Spam de postfix pelo meu servidor

Navegue suas respostas
1

Eu estava navegando pelos logs e notei que os e-mails indesejados são enviados pelo meu servidor. Como evitar isso?

Log 

Jun 24 18:29:31 mail postfix/pickup[13853]: 6BD3D17012CB: uid=65534 from= [email protected]>

Jun 24 18:29:31 mail postfix/cleanup[13901]: 6BD3D17012CB: message-id=<[email protected]>

Jun 24 18:29:31 mail postfix/qmgr[13854]: 6BD3D17012CB: from=<[email protected]>, size=1145, nrcpt=1 (queue active)

Jun 24 18:29:33 mail postfix/smtp[13906]: 6BD3D17012CB: to=<[email protected]>, relay=mx.sidi.istruzione.it[89.97.132.171]:25, delay=2.5, delays=0.14/0/0.14/2.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as CB89D50096)

Jun 24 18:29:33 mail postfix/qmgr[13854]: 6BD3D17012CB: removed

main.cf 

smtpd_sender_restrictions =     hash:/etc/postfix/access,
                                permit_mynetworks,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain,
                                permit
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access

smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access,
                               check_sender_access hash:/etc/postfix/access,
                               permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_non_fqdn_hostname,
                               reject_invalid_hostname,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_destination,
                               reject_unknown_recipient_domain,
#                              check_policy_service inet:127.0.0.1:10023,
                               reject_rbl_client list.dsbl.org,
                                reject_rbl_client sbl.spamhaus.org,
                                reject_rbl_client cbl.abuseat.org,
                                reject_rbl_client dul.dnsbl.sorbs.net,
    
por Alexander Pastornicky 24.06.2013 / 18:34

1 resposta

1

Seu servidor de e-mail foi violado. Observe o serviço "pickup" no log? Isso significa que a mensagem foi injetada localmente (por uid 65534) e não foi recebida via porta tcp / 25 SMTPD, portanto, nenhuma quantidade de restrições de SMTPD terá qualquer efeito.

Você pode desabilitar o serviço pickup no master.cf, mas isso desabilitaria todos os clientes locais que enviam email, e o invasor pode contorná-lo conectando-se ao localhost: 25. Então você também teria que desabilitar retransmitir TODOS os e-mails do localhost (removendo todas as entradas que correspondam a esse host de mynetworks em main.cf - qualquer coisa que comece com "127." ou "[:: 1] ] "significando localhost, bem como quaisquer outros IPs / hostnames correspondentes ao seu host)

(a verdadeira resposta é consertar o bug através do qual o atacante ganhou acesso ao seu sistema e remover qualquer backdoor)

    
por 01.08.2013 / 18:43

Tags

Não pode logar no Server 2012? Servidor de licenças de Área de Trabalho Remota no domínio diferente da VM