Retransmissão aberta do postfix

Navegue suas respostas
2

Saudações

O Google diz que estou originando muitos e-mails do meu IP. Como NUNCA usa esse SMTP para originar e-mails, suspeito que meu postfix está um pouco configurado incorretamente, para que eu tenha uma retransmissão aberta 

google LOG entry:
Oct  8 06:29:29 domU-12-31-39-00-C1-66 postfix/smtp[15217]: 79B661A0CC: to=<[email protected]>, relay=alt1.gmail-smtp-in.l.google.com[209.85.219.30]:25, delay=423271, delays=423209/0.03/31/31, dsn=4.7.0, status=deferred (host alt1.gmail-smtp-in.l.google.com[209.85.219.30] said: 421-4.7.0 [174.129.96.42] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 6si2037492ewy.56 (in reply to end of DATA command))

É possível configurar o postfix para não permitir e-mails de origem? Se positivo, como? Caso contrário, como posso corrigir a configuração do meu postfix sobre o problema de retransmissão aberta?

postconf -o output: 

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
header_checks = regexp:/etc/postfix/header_checks
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = 
mailbox_size_limit = 0
mydestination = fairlogic.com, legitima.com, bastos.org, sidon.com, localhost
myhostname = fairlogic.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost = 
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_recipient_restrictions = reject_unauth_destination,permit_sasl_authenticated,permit_mynetworks
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = 
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
    
por jbastos 08.10.2009 / 15:02

7 respostas

3

Eu achei!

Depois de pesquisar um pouco, descobri o problema:

1) cat /var/log/mail.log | grep "smtp [" | cauda 

Oct  8 11:47:00 domU-12-31-39-00-C1-66 postfix/smtp[24599]: 4C9521A0A4: to=<[email protected]>, relay=alt1.gmail-smtp-in.l.google.com[74.125.79.27]:25, delay=23543, delays=23481/0.01/31/31, dsn=4.7.0, status=deferred (host alt1.gmail-smtp-in.l.google.com[74.125.79.27] said: 421-4.7.0 [174.129.96.42] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 5si273044eyh.4 (in reply to end of DATA command))

com base no id da mensagem (4C9521A0A4 neste caso), posso recuperar o corpo da mensagem: 

find /var/spool/postfix/defer* -name 4C9521A0A4
/var/spool/postfix/defer/4/4C9521A0A4
/var/spool/postfix/deferred/4/4C9521A0A4

com base em seu conteúdo, descobri que alguém estava me enviando spam - e o postfix tentou responder ao remetente (dizendo "e-mail não entregue retornado ao remetente"). De modo que não é um exploit nem um misixiguration postix. Agora vou desabilitar essa notificação postfix, e meu problema desapareceu.

    
por 08.10.2009 / 16:56
1

Poderia bloquear solicitações de saída para a porta 25 até que você tenha rastreado? eg no linux com iptables

iptables -A SAÍDA -p tcp --dport 25 -j REJECTO

    
por 08.10.2009 / 15:26
1

Como você tem "permit_mynetworks" definido e "my_networks" aparece corretamente, parece que o postfix não é uma retransmissão aberta. Eu procuraria outra coisa no seu sistema enviando e-mails, como um serviço da Web invadido.

Se o e-mail realmente estivesse passando pelo seu postfix, você o veria em /var/log/mail.log. Se estiver passando por um serviço da Web, procure por entradas suspeitas em /var/log/apache2/access.log. Caso contrário, você pode estar apenas enraizado.

Atualização: você também pode usar o link ou similar para testar se você é um revezamento aberto.

    
por 08.10.2009 / 15:15
1

O postfix não parece ter um recurso específico como o promiscuous_relay do sendmail, mas se você adicionar 0.0.0.0 às mynetworks, ele deve permitir que qualquer pessoa retransmita.

    
por 28.07.2010 / 16:25
0

Se você estiver usando o NAT, qualquer caixa atrás do seu IP pode estar infectada e enviar spam.

    
por 08.10.2009 / 16:26
0

Você não precisa de retransmissão aberta ( link da wikipedia ), você deve configurar mydestination e smtpd_recipient_restrictions .

Você pode encontrar várias amostras de configuração em howtoforge

    
por 28.07.2010 / 16:57
0

Se você quiser retransmissão aberta, tente deixar em branco smtpd_recipient_restrictions e smtpd_client_restrictions . Você pode testar aqui se o seu servidor for um retransmissor aberto.

    
por 29.07.2010 / 12:30

Tags

hospedando um site em vários hosts Devo me preocupar com o acesso rápido à Internet transatlântico para meus usuários?