Sou um retransmissor do Open Mail? Cent OS com Postfix, Dovecot,

Navegue suas respostas
1

Depois de algum tempo, eu construo um servidor de e-mail novamente. Eu olhei para cima tutorial diferente para fazer o certo. Eu fiz certo ou pelo menos eu posso enviar e receber e-mails.

O mais importante para mim é que o servidor esteja seguro. Seguro como eu não recebo spam, vírus, etc, mas muito mais importante eu não quero incomodar outras pessoas ou sistemas. Eu implementei muitas diretivas e outras coisas para endurecer o sistema. Mas ainda não tenho certeza se realmente é ou se eu tenho alguma configuração errada.

Eu tenho entradas no log que me deixam nervoso, talvez eu não consiga ler direito.

Estou totalmente confuso. Eu gostaria de pensar que todos os e-mails mencionados acima foram enviados para /dev/null . Primeiro o sistema diz que não conhece o remetente (Algumas explicações [email protected] é um endereço conhecido e válido no meu servidor [email protected] não é): 

Jan 23 11:36:22 mail postfix/smtpd[15689]: 78587E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, [email protected]  
Jan 23 11:36:45 mail postfix/cleanup[15705]: 78587E1E18: message-id=<[email protected]>  
Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: from=<[email protected]>, size=2357, nrcpt=20 (queue active)  
Jan 23 11:36:45 mail postfix/smtpd[15711]: connect from localhost[127.0.0.1]  
Jan 23 11:36:45 mail postfix/smtpd[15711]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<localhost>  
Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients  
Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1]

Minha interpretação desta primeira passagem é que alguém usa uma conta bem conhecida do sistema em primeiro lugar para se conectar ao sistema. Segundo, ele tenta enviar e-mail usando um nome diferente, que não é conhecido pelo servidor.

Segundo Amavis quer ressaltá-lo: 

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients
Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1]
Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)V41u_uXR4ZV9(6_lwbkN2e1dX) SEND from <> -> <[email protected]>, [email protected] BODY=7BIT 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table
Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)NOTICE: UNABLE TO SEND DSN to <[email protected]>: 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table
Jan 23 11:36:45 mail amavis[14998]: (14998-09) unexpected status/result, please verify: To be bounced, but DSN was neither sent nor suppressed?, <[email protected]>
an 23 11:36:45 19 more entries of that type

Mas por último o log diz: 

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Blocked BAD-HEADER-0 {UnknownOpenRelay,Quarantined}, [59.98.143.142]:29864 [59.98.143.142] <[email protected]> -> <[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>,<[email protected]>, Queue-ID: 78587E1E18, Message-ID: <[email protected]>, mail_id: 6_lwbkN2e1dX, Hits: -, size: 2355, 222 ms
Jan 23 11:36:45 mail postfix/smtp[15708]: 78587E1E18: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=24, delays=24/0/0.01/0.22, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=14998-09, BOUNCE)
Jan 23 11:36:45 mail postfix/smtp[15708]: [...]
Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: removed
Jan 23 11:36:47 mail postfix/smtpd[15689]: 67360E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, [email protected]
Jan 23 11:36:48 mail postfix/smtpd[15689]: 67360E1E18: reject: RCPT from unknown[59.98.143.142]: 504 5.5.2 <tleonsis@washingtoncaps>: Recipient address rejected: need fully-qualified address; from=<[email protected]> to=<tleonsis@washingtoncaps> proto=ESMTP helo=<example.com>

Jan 23 11:38:02 mail postfix / smtpd [15689]: 67360E1E18: rejeitar: RCPT de desconhecido [59.98.143.142]: 450 4.1.2: Endereço do destinatário rejeitado: Domínio não encontrado; de = para = proto = ESMTP helo = 23 de janeiro 11:38:03 mail postfix / smtpd [15689]: conexão perdida após RCPT de unknown [59.98.143.142] 23 de janeiro 11:38:03 mail postfix / smtpd [15689]: desconectar de desconhecido [59.98.143.142]

Desculpe, não tenho permissão para postar o log ou a configuração, pois o sistema o vê como spam ...

O que você acha? Eu envio e-mails de spam ou meu servidor está seguro?

Meu palpite é que eu envio e-mails enquanto recebo alguns e-mails de backscatter. Como posso suprimir esse tipo de comportamento?

    
por H. Stridde 17.01.2016 / 10:50

2 respostas

2

Isso tem provavelmente nada a ver com um retransmissor aberto (que você pode verificar com esta ferramenta ), mas você está recebendo e-mails de backscatter.

When a spammer or worm sends mail with forged sender addresses, innocent sites are flooded with undeliverable mail notifications. This is called backscatter mail. With Postfix, you know that you're a backscatter victim when your logfile goes on and on like this:

Dec  4 04:30:09 hostname postfix/smtpd[58549]: NOQUEUE: reject:
RCPT from xxxxxxx[x.x.x.x]: 550 5.1.1 <[email protected]>:
Recipient address rejected: User unknown; from=<>
to=<[email protected]> proto=ESMTP helo=<zzzzzz>

What you see are lots of "user unknown" errors with "from=<>". These are error reports from MAILER-DAEMONs elsewhere on the Internet, about email that was sent with a false sender address in your domain.

Normalmente, os e-mails têm 2 "remetentes" definidos nos cabeçalhos: um é o remetente do cabeçalho ( MAIL FROM ) e o outro é o remetente do envelope ( Return-Path ), sendo este último o endereço para onde os e-mails devolvidos serão enviados.

Então, digamos que alguém tenha enviado um e-mail dizendo ser você (especificando o remetente do envelope para seu domínio) e tentou enviar um e-mail para um endereço inexistente. O e-mail devolvido chegará ao endereço especificado no remetente do envelope, que é você.

Isso é bastante frequente, pois qualquer pessoa pode enviar um e-mail alegando que é alguém que não é (forjando os cabeçalhos do remetente), é o trabalho da MTU determinar se isso é verdade ou não e bloquear ou permitir o correio.

uma boa fonte de informações sobre o correio Backscatter no Postfix.

    
por 17.01.2016 / 12:16
1

Demorou algum tempo, mas encontrei uma solução para o meu problema. Alguém de fora usou uma conta existente para efetuar login (Autenticação SASL) e, em seguida, enviou e-mails com um endereço de remetente inválido, [email protected].

Para proibir esse comportamento, adicionei algumas linhas no meu main.cf. 

#file / database in which valid emails, users and domains can be found
smtpd_sender_login_maps = mysql:/etc/postfix/mysql-email2email.cf, mysql:/etc/postfix/mysql-virtual-users.cf

# reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch,        reject_unauthenticated_sender_login_mismatch use the data from smtpd_sender_login_maps. If not defined you will see lot of errors and be unable to send mails.

smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    reject_authenticated_sender_login_mismatch,
    reject_sender_login_mismatch,
    reject_unauthenticated_sender_login_mismatch,
    reject_unknown_sender_domain,
    reject_unlisted_sender,
    reject_unverified_sender,
    permit_sasl_authenticated,
    permit_mynetworks

Se um usuário desejar, envie um e-mail com um endereço de alias definido. Ele primeiro precisa defini-lo no banco de dados.

    
por 24.01.2016 / 14:38

Tags

Qual versão do SATA eu tenho? Partilha na Internet numa rede universitária - Vai estragar tudo?