Postfix

後綴辨識真正的發件人

  • June 24, 2021

最近我的伺服器生成了許多垃圾郵件。我在範例消息中查找了資訊,但發件人顯然是偽造的,並且消息標題中也沒有後綴使用者 ID。以下是範例消息的完整標頭:

root@server:~# postcat -qv 400CB848E9
postcat: name_mask: all
postcat: inet_addr_local: configured 4 IPv4 addresses
postcat: inet_addr_local: configured 2 IPv6 addresses
*** ENVELOPE RECORDS hold/400CB848E9 ***
message_size:            2333             670               1               0            2333               0
message_arrival_time: Thu Jun 24 06:44:46 2021
create_time: Thu Jun 24 06:44:46 2021
named_attribute: log_ident=400CB848E9
named_attribute: rewrite_context=local
sender: er@solanapres.org
named_attribute: log_client_name=localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=40070
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost.localdomain
named_attribute: reverse_client_name=localhost.localdomain
named_attribute: client_address=127.0.0.1
named_attribute: client_port=40070
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;lovedakids@aol.com
original_recipient: lovedakids@aol.com
recipient: lovedakids@aol.com
*** MESSAGE CONTENTS hold/400CB848E9 ***
regular_text: Received: from localhost (localhost.localdomain [127.0.0.1])
regular_text:   by dallas.mylocalhostdomain.com (Postfix) with ESMTP id 400CB848E9
regular_text:   for <lovedakids@aol.com>; Thu, 24 Jun 2021 06:44:46 -0400 (EDT)
regular_text: From: Google Drive Storage <er@solanapres.org>
regular_text: To: lovedakids@aol.com
regular_text: MIME-Version: 1.0
regular_text: Message-ID: <f17bc7e911b.5cf15cb45ed7.ea3587586c6@solanapres.org>
regular_text: Date: Thu, 24 Jun 2021 06:44:46 +0000
regular_text: Content-Type: text/html; charset=UTF-8
regular_text: Content-Transfer-Encoding: 7bit
regular_text: Subject: File is damaged and could not be repaired

從頭部可以看出,消息的發送者是er@solanapres.org,但是伺服器上不存在這個域名/使用者。據我所知,我很困惑,使用者必須存在於伺服器上,然後才能對 SMTP 進行身份驗證。此外,mail.log 文件中也沒有認證資訊。

我希望有人可以幫助指出如何辨識生成此消息的真實使用者?

謝謝!

仔細看看這些:

sender: er@solanapres.org
named_attribute: log_client_name=localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=40070
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: helo_name=localhost

這意味著,來自localhost(即伺服器機器本身)的某些程序向該伺服器進行了 ESMTP 事務。它開始時EHLO localhost,然後,在沒有任何身份驗證的情況下,它被接受傳遞。我猜你127.0.0.1mynetworks. 它添加的“已接收”標頭具有相同的資訊(難怪)。

這就是 Postfix 所看到的並且可以告訴你的全部內容。在其他地方尋找“誰是真正的發件人”的答案。那可能是網路郵件,所以請閱讀網路伺服器訪問日誌;這可能是伺服器被破壞(哦!)或者只是 PHP 腳本中有一些允許發送郵件的漏洞。檢查 wtmp (last等等)。*在Thu, 24 Jun 2021 06:44:46 -0400 (EDT)*附近尋找日誌。

我會重申這一點,讓您不要換句話來問同樣的問題:Postfix 已盡其所能向您透露它從哪裡得到這封郵件。它唯一知道郵件來自本地主機。這敲響了警鐘:“檢查你的本地主機”(伺服器)。

引用自:https://serverfault.com/questions/1067682