Possível infecção por postfix

3

Então eu estou operando um Ubuntu VPS que usa o postfix para enviar mensagens de saída. Eu tenho vários endereços de email anexados ao domínio hospedado no VPS, um deles é [email protected]. O proprietário deste endereço de e-mail tem dois computadores pessoais e não há mais e eles até agora estavam usando o Thunderbird para acessar o endereço de e-mail.

Há alguns dias, a caixa de entrada para [email protected] começou a receber centenas e centenas de bouncebacks por hora. O proprietário de [email protected] excluiu suas entradas do Thunderbird para essas contas de e-mail ontem sem sucesso. / p>

Ambos os computadores foram desligados ontem à noite, mas o endereço ainda estava recebendo retornos. Agora, inicialmente, achei que, como nem o computador que tinha a conta ativada estava ativado, isso poderia ser spam de retorno. Em uma inspeção mais detalhada do e-mail, no entanto, vejo alguns deles contendo linhas como:

<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

Onde XX.XX.XX.XX é o endereço IP da nossa VPN. Isso me faz pensar que há algo errado com o servidor de postfix (provavelmente também como uma infecção nos computadores. Um clamscan completo produziu o seguinte:

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

Alguma idéia de como posso rastrear o problema / resolver o problema?

Obrigado.

    
por Ben Stephenson 17.04.2013 / 10:26

2 respostas

8

Os e-mails de "rejeição" às vezes fazem parte de um ataque de spam, embora eu duvido que esse seja o caso em sua instância.

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

Isso me leva a acreditar que o IP do seu servidor fez uma lista negra - particularmente uma com o att.net. Gostaria de verificar o seu domínio em mxtoolbox.com e verificar se você não está executando um retransmissor aberto, e você não está na lista negra

Se você estiver em um IP dedicado, terá que resolver isso com a ATT / Bell South. Se você estiver usando um IP dinâmico em uma conta residencial, será um pouco mais difícil de resolver, pois a maioria dos ISPs tem um baixo limite de suporte para usuários que executam servidores em contas que não são de negócios, e o provisionamento geralmente significa que você pode estar recebendo bloqueado porque um dos seus vizinhos é / foi parte de uma rede de spam e o IP compartilhado foi bloqueado.

Com qualquer sistema de e-mail enviando e recebendo para o public-at-large, eu estaria executando um filtro de vírus como o clamav.

    
por douggro 24.04.2013 / 21:03
0

O que está instalado no VPS além do PostFix? Quais sistemas e / ou usuários têm permissão para enviar e-mails através do seu VPS?

Você pode verificar o log do Postfix para ver o que e / ou quem está enviando mensagens através do PostFix.

cat /var/log/mail.log

O que eu experimentei muito nessas situações é que um cliente tem um vírus que abusa de seu Outlook e usa nosso servidor de e-mail para enviar e-mails. Pode ser que um usuário esteja enviando SPAM por meio de sua conta.

    
por Jona Koudijs 01.05.2013 / 14:25

Tags