servidor Mac infectado com agente de spam

1

Temos um grande problema :( .. Nosso servidor mac faz uma entrega de spam. Nosso IP já está na lista negra em cerca de uma dúzia de servidores (verificado com link ). Temos outros computadores nas mesmas redes, incluindo o PC. O que eu já fiz e descobri:

  1. Encontrei um e-mail de spam no "Administrador do servidor app "- > Mail- > Manutenção- > Fila de mensagens (imagem anexada).
  2. Consegui obter um desses emails a partir da pasta / var / spool / postfix / . Aqui está o link - arquivo HTML simples ( link ).
  3. Eu procurei por malware com ClamXav no servidor - sem ajuda
  4. Voltei a verificar computadores PC com antivírus - sem ajuda

Além disso, o fato de esses e-mails aparecerem no "Mail Queue" significa que o servidor Mac OS os envia por si só, certo? Ou é possível que outro computador na mesma rede os envie?

Obrigado antecipadamente por suas respostas !!!!

* Adicionadas duas capturas de tela dos registros do servidor: registros SMTP e registros IMAP *

* Adicionada uma captura de tela dos registros do Access. Eu sei com certeza que a conta "fitkit.medicine" não deve ser usada neste momento. Isso significa que algum malware invadiu várias contas no servidor? *

    
por Dmitry 26.09.2013 / 17:32

2 respostas

5

Mensagens de spam na fila de mensagens postfix podem significar várias coisas:

  • Seu servidor de e-mail está agindo como um retransmissor aberto. Um retransmissor aberto significa que seu servidor está aceitando mensagens de qualquer cliente na Internet e transmitindo-as para a frente. Os Open Relays são rapidamente captados por spammers e rapidamente colocados na blacklist. Para ver se o seu servidor de e-mail está agindo como um retransmissor aberto, você pode usar este site:

    link

    Para uma discussão sobre o servidor OS X e os retransmissores abertos, veja também:

    link

    Examinando a mensagem da fila de mensagens postfix, vejo que o endereço do cliente (o endereço IP do cliente SMTP que enviou a mensagem de email para entrega) está no intervalo de IP 31.129.xxx.xxx. Se esse intervalo de IPs pertence a você, é algo dentro de sua rede.

  • Existe uma máquina dentro de sua rede que foi comprometida e agora está atuando como um cliente de botnet para spam. Nesse caso, você precisará determinar qual PC está enviando todas essas mensagens e desligar a máquina. Como o endereço IP do cliente é um IP público, acredito que esse não seja o caso.

  • Alguém invadiu uma conta no seu servidor de e-mail (se você precisar de autenticação SMTP) e está usando essa conta para enviar mensagens. Da mensagem que você anexou, vejo que o bot de spam está usando autenticação (sasl_username = test, sasl_method = LOGIN). Existe uma chance de você ter uma conta de "teste" sem senha neste servidor? Em caso afirmativo, defina uma senha ou desabilite a conta.

por 26.09.2013 / 18:05
1

O servidor OSX tem um servidor de e-mail real integrado. Você deve ser capaz de ver nos logs de quais clientes os e-mails são enviados para o servidor. Aqui está a KB da Apple onde os logs estão localizados.

link

A resposta óbvia é que, se você não usar o servidor de e-mail, desligue-o.

    
por 26.09.2013 / 17:46