Seguridad Mi antispam devuelve los correos

Buenas tardes!!

Tengo un problema con los correos entrantes hacia mi servidor cpanel. Cuando intentan enviar correos hacia el servidor, el sistema les responde con este mensaje:

"The mail server detected your message as spam and has prevented delivery (50)."

Segun WHM, van 271 mensajes así. ¿Que puede estar ocurriendo?

 

Puede que estés sufriendo un ataque de spam, que alguna cuenta del servidor esté recibiendo mucho spam.
Si lo he entendido bien, el problema es con los correos entrantes, ¿no?
¿Puedes ver si van todos a la misma cuenta o al mismo dominio?

 

Hay alguna manera de saberlo por WHM? O tengo que acceder al mail.log?

 

Los correos que recibo en teoria parte deberian de ser de clientes

 

Hombre, en los registros lo verás más rápido.
Aunque creo que desde WHM puedes ver la cola de correo, si el problema es que no están entrando, entonces no verás nada en la cola.

Quizá en el log veas la explicación entera de por qué está rechazando los correos (si es por SPF fail, por ejemplo...)

 

Algo como esto quizas....

CODE, HTML o PHP Insertado:

Apr  8 16:44:17 cpanel spamd[2554]: spamd: clean message (4.4/5.0) for XXXXXXXXX:505 in 8.6 seconds, 4003 bytes.
Apr  8 16:44:17 cpanel spamd[2554]: spamd: result: . 4 - HEADER_FROM_DIFFERENT_DOMAINS,HTML_IMAGE_ONLY_28,HTML_MESSAGE,MIME_HTML_ONLY,SPF_FAIL,SPF_HELO_PASS,SUBJ_ALL_CAPS,T_REMOTE_IMAGE,URIBL_BLOCKED scantime=8.6,size=4003,user=XXXXXXXXXX,uid=505,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=41499,mid=<bd37d48955bd931e29251e9bd278b000@bt.orbisbooking.com>,autolearn=no autolearn_force=no,shortcircuit=no

o esto

CODE, HTML o PHP Insertado:

Apr  8 16:27:53 cpanel spamd[2554]: spamd: connection from localhost.localdomain [127.0.0.1]:40663 to port 783, fd 5
Apr  8 16:27:53 cpanel spamd[2554]: spamd: setuid to CLIENTE succeeded
Apr  8 16:27:53 cpanel spamd[2554]: spamd: checking message <a1fd24aabbf3e96bedf9b399038cfeb6@zp0k.qqlet.com> for CLIENTE:532
Apr  8 16:27:58 cpanel spamd[2554]: spamd: identified spam (17.8/5.0) for CLIENTE:532 in 4.3 seconds, 11662 bytes.
Apr  8 16:27:58 cpanel spamd[2554]: spamd: result: Y 17 - DATE_IN_PAST_24_48,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,HTML_IMAGE_RATIO_02,HTML_MESSAGE,MPART_ALT_DIFF,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PSBL,RDNS_NONE,SPF_PASS,URIBL_BLOCKED,URIBL_DBL_SPAM,URIBL_JP_SURBL,URIBL_WS_SURBL scantime=4.3,size=11662,user=CLIENTE,uid=532,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=40663,mid=<a1fd24aabbf3e96bedf9b399038cfeb6@zp0k.qqlet.com>,autolearn=no autolearn_force=no,shortcircuit=no
Apr  8 16:27:58 cpanel spamd[4114]: prefork: child states: II

 

Pero eso es respecto a un mensaje que no es spam (clean message)
Busca donde te indique que es spam

 

El que he puesto a continuacion del cleaned por ejemplo

 

Según eso, el mensaje que ha entrado es claramente spam:

CODE, HTML o PHP Insertado:

identified spam (17.8/5.0)

Entonces entiendo que es normal, es decir, que es el comportamiento correcto.
Mira la lista de "motivos", no parece un falso positivo. Además parece que la ip de origen está en lista negra.

 

Identificare el correo del cliente haber cuales son los motivos por los que no pasa

 

No tendrás el spamassasin mal configurado o algún otro filtro anti spam ?

 

Puede ser posible. ¿Que aspectos me recomendais echar un vistazo? Es mi primera vez con un WHM y me esta resultando tedioso

 

En cPanel -> spamassasin en la cuenta de correo que te rechaza los emails.

 

no veo nada relevante

 

Si no los quieres eliminar sino que solo los etiquete marca en "Deshabilitar la eliminación automática de spam" nunca es bueno tenerla activado, pueden haber falsos positivos y perderás correo legítimo

 

Me encuentro el siguiente error ahora:

Sorry for the inconvenience!
The filesystem mounted at / on this server is running out of disk space. cPanel operations have been temporarily suspended to prevent something bad from happening. Please ask your system admin to remove any files not in use on that partition.

¿Activé la configuracion heredada de backup. Puede ser por eso?

 

He eliminado espacio, pero volverá a ocurrir. Era por tema del backup que ya ocupaba 38 gigas. Entiendo que este mal configurado.

He desasctivado la eliminación de spam. Haber que ocurre...

 

¿Por qué la has desactivado? ¿Estás seguro de que era un falso positivo?
Un score de más de 17 no parece un falso positivo

 

El ejemplo que te puse no era un falso positivo. Debo encontrar el porque del correo de ese cliente, así que me llevará un rato, pero de momento que no se les borren.

 

para eso esta bien tener instaladas opciones como:

• ConfigServer Mail Queues
• ConfigServer Mail Manage
• MailScanner

saludos