Minha instalação do Postfix está enviando spam; como parar isso?

Question

Minha instalação do Postfix está enviando spam; como parar isso?

#1 resposta do (10 votos)
#2 resposta do (1 votos)

7

Desde alguns dias, meu web / servidor de email (centos 6.4) está enviando spammails pelo grupo, e apenas parar o serviço postfix está colocando um fim a ele.

O SMPT está configurado para aceitar apenas conexões através de SSL e usando nome de usuário / pwd. E eu já mudei a senha da conta de e-mail (suspeita) infectada.

O email foi configurado via iRedMail.

Qualquer ajuda para identificar e parar isso é mais do que bem-vinda!

ADICIONADO: Alguns trechos de registros:

Mar 23 05:01:52 MyServer postfix/smtp[9494]: 4E81026038: to=<[email protected]>, relay=mail.suddenlinkmail.com[208.180.40.132]:25, delay=3, delays=0.07/0/2.4/0.5, dsn=2.0.0, status=sent (250 Message received: [email protected])
Mar 23 05:02:01 MyServer postfix/smtp[9577]: 209BA26067: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B654226078)
Mar 23 05:02:01 MyServer postfix/smtp[9495]: 8278726077: to=<[email protected]>, relay=mx-biz.mail.am0.yahoodns.net[98.139.171.245]:25, delay=0.88, delays=0.25/0/0.47/0.14, dsn=4.7.1, status=deferred (host mx-biz.mail.am0.yahoodns.net[98.139.171.245] said: 421 4.7.1 [TS03] All messages from [IPADDRESS] will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html (in reply to MAIL FROM command))

Um mailheader de um relatório não entregue:

Return-Path: <MAILER-DAEMON>
Delivered-To: [email protected]
Received: from localhost (icantinternet.org [127.0.0.1]) 
        by icantinternet.org (Postfix) with ESMTP id 4669E25D9D 
        for <[email protected]>; Mon, 24 Mar 2014 14:20:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at icantinternet.org
X-Spam-Flag: YES
X-Spam-Score: 9.501
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.501 tagged_above=2 required=6.2 
        tests=[BAYES_99=3.5, BAYES_999=0.2, RAZOR2_CF_RANGE_51_100=0.5, 
        RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793,  
        URIBL_BLACK=1.7] autolearn=no
Received: from icantinternet.org ([127.0.0.1]) 
        by localhost (icantinternet.org [127.0.0.1]) (amavisd-new, port 10024) 
        with ESMTP id FOrkYnmugXGk for <[email protected]>; 
        Mon, 24 Mar 2014 14:20:13 +0100 (CET)
Received: from spamfilter2.webreus.nl (unknown [46.235.46.231]) 
        by icantinternet.org (Postfix) with ESMTP id D15BA25D14 
        for <[email protected]>; Mon, 24 Mar 2014 14:20:12 +0100 (CET)
Received: from spamfilter2.webreus.nl (localhost [127.0.0.1])  
        by spamfilter2.webreus.nl (Postfix) with ESMTP id 7FB2EE78EFF 
        for <[email protected]>; Mon, 24 Mar 2014 14:20:13 +0100 (CET)
X-Virus-Scanned: by SpamTitan at webreus.nl
Received: from mx-in-2.webreus.nl (mx-in-2.webreus.nl [46.235.44.240]) 
        by spamfilter2.webreus.nl (Postfix) with ESMTP id 3D793E78E5A 
        for <[email protected]>; Mon, 24 Mar 2014 14:20:09 +0100 (CET)
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity 
  information available from domain of 
  [email protected]) identity=pra; 
  client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl; 
  envelope-from=""; x-sender="[email protected]"; 
  x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity 
  information available from domain of 
  [email protected]) identity=mailfrom; 
  client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl; 
  envelope-from=""; x-sender="[email protected]"; 
  x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity 
  information available from domain of 
  [email protected]) identity=helo; 
  client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl; 
  envelope-from=""; x-sender="[email protected]"; 
  x-conformance=sidf_compatible
Received: from athosian.udag.de ([62.146.106.25]) 
  by mx-in-2.webreus.nl with ESMTP; 24 Mar 2014 14:20:03 +0100
Received: by athosian.udag.de (Postfix) 
        id 3B16E54807C; Mon, 24 Mar 2014 14:19:59 +0100 (CET)
Date: Mon, 24 Mar 2014 14:19:59 +0100 (CET)
From: [email protected] (Mail Delivery System)
Subject: ***Spam*** Undelivered Mail Returned to Sender
To: [email protected]
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;  
        boundary="36D9C5488E5.1395667199/athosian.udag.de"
Content-Transfer-Encoding: 7bit
Message-Id: <[email protected]>

configuration postfix filter

por Borniet 26.03.2014 / 08:30

2 respostas

1

Faça o PHP enviar o e-mail por meio da instalação local do postfix e não diretamente pela Internet ou pelo host de hospedagem na Web.
Por favor, verifique qualquer script de e-mail que aciona o script php.
Faça o servidor de e-mail enviar seu HELO (EHLO) com seu FQDN correto
Não configure seu servidor como Open Relay.
Implementar assinatura DKIM de emails enviados
Publique um registro SPF para o seu domínio que indique que seu servidor é um host legítimo do remetente para seu domínio
Adicione seu servidor ao DNSWL.ORG

por 26.03.2014 / 11:49

Tags configuration postfix filter

Onde é $ _ definido por POSIX? Pastas IMAP: quão grande é muito grande?

score 10 · Accepted Answer

Pravin oferece alguns bons pontos gerais, mas não elabora muito sobre nenhum deles e não aborda seus prováveis problemas reais .

Primeiro, você precisa descobrir como o postfix está recebendo essas mensagens e por que está optando por retransmiti-las (as duas perguntas provavelmente estão relacionadas).

A melhor maneira de fazer isso é observar o ID da mensagem de qualquer uma das mensagens e, em seguida, copiar o arquivo mail.log para todas as entradas de log referentes a ele. Isso lhe dirá, no mínimo, de onde veio a mensagem e o que postfix fez com ela até que ela saiu de seu cuidado e foi para o mundo. Aqui está um trecho da amostra (redigido):

Mar 26 00:51:13 vigil postfix/smtpd[9120]: 3B7085E038D: client=foo.bar.com[1.2.3.4]
Mar 26 00:51:13 vigil postfix/cleanup[9159]: 3B7085E038D: message-id=<------------@someserver>
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: from=<[email protected]>, size=456346, nrcpt=2 (queue active)
Mar 26 00:51:13 vigil postfix/lmtp[9160]: 3B7085E038D: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.11/0/0/0.19, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=04611-19, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EA115E038F)
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: removed

Isso me diz o seguinte:

A mensagem veio do foo.bar.com, um servidor com o endereço IP 1.2.3.4 chamando a si próprio foo.bar.com
(Implícita pela falta de avisos) De acordo com o DNS direto e reverso, esse endereço realmente corresponde a esse nome.
A mensagem foi destinada a um usuário chamado [email protected] , que o servidor decidiu que era um endereço de destino aceitável.
De acordo com sua configuração, o servidor de e-mail transmitiu a mensagem por meio do 127.0.0.1:10024 (nosso filtro de spam / vírus) para processamento adicional.
O filtro disse "Ok, vou enfileirar isso como mensagem com o ID 6EA115E038F e manipulá-lo daqui."
Tendo recebido essa confirmação, o servidor principal declarou que foi feito e removeu a mensagem original da fila.

Agora, quando você souber como a mensagem entrou no sistema, poderá descobrir onde está o problema.

Se veio de outro lugar e foi transmitido para outro lugar completamente, O postfix está atualmente funcionando como um retransmissor aberto. Isso é muito, muito ruim e você deve apertar o seu smtpd_recipient_restrictions e smtpd_client_restrictions configurações em /etc/postfix/main.cf .
Se ele veio de localhost , é muito provável que um usuário de webhosting ou outro tenha sido comprometido com um script php que envia spam sob demanda. Use o comando find para procurar arquivos .php que foram adicionados ou alterados recentemente e, em seguida, dê uma boa olhada em nomes suspeitos.

Qualquer coisa mais específica dependerá muito do resultado da investigação acima, por isso é inútil tentar elaborar. Deixarei você com a advertência mais geral para, no mínimo, instalar e configurar postgrey na primeira oportunidade.