Servidor de correio comprometido. Yahoo recusando mails

2

Acho que nosso servidor de e-mail foi comprometido. Hoje de manhã, quando eu chequei, havia 1298 e-mails recusados do yahoo. com esta mensagem Messages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)

No entanto, os e-mails estão sendo entregues no gmail. Eu sou novo para isso, alguém pode por favor me sugerir onde devo começar a procurar? Estamos usando o Postfix e o dovecot no Ubuntu Server 10.04. E segui este guia aqui link

    
por hsinxh 21.11.2011 / 05:34

4 respostas

3

Eu começaria a ver seus logs de postfix. Procure um fluxo de mensagens maior do que o que você vê nos seus registros no passado. Eu procuraria especificamente por e-mail para o yahoo caso pudesse ser algo específico para eles.

Se você observar um aumento no fluxo de mensagens, procure nos registros para ver qual é o aumento. São toneladas de mensagens para um único usuário (como um script de fuga que envia mensagens automáticas) ou para um grande número de pessoas (spam)? Depois de identificar alguns dos e-mails anormais, basta rastreá-los e descobrir de onde eles vieram. Você também pode executar qshape deferred para ver se o seu e-mail ainda está enfileirado para o yahoo (o que você deve fazer, já que está obtendo um código de resposta 4xx). Se fizer isso, você poderá ver as mensagens em / var / spool / postfix / deferred (use postcat para visualizar as mensagens).

Também é possível que isso não seja nada. Se o seu servidor de e-mail não enviar muito para começar, então mesmo um aumento pequeno, mas legítimo, poderia ter desestabilizado os limites de spam do Yahoo.
A mensagem de bloqueio que você forneceu normalmente desaparece em algumas horas, se o problema que o fez ficar bloqueado em primeiro lugar for resolvido.

    
por 21.11.2011 / 06:03
3

PRIMEIRO - Verifique no seu sistema se há sinais de um rootkit como documentado aqui a>, aqui ou < a href="https://serverfault.com/questions/7708/what-are-main-steps-doing-analysis-forense-of-linux-box-after-it-was-hacked"> aqui . Eu pessoalmente gosto de chkrootkit como uma verificação rápida.

1298 mensagens com falha podem ser muito, dependendo do volume normal. Você deve verificar as mensagens devolvidas para ver se elas se parecem com mensagens normais do seu ambiente. Se eles não estão familiarizados, você foi comprometido.

Limpar! Se isso significa uma reconstrução, rastreie os processos ruins, restaure a partir do backup, etc. Você precisará corrigir a situação que provocou o bloqueio.

Eu também recomendaria que faça exatamente o que a mensagem de erro informa . De lá, navegue para:

link

Yahoo afirma:

Quando vir esta mensagem de erro nos seus registos de SMTP (em que x.x.x.x é o seu endereço IP), é devido a um dos seguintes procedimentos: Estamos vendo um tráfego incomum no seu endereço IP. E-mail do seu servidor de e-mail está gerando reclamações do Yahoo! Usuários de email. Por favor, note que esta é normalmente uma situação temporária, e nós encorajamos você a repetir o envio de e-mail para nossos servidores de aproximadamente quatro horas depois de encontrar esta mensagem de erro. Se você vir esse erro de forma consistente durante um período de 48 horas, preencha este formulário para nos fornecer informações suficientes para que possamos buscar ativamente o problema.

Visite o formulário mencionado no aviso e trabalhe para obter o desbloqueio .

Defina a expectativa para seus usuários, no entanto. Isso pode levar algum tempo.

    
por 21.11.2011 / 05:48
2

Pode ser que você tenha sido comprometido. Antes dessa suposição, porém, algumas perguntas:

1) Você está enviando e-mails em massa para fora desse servidor? Se você for, os destinatários do Yahoo podem sinalizar você como spam e, portanto, recusam você.

2) Você está configurado como um retransmissor aberto? Ou seja, você pode retransmitir mensagens SMTP para outros domínios além do seu a partir de máquinas fora da sua rede? (Para testar, use estas instruções para enviar e-mails para uma conta do Gmail ou algo assim). Se você é um retransmissor aberto, é possível que os spammers estejam enviando e-mails pelo seu servidor e você receba reclamações de spam do Yahoo.

    
por 21.11.2011 / 05:47
0

Eu tive um problema semelhante com a Trend Micro. Talvez o seu endereço público na lista negra? Se o seu usuário usar a Internet através deste IP, talvez alguns deles usem torrent ou outro software p2p.

    
por 21.11.2011 / 13:19