Ubuntu

postfix 向未知地址發送郵件

  • December 23, 2013

我正在檢查我的 munin 表,並在 postfix 中看到大量延遲郵件列表,並查看 /var/log/mail.log 給了我一個想法:我正在向未知郵件地址發送郵件:

Dec 23 08:21:32 h2065299 postfix/pickup[10816]: 63F5811A0384: uid=33 from=<www-data>
Dec 23 08:21:32 h2065299 postfix/cleanup[20915]: 63F5811A0384: message-id=<301b8e057416d03df3ac7c11f1aa5bda@www.my-server.com>
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: from=<www-data@my-server.com>, size=2254, nrcpt=1 (queue active)
Dec 23 08:21:32 h2065299 postfix/smtp[20917]: 63F5811A0384: to=<underlyingbzvn+zprtra@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, $
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: removed

這與強制發送的“好”電子郵件並沒有什麼不同

Dec 23 09:41:51 h2065299 postfix/pickup[28905]: EE51611A0393: uid=33 from=<www-data>
Dec 23 09:41:51 h2065299 postfix/cleanup[30516]: EE51611A0393: message-id=<2736115f98e8293f5e8b657b22e66b4d@www.my-server.com>
Dec 23 09:41:52 h2065299 postfix/qmgr[28906]: EE51611A0393: from=<www-data@my-server.com>, size=977, nrcpt=1 (queue active)
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: connect to gmail-smtp-in.l.google.com[2a00:1450:4008:c01::1b]:25: Connection timed out
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: EE51611A0393: to=<my-name@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.27]:25, delay=$
Dec 23 09:42:22 h2065299 postfix/qmgr[28906]: EE51611A0393: removed

我們正在伺服器上執行三個 wordpress 和一些 scipt 文件夾。WP 是最新的數據,我認為我們對它們具有正確的文件權限。

什麼會導致 www-data 向未知使用者發送郵件?!

奇怪的跡象,簡單的解釋:我們正在使用一個外掛,要求文章的評論員驗證他的評論。這意味著:每個評論員都會收到一封電子郵件。將 wordpress 升級到 3.8 後,一些機器人能夠設置評論,而無需在部落格文章中回答所需的驗證碼。這意味著:很多評論會導致大量郵件。我們希望盡快獲得重新驗證外掛的更新。

隊列被電子郵件填充到大量使用的 gmail 垃圾郵件帳戶(接收者在給定時間內收到很多消息……)

所以這是通緝郵件流量的結果,似乎沒有涉及來自我們伺服器的“垃圾郵件”。

如果您的伺服器正在向未知使用者發送大量郵件,則可能是垃圾郵件。要確認這一點,您應該檢查您的後綴隊列中延遲郵件的 ID,並閱讀其中的內容。

如果您使用 CMS 系統(如 wordpress),則可能有一些不安全的腳本可用於發送垃圾郵件。如果您的 wordpress 是最新的,您還應該檢查任何外掛、模組等是否是最新的。

要找出負責發送這些郵件的腳本,您可以設置指令

mail.add_x_header = On

在你的 php.ini 中。這將添加一個額外的郵件標題

X-PHP-Originating-Script

到顯示發送腳本的郵件。該指令從 PHP 5.3 開始可用。

引用自:https://serverfault.com/questions/563112