Postfix
後綴辨識真正的發件人
最近我的伺服器生成了許多垃圾郵件。我在範例消息中查找了資訊,但發件人顯然是偽造的,並且消息標題中也沒有後綴使用者 ID。以下是範例消息的完整標頭:
root@server:~# postcat -qv 400CB848E9 postcat: name_mask: all postcat: inet_addr_local: configured 4 IPv4 addresses postcat: inet_addr_local: configured 2 IPv6 addresses *** ENVELOPE RECORDS hold/400CB848E9 *** message_size: 2333 670 1 0 2333 0 message_arrival_time: Thu Jun 24 06:44:46 2021 create_time: Thu Jun 24 06:44:46 2021 named_attribute: log_ident=400CB848E9 named_attribute: rewrite_context=local sender: er@solanapres.org named_attribute: log_client_name=localhost.localdomain named_attribute: log_client_address=127.0.0.1 named_attribute: log_client_port=40070 named_attribute: log_message_origin=localhost.localdomain[127.0.0.1] named_attribute: log_helo_name=localhost named_attribute: log_protocol_name=ESMTP named_attribute: client_name=localhost.localdomain named_attribute: reverse_client_name=localhost.localdomain named_attribute: client_address=127.0.0.1 named_attribute: client_port=40070 named_attribute: helo_name=localhost named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 named_attribute: dsn_orig_rcpt=rfc822;lovedakids@aol.com original_recipient: lovedakids@aol.com recipient: lovedakids@aol.com *** MESSAGE CONTENTS hold/400CB848E9 *** regular_text: Received: from localhost (localhost.localdomain [127.0.0.1]) regular_text: by dallas.mylocalhostdomain.com (Postfix) with ESMTP id 400CB848E9 regular_text: for <lovedakids@aol.com>; Thu, 24 Jun 2021 06:44:46 -0400 (EDT) regular_text: From: Google Drive Storage <er@solanapres.org> regular_text: To: lovedakids@aol.com regular_text: MIME-Version: 1.0 regular_text: Message-ID: <f17bc7e911b.5cf15cb45ed7.ea3587586c6@solanapres.org> regular_text: Date: Thu, 24 Jun 2021 06:44:46 +0000 regular_text: Content-Type: text/html; charset=UTF-8 regular_text: Content-Transfer-Encoding: 7bit regular_text: Subject: File is damaged and could not be repaired
從頭部可以看出,消息的發送者是
er@solanapres.org
,但是伺服器上不存在這個域名/使用者。據我所知,我很困惑,使用者必須存在於伺服器上,然後才能對 SMTP 進行身份驗證。此外,mail.log 文件中也沒有認證資訊。我希望有人可以幫助指出如何辨識生成此消息的真實使用者?
謝謝!
仔細看看這些:
sender: er@solanapres.org named_attribute: log_client_name=localhost.localdomain named_attribute: log_client_address=127.0.0.1 named_attribute: log_client_port=40070 named_attribute: log_message_origin=localhost.localdomain[127.0.0.1] named_attribute: log_helo_name=localhost named_attribute: log_protocol_name=ESMTP named_attribute: helo_name=localhost
這意味著,來自
localhost
(即伺服器機器本身)的某些程序向該伺服器進行了 ESMTP 事務。它開始時EHLO localhost
,然後,在沒有任何身份驗證的情況下,它被接受傳遞。我猜你127.0.0.1
在mynetworks
. 它添加的“已接收”標頭具有相同的資訊(難怪)。這就是 Postfix 所看到的並且可以告訴你的全部內容。在其他地方尋找“誰是真正的發件人”的答案。那可能是網路郵件,所以請閱讀網路伺服器訪問日誌;這可能是伺服器被破壞(哦!)或者只是 PHP 腳本中有一些允許發送郵件的漏洞。檢查 wtmp (
last
等等)。*在Thu, 24 Jun 2021 06:44:46 -0400 (EDT)*附近尋找日誌。我會重申這一點,讓您不要換句話來問同樣的問題:Postfix 已盡其所能向您透露它從哪裡得到這封郵件。它唯一知道郵件來自本地主機。這敲響了警鐘:“檢查你的本地主機”(伺服器)。