Postfix - estou enviando spam?

Navegue suas respostas
1

Hoje recebi cerca de 30 mensagens em 5 minutos informando que alguns e-mails que enviei não podiam ser entregues, principalmente para endereços de e-mail * .ru para os quais não enviei nenhum e-mail. Eu tenho meu próprio servidor web (postfix / dovecot) configurado usando este guia ( link ), mas ajustado um pouco para o Ubuntu.

Eu testei se sou um Open Relay que aparentemente não sou. Agora, há dois motivos possíveis para os e-mails mencionados acima: Ou estou enviando spam ou alguém quer que eu pense, correto?

Como posso verificar isso?

Selecionei um endereço específico para o qual supostamente envie spam. Então eu procurei meu mail.log para esta entrada. Eu encontrei dois blocos que registram que alguém do servidor conectado ao meu servidor e entregou algumas mensagens para dois usuários diferentes. Não consigo encontrar uma entrada informando que alguém do meu servidor envie um email para esse servidor. Isso significa que é apenas um e-mail para me assustar ou poderia ter sido enviado por mim em primeiro lugar?

Aqui está um desses blocos do log (eu substituí algumas coisas confidenciais): 

Jun 26 23:23:28 mycustomernumber postfix/smtpd[29970]: connect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: 044991528995: client=mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/cleanup[29974]: 044991528995: message-id=<[email protected]>
Jun 26 23:23:29 mycustomernumber postfix/qmgr[3369]: 044991528995: from=<>, size=2198, nrcpt=1 (queue active)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) ESMTP::10024 /var/lib/amavis/tmp/amavis-20110626T223137-28598: <> -> <[email protected]> SIZE=2198 Received: from mycustomernumber.stratoserver.net ([127.0.0.1]) by localhost (rehmsen.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[email protected]>; Sun, 26 Jun 2011 23:23:29 +0200 (CEST)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) Checking: YakjkrdFq6A8 [195.144.251.97] <> -> <[email protected]>
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: disconnect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) lookup_sql_field(id) (WARN: no such field in the SQL table), "[email protected]" result=undef
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: connect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: 0A1FA1528A21: client=localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/cleanup[29974]: 0A1FA1528A21: message-id=<[email protected]>
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: from=<>, size=2841, nrcpt=1 (queue active)
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: disconnect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) FWD via SMTP: <> -> <[email protected]>,BODY=7BIT 250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) Passed CLEAN, [195.144.251.97] [195.144.251.97] <> -> <[email protected]>, Message-ID: <[email protected]>, mail_id: YakjkrdFq6A8, Hits: 2.249, size: 2197, queued_as: 0A1FA1528A21, 2882 ms
Jun 26 23:23:32 mycustomernumber postfix/smtp[29975]: 044991528995: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.3, delays=0.39/0.01/0.01/2.9, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21)
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 044991528995: removed
Jun 26 23:23:33 mycustomernumber postfix/smtp[29980]: 0A1FA1528A21: to=<[email protected]>, orig_to=<[email protected]>, relay=mx3.hotmail.com[65.54.188.110]:25, delay=1.2, delays=0.15/0.02/0.51/0.55, dsn=2.0.0, status=sent (250  <[email protected]> Queued mail for delivery)
Jun 26 23:23:33 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: removed
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection rate 1/60s for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection count 1 for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max cache size 1 at Jun 26 23:23:28

Eu posso fornecer mais informações se você me disser o que precisa saber. Obrigado por sua ajuda!

    
por olrehm 27.06.2011 / 17:09

2 respostas

4

Soa como backscatter (e esse log parece bastante inocente, certamente sem retransmissão), o que significa que as mensagens não seriam enviadas pelo seu servidor, mas um endereço em seu domínio seria usado como um endereço From: falsificado.

Alguma das mensagens do relatório de falha na entrega inclui o cabeçalho da mensagem original? Se assim for, você deve ser capaz de verificar se as mensagens não estão sendo transmitidas através do seu sistema.

Infelizmente, controlar o backscatter é bem difícil se persistente. Na minha experiência, eles geralmente desistem de usar um endereço falsificado depois de alguns dias ou semanas, mas é muito difícil bloquear as mensagens sem bloquear mensagens legítimas do NDR.

    
por 27.06.2011 / 18:05
0

Você procurou por seu ip em listas negras? Por exemplo, você pode fazer isso aqui link Além disso, o vírus da rede local pode enviar smap passando seu servidor. Além disso, você pode bloquear a porta tcp 25 de destino da rede local no seu firewall e, em seguida, verificar no log de quem enviou para a porta 25

    
por 27.06.2011 / 17:58

Tags

A autenticação básica permite que vários usuários efetuem login com o mesmo nome de usuário e senha? Backup funcionando, o que mais fazer backup?