Alguém está usando meu e-mail?

3

Encontrei um monte disso no meu maillog (depois que meu site caiu devido ao uso excessivo de recursos):

Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected]
Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected]
Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: hook_dir = '/var/qmail//handlers/before-queue'
Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: recipient[3] = '[email protected]'
Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Dec  3 05:24:23 mysite qmail-queue-handlers[24524]: starter: submitter[24525] exited normally

Parece que alguém está usando meu sistema para enviar spam. O que vocês pensam e como vocês iriam rastrear seu ponto de entrada e / ou bloqueá-los?

    
por Lothar_Grimpsenbacher 03.12.2010 / 22:31

2 respostas

7

Talvez o seu software de e-mail esteja configurado para permitir a retransmissão - é um retransmissor aberto?

link

Retransmitindo

A retransmissão permite que qualquer pessoa em qualquer lugar da Internet envie e-mails com qualquer endereço de e-mail "de" para o servidor e faça com que o servidor os entregue em qualquer número de destinatários na Internet com qualquer endereço "para".

Você deve restringir isso para rejeitar todas as mensagens que não sejam dois padrões distintos:

  • correio do lado de fora, com um endereço "para" que inclui seu nome de domínio e onde a parte antes do símbolo at corresponde a uma pessoa definida em sua organização. No caso de um servidor web, este pode não ser um caso o servidor web não tenha necessidade de aceitar emails recebidos. Muitas vezes, uma organização terá servidores de e-mail separados para lidar com os e-mails de seus membros.

  • e-mail de usuários autenticados com um endereço de que inclua seu nome de domínio. Neste caso, o endereço para pode ser qualquer coisa. Os remetentes normalmente enviam endereços IP dentro de sua rede local, mas pode ser útil permitir que pessoas confiáveis usem seu servidor de e-mail - nesse caso, eles devem ser autenticados antes de permitir a transmissão de e-mail.

Se você fizer isso, você não estará propagando SPAM para spammers (e arriscando ficar na lista negra), mas isso não afetará suas atividades legítimas.

Teste

Antes e depois de alterar a configuração do seu servidor de email, teste-o. Use um ponto de acesso à Internet não relacionado (3G, lan house, Internet) para tentar enviar e-mails através do seu servidor de e-mail, tente várias combinações de endereços de e para por exemplo,

 From                  To                  Expect
 genuine@mydomain      [email protected]  allowed
 [email protected]         [email protected]     rejected
 fakester@mydomain     [email protected]     rejected
 genuine@mydomain      [email protected]     allowed only if authenticated

Mas a maioria dos servidores web não precisa enviar e-mails para fora do servidor, a não ser talvez para webmasters / administradores. Então eles podem ser fechados com mais força.

    
por 03.12.2010 / 23:42
1

Assim como a resposta da RedGrittyBrick, parece um revezamento aberto, mas eu não sei.

Uma coisa que você pode fazer é experimentar um serviço de teste de retransmissão público como este: link

Eles executarão automaticamente todos os tipos de e-mails enviando testes e informando os resultados em tempo real. Se o seu servidor SMTP aceitou o email para entrega, então você deve verificar a configuração.

Outra teoria é que algum hacker instalou um backdoor ou está usando um exploit para qualquer software que você tenha instalado para enviar e-mails usando um script. Que, como o script está no servidor, eles seriam capazes de contornar as limitações de retransmissão, já que o email está vindo do servidor e não da Internet. O que você poderia tentar é matar o serviço do servidor web e ver se ele ainda está enviando e-mail, e dessa forma você saberia se ele é realmente um backdoor de script ou algo mais malicioso.

    
por 04.12.2010 / 15:50