Postfix
從我的專用伺服器 Centos/Postfix 發送的垃圾郵件,不知道如何阻止人們連接
在過去的 2 個小時裡,我在這裡閱讀了很多主題,做了一些更改,但我不確定事情是如何發生的,以及事情是否已修復。
首先,今天早上,我收到一封來自 OVH 的電子郵件,說我的伺服器發送了很多垃圾郵件,並且在我解決問題之前,我的 IP 被阻止使用埠 25。他們還關聯了負責此禁令的消息樣本:
Destination IP: 168.95.6.64 - Message-ID: mpxcuxdxl9834@21cn.com - Spam score: 391 Destination IP: 168.95.6.58 - Message-ID: evdebemmjzwt106@sina.com - Spam score: 371 Destination IP: 168.95.6.58 - Message-ID: ixngzbnjbvmdxo3857@21cn.com - Spam score: 371 Destination IP: 168.95.5.11 - Message-ID: zsmhsrji211@163.com - Spam score: 371 Destination IP: 168.95.5.64 - Message-ID: skvxncsvkpty6401@yeh.net - Spam score: 371非常恐慌,我停用了 Postfix 並嘗試調整設置以使其更安全:通過 webmin 設置此處
然後我檢查了我的日誌,然而,我仍然看到一些奇怪的未知聯繫,我不知道從哪裡來,我不知道是誰,我也不知道為什麼。
目前郵件:
May 24 15:32:12 web postfix/smtpd[19826]: connect from unknown[89.248.171.131] May 24 15:32:12 web postfix/smtpd[19826]: disconnect from unknown[89.248.171.131] May 24 15:32:14 web postfix/smtpd[19826]: connect from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191] May 24 15:32:14 web postfix/smtpd[19826]: NOQUEUE: reject: RCPT from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191]: 454 4.7.1 <mik.josh1@outlook.com>: Relay access denied; from=<me@newhouse.com> to=<mik.josh1@outlook.com> proto=ESMTP helo=<[192.168.1.142]> May 24 15:32:14 web postfix/smtpd[19826]: disconnect from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191] May 24 15:33:34 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known May 24 15:33:34 web postfix/smtpd[19826]: connect from unknown[91.197.232.50] May 24 15:33:34 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50] May 24 15:34:31 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known May 24 15:34:31 web postfix/smtpd[19826]: connect from unknown[91.197.232.50] May 24 15:34:32 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50] May 24 15:34:32 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known May 24 15:34:32 web postfix/smtpd[19826]: connect from unknown[91.197.232.50] May 24 15:34:32 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50] May 24 15:34:36 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known May 24 15:34:36 web postfix/smtpd[19826]: connect from unknown[91.197.232.50] May 24 15:34:36 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50]這是我目前的消息日誌:
May 24 15:32:45 web systemd: Got automount request for /proc/sys/fs/binfmt_misc, triggered by 19554 (find) May 24 15:32:45 web systemd: Mounting Arbitrary Executable File Formats File System... May 24 15:32:45 web systemd: Mounted Arbitrary Executable File Formats File System. May 24 15:33:01 web systemd: Started Session 3792 of user site1. May 24 15:33:01 web systemd: Starting Session 3792 of user site1. May 24 15:34:01 web systemd: Started Session 3793 of user site1. May 24 15:34:01 web systemd: Starting Session 3793 of user site1. May 24 15:35:01 web systemd: Started Session 3794 of user mailman. May 24 15:35:01 web systemd: Starting Session 3794 of user mailman. May 24 15:35:01 web systemd: Started Session 3795 of user root. May 24 15:35:01 web systemd: Starting Session 3795 of user root. May 24 15:35:02 web su: (to postgres) root on none May 24 15:35:50 web clamd: SelfCheck: Database modification detected. Forcing reload. May 24 15:35:50 web clamd[1361]: SelfCheck: Database modification detected. Forcing reload. May 24 15:35:50 web clamd[1361]: Reading databases from /var/lib/clamav May 24 15:35:50 web clamd: Reading databases from /var/lib/clamav May 24 15:35:58 web clamd[1361]: Database correctly reloaded (4399850 signatures) May 24 15:35:58 web clamd: Database correctly reloaded (4399850 signatures) May 24 15:37:01 web systemd: Started Session 3796 of user site1. May 24 15:37:01 web systemd: Starting Session 3796 of user site1.我的伺服器上有大約 16 個 Ips,只有一個受到垃圾郵件的影響。我剛剛在伺服器上啟動了惡意軟體檢測,如果發現任何東西就會更新。
我主要擔心的是怎麼會發生這種情況?我為每個使用者設置了 16 個字元的密碼,例如“&VGq7T=:x\4_.cBQ”。每個網站都託管在不同的 IP 上,並且啟動了不同的使用者和電子郵件。我可以從舊日誌中辨識出來。
這是我的郵件日誌在垃圾郵件發送過程中的樣子:
May 24 14:57:31 web postfix/pickup[1457]: AE9D4221009: uid=535 from=<user2> May 24 14:57:31 web postfix/cleanup[10527]: AE9D4221009: message-id=<20160524125731.AE9D4221009@web.mymainserver.net> May 24 14:57:31 web postfix/qmgr[4581]: AE9D4221009: from=<user2@web.mymainserver.net>, size=6059, nrcpt=1 (queue active) May 24 14:57:32 web postfix/local[10529]: AE9D4221009: to=<user2@web.mymainserver.net>, orig_to=<user2>, relay=local, delay=151, delays=150/0/0/0.83, dsn=5.2.0, status=bounced (can't create user output file) May 24 14:57:32 web postfix/bounce[11771]: AE9D4221009: sender non-delivery notification: 85B3A22100E May 24 14:57:32 web postfix/qmgr[4581]: AE9D4221009: removed與 user2 關聯的網站已被刪除。
我也有很多行,例如
May 24 14:13:08 web postfix/smtpd[28842]: warning: unknown[220.247.201.45]: SASL LOGIN authentication failed: authentication failure我很想知道一些見解,以了解問題是否已解決以及問題可能來自何處。這是非常令人沮喪的,不是作為伺服器管理員並在匆忙中處理這些問題。但至少我想我正在學習。對於我缺乏對 Postfix 的基本知識,我提前道歉。我希望我已經足夠清楚,有人給我幾個方向看,如果需要,我可以帶來更多細節/日誌。
更新:
我可以從我的電腦訪問我的電子郵件,但不能再使用 smtp。我想這與我所做的設置更改有關。
這是我的 conf 文件: http: //pastebin.com/CuYrp4sC
SMTP 的工作方式,您可能不想阻止他們連接……您只想限制他們可以做的事情。
一個範例策略可能是: - 授權使用者可以向任何人發送郵件 - 未經授權的使用者只能向您的本地使用者發送郵件
在 postfix 中,我認為這只是意味著在“mydestination”“relayhost”和“mynetworks”配置中填寫您的本地域。例如:
mydestination = mysite.com, someinternalname.company, localhost relayhost = mynetworks = 192.168.99.0/24 10.32.0.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128而且我不確定 myorigin 和 mydomain 選項在這裡是否相關。
但是,如果您真的想完全阻止它們,請使用防火牆將其從公共網路中阻止。