Uma vulnerabilidade foi encontrada no Exim, o MTA usado pelo cPanel. Um patch de correção já foi aplicado e a versão corrigida liberada para atualização.

De acordo com notícia divulgada pelo desenvolvedora o exploit é um buffer overflow que explora capacidades relacionadas a alteração das configurações em tempo de execução. Isso permite que comandos sejam executados com o usuário que executa o Exim. O problema é que o usuário retém permissões de root quando executado com os parâmetros -D ou -C.

Para solucionar o problema, a nova versão disponibilizada trava os arquivos de configuração em /etc/exim* e também impede que o Exim seja executado com as flags -D e -C

Para conferir a versão atual em seu servidor, utilize o comando:
rpm -qa exim

Todos os servidores WHM/cPanel gerenciados pela WidecomBrasil já foram atualizados com a nova versão do MTA (Exim 4.69-25).

Fonte: Blog Cpanel

Recentemente tivemos um cliente que decidiu alterar o IP de envio de emails do seu domínio para um dos IPs livres do seu servidor. Este IP nunca antes havia sido utilizado para envio de qualquer tipo de mensagem. Para nossa surpresa, foi detectado que ele estava bloqueado em uma RBL.

Como pode um IP que nunca foi utilizado estar bloqueado por envio de spam? Simplesmente porque algumas destas entidades decidem que é mais fácil bloquear uma faixa inteira de IPs, quando deveriam bloquear apenas os IPs que originaram as mensagens. E ainda pra dar uma de espertinho, resolvem cobrar valores que chegam perto dos 100 (cem) dólares para que a remoção do IP seja feita.

Nossa velha conhecida é a backscatterer.org. Fazem bloqueio por classe de IPs. Me lembro de uma ocasião há alguns anos atrás em que bloquearam toda a classe 72.232, classe que pertence à LayeredTech. Um dos clientes de dedicado resolveu, por conta própria, efetuar o pagamento do valor de U$97,00 (noventa e sete dólares) para ter seu IP imediatamente removido da lista. O IP dele foi removido por um dia, e no dia seguinte estava novamente listado. Motivos para o bloqueio?

“…your system tried to send bounces or autoresponders to claimed but in reality faked senders, or your system tried sender verify callouts against our members near that time.”

“…seu sistema tentou enviar resposta de erro ou auto-respostas para endereços falsos ou tentou realizar uma checagem de remetente de nossos usuários”

Então se ocorre algum erro no envio eu tenho que deixar meus usuários sem saber o que fazer, achando que o envio foi bem sucedido porque meu servidor não pode fornecer retorno de erro? Meus clientes também não podem configurar o próprio email como desejam pois não posso permitir configuração de auto-respostas, caso contrário vou ter que pagar 200 reais pra remover meu IP de uma blacklist.

Eles ainda informam que o bloqueio é apenas temporário. Dentro de “apenas” 4 semanas, se não houver reincidência, o IP será removido da lista automaticamente. Então se eu remover todas as auto-respostas do meu servidor por um mês terei meu servidor livre. ¬¬

Neste caso recente nos deparamos com a Fabelsources. A entidade não cobra valor para remoção do IP, apenas solicitam registro. Porém bloquearam toda a faixa de IPs onde o servidor se encontra. Por este motivo, um IP que nunca tinha sido usado, de repente aparece listado em uma RBL.

As mais utilizadas RBLs são SpamCop e Spamhaus. Elas prestam um serviço sério e muito bom, o próprio cPanel agregou há algum tempo opções na configuração do Exim para utilizá-las no seu servidor apenas selecionando uma checkbox. A SpamHaus também tem um serviço que filtra não apenas os IPs de servidores, mas IPs de usuários que disparam spams, o que nem sempre é bom se seu computador estiver infectado com algum malware enviando mensagens por aí, mas é bastante interessante.

Particularmente gosto muito do serviço da SpamCop por oferecer ferramentas de checagem e denúncia bem simples. Além disso, se seu IP foi bloqueado eles lhe disponibilizam o email que originou o bloqueio, com cabeçalho completo, e alternativa de réplica, caso seu IP foi listado indevidamente. Da mesma forma trabalha a Outblaze.

Quando o email padrão for configurado para :fail: ou :blackhole: (este último não recomendado, por sinal), a conta de email principal do domínio deixará de funcionar, retornando a mensagem de erro “No such user here“.

Se o email padrão estiver configurado para a conta principal, este problema não acontece e a conta recebe emails normalmente, tanto interna quanto externamente.

Para que seja possível utilizar o :fail: e a conta principal ao mesmo tempo, basta criar o email principal como se fosse criar uma nova conta de email.