数日以来、私のweb/mailserver(centos 6.4)は大量にスパムメールを送信しており、postfixサービスを停止するだけでそれを終わらせています。
SMPTは、sslおよびusername/pwdを使用した接続のみを受け入れるように設定されています。そして、私はすでに(疑われた)感染したメールアカウントのパスワードを変更しました。
メールはiRedMail経由で設定されました。
これを特定して停止するためのヘルプは大歓迎です!
追加:一部のログの抜粋:
Mar 23 05:01:52 MyServer postfix/smtp[9494]: 4E81026038: to=<[email protected]>, relay=mail.suddenlinkmail.com[208.180.40.132]:25, delay=3, delays=0.07/0/2.4/0.5, dsn=2.0.0, status=sent (250 Message received: [email protected])
Mar 23 05:02:01 MyServer postfix/smtp[9577]: 209BA26067: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B654226078)
Mar 23 05:02:01 MyServer postfix/smtp[9495]: 8278726077: to=<[email protected]>, relay=mx-biz.mail.am0.yahoodns.net[98.139.171.245]:25, delay=0.88, delays=0.25/0/0.47/0.14, dsn=4.7.1, status=deferred (Host mx-biz.mail.am0.yahoodns.net[98.139.171.245] said: 421 4.7.1 [TS03] All messages from [IPADDRESS] will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html (in reply to MAIL FROM command))
配信不能レポートのメールヘッダー:
Return-Path: <MAILER-DAEMON>
Delivered-To: [email protected]
Received: from localhost (icantinternet.org [127.0.0.1])
by icantinternet.org (Postfix) with ESMTP id 4669E25D9D
for <[email protected]>; Mon, 24 Mar 2014 14:20:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at icantinternet.org
X-Spam-Flag: YES
X-Spam-Score: 9.501
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.501 tagged_above=2 required=6.2
tests=[BAYES_99=3.5, BAYES_999=0.2, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793,
URIBL_BLACK=1.7] autolearn=no
Received: from icantinternet.org ([127.0.0.1])
by localhost (icantinternet.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id FOrkYnmugXGk for <[email protected]>;
Mon, 24 Mar 2014 14:20:13 +0100 (CET)
Received: from spamfilter2.webreus.nl (unknown [46.235.46.231])
by icantinternet.org (Postfix) with ESMTP id D15BA25D14
for <[email protected]>; Mon, 24 Mar 2014 14:20:12 +0100 (CET)
Received: from spamfilter2.webreus.nl (localhost [127.0.0.1])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 7FB2EE78EFF
for <[email protected]>; Mon, 24 Mar 2014 14:20:13 +0100 (CET)
X-Virus-Scanned: by SpamTitan at webreus.nl
Received: from mx-in-2.webreus.nl (mx-in-2.webreus.nl [46.235.44.240])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 3D793E78E5A
for <[email protected]>; Mon, 24 Mar 2014 14:20:09 +0100 (CET)
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=pra;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=mailfrom;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=helo;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received: from athosian.udag.de ([62.146.106.25])
by mx-in-2.webreus.nl with ESMTP; 24 Mar 2014 14:20:03 +0100
Received: by athosian.udag.de (Postfix)
id 3B16E54807C; Mon, 24 Mar 2014 14:19:59 +0100 (CET)
Date: Mon, 24 Mar 2014 14:19:59 +0100 (CET)
From: [email protected] (Mail Delivery System)
Subject: ***Spam*** Undelivered Mail Returned to Sender
To: [email protected]
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="36D9C5488E5.1395667199/athosian.udag.de"
Content-Transfer-Encoding: 7bit
Message-Id: <[email protected]>
Pravinはいくつかの優れた一般的なポイントを提供しますが、それらのいずれについても詳細には説明しません。また、起こりそうな実際の問題には対処しません。
まず、postfixがこれらのメッセージをどのように受信しているか、なぜそれをリレーすることにしているのかを調べる必要があります(2つの質問は関連している可能性が非常に高いです)。
これを行う最良の方法は、いずれかのメッセージのメッセージIDを確認し、そのメッセージに関するすべてのログエントリについてmail.log
ファイルをgrepすることです。これは、少なくともメッセージがどこから来たのか、そしてそれが気になって世界に出て行くまでにどのようにPostfixがそれを使ったのかを教えてくれます。これは(編集された)サンプルの抜粋です。
Mar 26 00:51:13 vigil postfix/smtpd[9120]: 3B7085E038D: client=foo.bar.com[1.2.3.4]
Mar 26 00:51:13 vigil postfix/cleanup[9159]: 3B7085E038D: message-id=<------------@someserver>
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: from=<[email protected]>, size=456346, nrcpt=2 (queue active)
Mar 26 00:51:13 vigil postfix/lmtp[9160]: 3B7085E038D: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.11/0/0/0.19, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=04611-19, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EA115E038F)
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: removed
これにより、次のことがわかります。
[email protected]
という名前のユーザー宛てであり、サーバーはこれを受け入れ可能な宛先アドレスと判断しました。127.0.0.1:10024
(スパム/ウイルスフィルター)を介してメッセージを中継し、さらに処理しました。メッセージがシステムにどのように届いたかがわかったら、問題がどこにあるのかを見つけることができます。
他の場所から来て完全に別の場所に中継された場合、postfixは現在オープンリレーとして機能しています。これは非常に悪く、smtpd_recipient_restrictions
のsmtpd_client_restrictions
と/etc/postfix/main.cf
の設定を厳しくする必要があります。
localhost
から届いた場合は、Webホスティングユーザーまたは別のユーザーが、オンデマンドでスパムを送信するphpスクリプトで侵害されている可能性が非常に高いです。 find
コマンドを使用して、最近追加または変更された.phpファイルを探し、疑わしい名前をよく調べます。
より具体的なものは、上記の調査の結果に大きく依存しているため、詳しく説明するのは無意味です。できるだけ早い段階で postgrey をインストールして構成するという、より一般的な注意事項を残しておきます。
PHPを作成します。インターネットやWebホスティングホストを介して直接送信するのではなく、ローカルのPostfixインストールを介してメールを送信します。
メールをトリガーするphpスクリプトを確認してください。
メールサーバーに正しいFQDNでHELO(EHLO)を送信させる
サーバーをOpen Relayとして構成しないでください。
送信メールのDKIM署名を実装する
サーバーがドメインの正当な送信者ホストであることを示す、ドメインのSPFレコードを公開する
サーバーをDNSWL.ORGに追加します。