Postfix

從我的專用伺服器 Centos/Postfix 發送的垃圾郵件,不知道如何阻止人們連接

  • May 25, 2016

在過去的 2 個小時裡,我在這裡閱讀了很多主題,做了一些更改,但我不確定事情是如何發生的,以及事情是否已修復。

首先,今天早上,我收到一封來自 OVH 的電子郵件,說我的伺服器發送了很多垃圾郵件,並且在我解決問題之前,我的 IP 被阻止使用埠 25。他們還關聯了負責此禁令的消息樣本:

Destination IP: 168.95.6.64 - Message-ID: mpxcuxdxl9834@21cn.com - Spam score: 391
Destination IP: 168.95.6.58 - Message-ID: evdebemmjzwt106@sina.com - Spam score: 371
Destination IP: 168.95.6.58 - Message-ID: ixngzbnjbvmdxo3857@21cn.com - Spam score: 371
Destination IP: 168.95.5.11 - Message-ID: zsmhsrji211@163.com - Spam score: 371
Destination IP: 168.95.5.64 - Message-ID: skvxncsvkpty6401@yeh.net - Spam score: 371

非常恐慌,我停用了 Postfix 並嘗試調整設置以使其更安全:通過 webmin 設置此處

然後我檢查了我的日誌,然而,我仍然看到一些奇怪的未知聯繫,我不知道從哪裡來,我不知道是誰,我也不知道為什麼。

目前郵件:

May 24 15:32:12 web postfix/smtpd[19826]: connect from unknown[89.248.171.131]
May 24 15:32:12 web postfix/smtpd[19826]: disconnect from unknown[89.248.171.131]
May 24 15:32:14 web postfix/smtpd[19826]: connect from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191]
May 24 15:32:14 web postfix/smtpd[19826]: NOQUEUE: reject: RCPT from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191]: 454 4.7.1 <mik.josh1@outlook.com>: Relay access denied; from=<me@newhouse.com> to=<mik.josh1@outlook.com> proto=ESMTP helo=<[192.168.1.142]>
May 24 15:32:14 web postfix/smtpd[19826]: disconnect from static-68-236-199-191.nwrk.east.verizon.net[68.236.199.191]
May 24 15:33:34 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known
May 24 15:33:34 web postfix/smtpd[19826]: connect from unknown[91.197.232.50]
May 24 15:33:34 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50]
May 24 15:34:31 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known
May 24 15:34:31 web postfix/smtpd[19826]: connect from unknown[91.197.232.50]
May 24 15:34:32 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50]
May 24 15:34:32 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known
May 24 15:34:32 web postfix/smtpd[19826]: connect from unknown[91.197.232.50]
May 24 15:34:32 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50]
May 24 15:34:36 web postfix/smtpd[19826]: warning: hostname hostby.planet-telecom.eu does not resolve to address 91.197.232.50: Name or service not known
May 24 15:34:36 web postfix/smtpd[19826]: connect from unknown[91.197.232.50]
May 24 15:34:36 web postfix/smtpd[19826]: disconnect from unknown[91.197.232.50]

這是我目前的消息日誌:

May 24 15:32:45 web systemd: Got automount request for /proc/sys/fs/binfmt_misc, triggered by 19554 (find)
May 24 15:32:45 web systemd: Mounting Arbitrary Executable File Formats File System...
May 24 15:32:45 web systemd: Mounted Arbitrary Executable File Formats File System.
May 24 15:33:01 web systemd: Started Session 3792 of user site1.
May 24 15:33:01 web systemd: Starting Session 3792 of user site1.
May 24 15:34:01 web systemd: Started Session 3793 of user site1.
May 24 15:34:01 web systemd: Starting Session 3793 of user site1.
May 24 15:35:01 web systemd: Started Session 3794 of user mailman.
May 24 15:35:01 web systemd: Starting Session 3794 of user mailman.
May 24 15:35:01 web systemd: Started Session 3795 of user root.
May 24 15:35:01 web systemd: Starting Session 3795 of user root.
May 24 15:35:02 web su: (to postgres) root on none
May 24 15:35:50 web clamd: SelfCheck: Database modification detected. Forcing reload.
May 24 15:35:50 web clamd[1361]: SelfCheck: Database modification detected. Forcing reload.
May 24 15:35:50 web clamd[1361]: Reading databases from /var/lib/clamav
May 24 15:35:50 web clamd: Reading databases from /var/lib/clamav
May 24 15:35:58 web clamd[1361]: Database correctly reloaded (4399850 signatures)
May 24 15:35:58 web clamd: Database correctly reloaded (4399850 signatures)
May 24 15:37:01 web systemd: Started Session 3796 of user site1.
May 24 15:37:01 web systemd: Starting Session 3796 of user site1.

我的伺服器上有大約 16 個 Ips,只有一個受到垃圾郵件的影響。我剛剛在伺服器上啟動了惡意軟體檢測,如果發現任何東西就會更新。

我主要擔心的是怎麼會發生這種情況?我為每個使用者設置了 16 個字元的密碼,例如“&VGq7T=:x\4_.cBQ”。每個網站都託管在不同的 IP 上,並且啟動了不同的使用者和電子郵件。我可以從舊日誌中辨識出來。

這是我的郵件日誌在垃圾郵件發送過程中的樣子:

May 24 14:57:31 web postfix/pickup[1457]: AE9D4221009: uid=535 from=<user2>
May 24 14:57:31 web postfix/cleanup[10527]: AE9D4221009: message-id=<20160524125731.AE9D4221009@web.mymainserver.net>
May 24 14:57:31 web postfix/qmgr[4581]: AE9D4221009: from=<user2@web.mymainserver.net>, size=6059, nrcpt=1 (queue active)
May 24 14:57:32 web postfix/local[10529]: AE9D4221009: to=<user2@web.mymainserver.net>, orig_to=<user2>, relay=local, delay=151, delays=150/0/0/0.83, dsn=5.2.0, status=bounced (can't create user output file)
May 24 14:57:32 web postfix/bounce[11771]: AE9D4221009: sender non-delivery notification: 85B3A22100E
May 24 14:57:32 web postfix/qmgr[4581]: AE9D4221009: removed

與 user2 關聯的網站已被刪除。

我也有很多行,例如

May 24 14:13:08 web postfix/smtpd[28842]: warning: unknown[220.247.201.45]: SASL LOGIN authentication failed: authentication failure

我很想知道一些見解,以了解問題是否已解決以及問題可能來自何處。這是非常令人沮喪的,不是作為伺服器管理員並在匆忙中處理這些問題。但至少我想我正在學習。對於我缺乏對 Postfix 的基本知識,我提前道歉。我希望我已經足夠清楚,有人給我幾個方向看,如果需要,我可以帶來更多細節/日誌。

更新:

我可以從我的電腦訪問我的電子郵件,但不能再使用 smtp。我想這與我所做的設置更改有關。

這是我的 conf 文件: http: //pastebin.com/CuYrp4sC

SMTP 的工作方式,您可能不想阻止他們連接……您只想限制他們可以做的事情。

一個範例策略可能是: - 授權使用者可以向任何人發送郵件 - 未經授權的使用者只能向您的本地使用者發送郵件

在 postfix 中,我認為這只是意味著在“mydestination”“relayhost”和“mynetworks”配置中填寫您的本地域。例如:

mydestination = mysite.com, someinternalname.company, localhost
relayhost =
mynetworks = 192.168.99.0/24 10.32.0.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

而且我不確定 myorigin 和 mydomain 選項在這裡是否相關。

但是,如果您真的想完全阻止它們,請使用防火牆將其從公共網路中阻止。

引用自:https://serverfault.com/questions/778717