スパムメールを送信してSMTPの悪用を防ぐ方法は?
私は管理者ではありません。Webサイトを作成しただけで、ホスティングプロバイダーから支払ったサーバー上にメールサーバーもあります。私がメールサーバーについて学んだことのほとんどは、インターネットのチュートリアルからです。
Eximの適切な設定に失敗したため、Open Panel(Postfix付き)を使用しています。しかし、私の問題はまだ終わっていません。
/var/log/mail.logファイルには、次のような不明なメールアドレスが多数含まれているため、メールサーバーが他のユーザーによって使用されている(?)ことがわかります。
postfix/smtp[31747]: C1EF776612: to=<[email protected]>, relay=mail2.gieprod.com[195.182.17.37]:25, delay=21527, delays=21525/0.01/1.8/0, dsn=4.0.0, status=deferred (Host mail2.gieprod.com[195.182.17.37] refused to talk to me: 554-mail2.gieprod.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
または:
postfix/smtpd[31772]: NOQUEUE: reject: RCPT from smtp-sortant.sn.auf.org[213.154.65.69]: 550 5.1.1 <EmmanuelRoy@mydomain>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<EmmanuelRoy@mydomain> proto=ESMTP helo=<smtp-sortant.sn.auf.org>
最後のものは大丈夫ですか、それとも別の意味ですか?
これらは私のメールではありません。そして、それらはたくさんあり、それらの「RCPT TO」コマンドは通常、ログに表示されているように20のメールアドレスを必要とします。時々「スロットル」(?)の文が表示されます。また、私のドメイン名をさまざまな偽のメールアドレスに「MAIL FROM」として使用しています。 chevassucathy @ mydomain、AKZwart @ mydomain、MichaelLESKINEN @ mydomain、SantinaZappulla @ mydomain、その他多数。
昨日の夜、これを使用して電子メールのキューをクリアしました(キューのようなものがあることを知りました)。
postsuper -d ALL
しかし、今日の朝、キューに新しい未送信メールがあることがわかります。
それで、私のサーバーでのSMTPの使用を、おそらく次のように制限できるかどうか疑問に思います。
- 外部(非ローカル)からのSMTPの使用を、決定されたIP番号のみに制限できますか?
- 既存の(セットアップされた)メールアカウントに関連する以外のメールアドレスを "MAIL FROM"として送信することを許可できませんでしたか?
- 他の方法?
または、SMTPサービスを停止し、実際にメールを送信したいときにPostfixを起動することによってのみこれを防止できますか(もちろん非常に不快です)?
[〜#〜] edit [〜#〜]:このサイトでテストを試みました: http:// www。 aboutmyip.com/AboutMyXApp/QuickServerTest.jsp
ここに私が得たものがあります:
>>> 220 name ESMTP Postfix (Debian/GNU)
<<< EHLO u16544016.aboutmyip.com
>>> 250-name
>>> 250-PIPELINING
>>> 250-SIZE 10240000
>>> 250-VRFY
>>> 250-ETRN
>>> 250-STARTTLS
>>> 250-AUTH PLAIN LOGIN
>>> 250-ENHANCEDSTATUSCODES
>>> 250-8BITMIME
>>> 250 DSN
<<< MAIL FROM:
>>> 250 2.1.0 Ok
<<< RCPT TO:
>>> 554 5.7.1 : Recipient address rejected: Relay access denied
<<< QUIT
Connection test: PASS
Reverse IP Lookup: WARNING - Reverse IP lookup test failed on your server. Some servers on the Internet may reject emails from this server.
Open relay test: PASS
EDIT2:認証
これは認証だと思いました-これは/ etc/postfix/sasl/smtpd.confファイルの内容です:
pwcheck_method: authdaemond
log_level: 3
mech_list: PLAIN LOGIN
authdaemond_path: /var/run/courier/authdaemon/socket
私がそれにTelnetで接続するときのSMTPサーバーは、例えば「MAIL TO」コマンドを使用するには、「auth plain [base64 with email adress and pswd]」を渡す必要があります。
一見すると、最初のログ行はメールサーバーが偽の送信者にバウンスメッセージを送信しようとしているように見えます。
つまり、偽の送信者に迷惑メールを送ります。これは拒否され、システムはエラーメッセージを返そうとしますが失敗します。バウンスはdeferredキューに入れられ、再試行されます。
短期的な解決策は確かにキューをクリアすることです(ただし、postsuper -d ALL deferredは、その特定のキューのみをクリアします)。また、最初にそこに有用な電子メールがないことを確認してください(mailqまたはpostqueue -p)。
ただし、サーバーがブラックリストに登録されているようです。これは、システムがスパマーに悪用されたために発生した可能性がありますが、ホスティング業者のスパムに対する評判が悪いことを意味している可能性もあります(評判システムはIPブロックによって機能する場合があります)アドレス)。
こちらもご覧ください: https://serverfault.com/questions/115161/fixing-my-mtas-poor-reputation
ここで説明する問題は、予防のカテゴリにはほとんど当てはまりません。それはダメージコントロールといくつかのフォレンジックです。どのように防止 SMTPの乱用ですか?マニュアルを読み、システムを理解するか、少なくとも強化された設定を使用し、アップグレードとパッチを頻繁に行い、ログを確認します。そして今問題解決に:
このような問題が発生した場合、最初に行うべきことは、ダメージコントロールです。つまり、smtpサーバーを停止し、バックアップします。次のステップはフォレンジックです。これらのメールの送信元を確認してください。彼らはどうやってこれを実現したのですか?
問題のあるログ行(質問のC1EF776612)でメールIDを見つけ、grepを実行します。 (grep C1EF776612 /var/log/mail.logなど)。
最初の行を確認します。クライアントはどこから接続していますか?
- それはlocalhostですか?ローカルの問題があります。あなたのウェブサイトの1つがハッキングされた可能性があります。 投稿しないサイトからのメールであっても、メールを送信することは非常に可能です。さらにany他のサービス、あなた自身のアカウントでさえハッキングされてメールを送ることができます。
- 他のホストですか?クライアントの1つが危険にさらされているか、オープンプロキシです(これは上記の問題には当てはまりません)
Milamas(amavisなど)を使用している場合、メールはすべてlocalhostから(つまり、milterから)送信される可能性があります。この場合、milterのログ行を確認して、元のメッセージIDを取得する必要があります。以前のgrepでもこれがわかるはずです。 2番目のIDの2番目のgrepは、実際のソースを示します。
後攻撃ベクトルを特定すると、予防策を講じることができます。可能性はたくさんありますが、残念ながらこのトピックは広すぎてここではカバーできません。