Servidor DNS: 200.48.0.50)...
> Thu 2005-06-16 11:00:33: El servidor de nombres indica que tiene problemas técnicos.
> Thu 2005-06-16 11:00:33: Intentando la conexión SMTP a [midominio.com : 25]
> Thu 2005-06-16 11:00:33: Resolución del registro-A de [ midominio.com] en curso (Servidor DNS: 200.48.0.50)...
> Thu 2005-06-16 11:00:33: El servidor de nombres indica que tiene problemas técnicos.
> Thu 2005-06-16 11:00:33: Este mensaje tiene 61 minutos de antigüedad; faltan 0 minutos en esta cola
> Thu 2005-06-16 11:00:33: Se excedió la duración de la cola principal; el mensaje se colocará en la cola de reintentos
> --- End Transcript ---
> : El mensaje contiene [1] archivos adjuntos
>

Yo creo que es un problema del DNS de mi proveedor, o me equivoco???.

Creo que este pedido de ayuda ya ha sido bastante grande y espero puedan ayudarme.
Saludos y gracias.
David

Slayer_X · #2 (**permalink**) 17/06/2005, 09:30

Hola

Es un virus, ojo, no significa que alguno de tus usuarios este infectado, lo que si es seguro es que es un virus el que esta generando esos mensajes; tiene como caracteristica que te atacha un zip y dentro de el hay un archivo con extension ejecutable con muchos espacios, mas o menos asi.
"archivo.txt .scr"

Lo que intenta evidentemente es que el usuario se confie en la extension .txt y lo abra, logrando asi la infeccion.

Casualmente ayer encontre el virus en las redes de 2 de mis clientes, en una todas las PCs estaban limpias, revisando el servidor de correo, vimos que todos los mensajes provenian del exterior, en el 2do caso 2 PCs internas estaban infectadas, el virus es una variante de MyDoom que tiene la habilidad de desactivar el antivirus para q no lo pueda eliminar.

Revisa los headers de los emails y determina el origen para que le notifiques el problema .

Gian_Arg · #3 (**permalink**) 18/06/2005, 09:45

Buenos dias a todos, respondo este mensaje pero haciendo una nueva pregunta, porque me está pasando algo parecido a David. Si bien no tengo el problema de los mails enviados con virus, me pasa que recibo muchisimo spam con mi nombre de dominio pero con usuarios falsos, y tambien con los usuarios correctos (ni hablar del spam tradicional con nombres rarisimos y archivos adjuntos) Mi duda en particular es si esos mails que recibo con mi propio dominio, se debe a un hacking al servidor de mails de la empresa donde tengo alojado mi sitio por ejemplo?? cómo me puede llegar un spam con mi propia dir de email? o bien con un usuario inexistente pero con mi propio dominio? existe alguna forma de combatir este tipo de problemas? me gustaría que me puedan aclarar un poco este inconveniente porque realmente me preocupa.

Gracias!!