Seit einigen Tagen sendet mein Web- / Mailserver (Centos 6.4) Spam-Mails, und nur das Beenden des Postfix-Dienstes macht dem ein Ende.
SMPT ist so eingerichtet, dass nur Verbindungen über SSL und unter Verwendung von Benutzername / pwd akzeptiert werden. Und ich habe bereits das Passwort des (vermuteten) infizierten E-Mail-Kontos geändert.
E-Mail wurde über iRedMail eingerichtet.
Jede Hilfe, um dies zu identifizieren und zu stoppen, ist mehr als willkommen!
HINZUGEFÜGT: Einige Protokollauszüge:
Mar 23 05:01:52 MyServer postfix/smtp[9494]: 4E81026038: to=<[email protected]>, relay=mail.suddenlinkmail.com[208.180.40.132]:25, delay=3, delays=0.07/0/2.4/0.5, dsn=2.0.0, status=sent (250 Message received: [email protected])
Mar 23 05:02:01 MyServer postfix/smtp[9577]: 209BA26067: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B654226078)
Mar 23 05:02:01 MyServer postfix/smtp[9495]: 8278726077: to=<[email protected]>, relay=mx-biz.mail.am0.yahoodns.net[98.139.171.245]:25, delay=0.88, delays=0.25/0/0.47/0.14, dsn=4.7.1, status=deferred (host mx-biz.mail.am0.yahoodns.net[98.139.171.245] said: 421 4.7.1 [TS03] All messages from [IPADDRESS] will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html (in reply to MAIL FROM command))
Ein Mailheader eines unzustellbaren Berichts:
Return-Path: <MAILER-DAEMON>
Delivered-To: [email protected]
Received: from localhost (icantinternet.org [127.0.0.1])
by icantinternet.org (Postfix) with ESMTP id 4669E25D9D
for <[email protected]>; Mon, 24 Mar 2014 14:20:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at icantinternet.org
X-Spam-Flag: YES
X-Spam-Score: 9.501
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.501 tagged_above=2 required=6.2
tests=[BAYES_99=3.5, BAYES_999=0.2, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793,
URIBL_BLACK=1.7] autolearn=no
Received: from icantinternet.org ([127.0.0.1])
by localhost (icantinternet.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id FOrkYnmugXGk for <[email protected]>;
Mon, 24 Mar 2014 14:20:13 +0100 (CET)
Received: from spamfilter2.webreus.nl (unknown [46.235.46.231])
by icantinternet.org (Postfix) with ESMTP id D15BA25D14
for <[email protected]>; Mon, 24 Mar 2014 14:20:12 +0100 (CET)
Received: from spamfilter2.webreus.nl (localhost [127.0.0.1])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 7FB2EE78EFF
for <[email protected]>; Mon, 24 Mar 2014 14:20:13 +0100 (CET)
X-Virus-Scanned: by SpamTitan at webreus.nl
Received: from mx-in-2.webreus.nl (mx-in-2.webreus.nl [46.235.44.240])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 3D793E78E5A
for <[email protected]>; Mon, 24 Mar 2014 14:20:09 +0100 (CET)
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=pra;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=mailfrom;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=helo;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received: from athosian.udag.de ([62.146.106.25])
by mx-in-2.webreus.nl with ESMTP; 24 Mar 2014 14:20:03 +0100
Received: by athosian.udag.de (Postfix)
id 3B16E54807C; Mon, 24 Mar 2014 14:19:59 +0100 (CET)
Date: Mon, 24 Mar 2014 14:19:59 +0100 (CET)
From: [email protected] (Mail Delivery System)
Subject: ***Spam*** Undelivered Mail Returned to Sender
To: [email protected]
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="36D9C5488E5.1395667199/athosian.udag.de"
Content-Transfer-Encoding: 7bit
Message-Id: <[email protected]>
configuration
postfix
filter
Borniet
quelle
quelle
Received
.4E81026038
und überprüfen Sie, wie und von wem postfix es erhalten hat.Antworten:
Pravin bietet einige gute allgemeine Punkte, geht jedoch auf keinen von ihnen wirklich ein und geht nicht auf Ihre wahrscheinlichen tatsächlichen Probleme ein.
Zunächst müssen Sie herausfinden, wie Postfix diese Nachrichten empfängt und warum sie weitergeleitet werden (die beiden Fragen hängen sehr wahrscheinlich zusammen).
Der beste Weg, dies zu tun, besteht darin, die Nachrichten-ID einer der Nachrichten zu überprüfen und dann die
mail.log
Datei nach allen diesbezüglichen Protokolleinträgen zu durchsuchen . Dies wird Ihnen zumindest sagen, woher die Nachricht kam und was Postfix damit gemacht hat, bis es seine Pflege verlassen hat und in die Welt weitergegangen ist. Hier ist ein (redigierter) Beispielauszug:Dies sagt mir Folgendes:
[email protected]
, der vom Server als akzeptable Zieladresse eingestuft wurde.127.0.0.1:10024
zur weiteren Verarbeitung über (unseren Spam- / Virenfilter) weitergeleitet.Sobald Sie wissen, wie die Nachricht in das System gelangt ist, können Sie herausfinden, wo das Problem liegt.
Wenn es von einem anderen Ort stammt und vollständig an einen anderen Ort weitergeleitet wurde, fungiert Postfix derzeit als offenes Relais. Dies ist sehr, sehr schlecht und Sie sollten Ihre
smtpd_recipient_restrictions
undsmtpd_client_restrictions
Einstellungen in verschärfen/etc/postfix/main.cf
.Wenn es von kam
localhost
, ist es sehr wahrscheinlich, dass der eine oder andere Webhosting-Benutzer mit einem PHP-Skript kompromittiert wurde, das bei Bedarf Spam versendet. Verwenden Sie denfind
Befehl, um nach .php-Dateien zu suchen, die kürzlich hinzugefügt oder geändert wurden, und überprüfen Sie dann alle verdächtigen Namen.Alles, was spezifischer ist, hängt zu sehr vom Ergebnis der obigen Untersuchung ab, so dass es sinnlos ist, zu versuchen, dies näher zu erläutern. Ich überlasse Ihnen die allgemeinere Ermahnung, Postgrey zumindest zum frühestmöglichen Zeitpunkt zu installieren und zu konfigurieren .
quelle
Lassen Sie PHP die E-Mails über Ihre lokale Postfix-Installation senden und nicht direkt im Internet oder über den Webhosting-Host.
Bitte überprüfen Sie alle PHP-Skript auslösenden Mails.
Lassen Sie den Mailserver sein HELO (EHLO) mit seinem korrekten FQDN senden
Konfigurieren Sie Ihren Server nicht als Open Relay.
Implementieren Sie die DKIM-Signatur ausgehender E-Mails
Veröffentlichen Sie einen SPF-Eintrag für Ihre Domain, der angibt, dass Ihr Server ein legitimer Absenderhost für Ihre Domain ist
Fügen Sie Ihren Server zu DNSWL.ORG hinzu
quelle
ALLOW
"Postfix" -Benutzer in Port 25 einfügen und dann alles andere ablehnen.