Postfix все еще пытается отправить спам, несмотря на закрытие открытой ретрансляции
У меня дома небольшой сервер, на котором установлен postfix. Он используется только для возврата результатов cronjobs и электронной почты извне для нескольких других сценариев. Я использую почтовый сервер моего провайдера в качестве узла ретрансляции. Недавно мне стало известно, что почтовый сервер действует как открытый ретранслятор. Я исправил эту проблему, закрыв входящий порт 25 на маршрутизаторе и реконфигурировав postfix, чтобы принимать только исходящую почту с сервера. Я проверил Nmap извне из локальной сети и пробовал различные открытые средства ретрансляции, и все, кажется, хорошо.
Проблема в том, что я все еще получаю почту, пытаясь быть отправленным. Я временно установил ретрансляционный хост на 127.0.0.3 (не существует), чтобы остановить отправку, и настроил правила iptable firewall на моем сервере, чтобы предотвратить исходящий порт 25, так что на самом деле ничего не выходит.
Я думал, что очереди все еще могут быть полны, поэтому я сделал:
sudo postsuper -d ALL deferred
sudo postsuper -d ALL
Но почта продолжает поступать со следующими сообщениями журнала:
1 дек. 12:04:56 Постфикс / раскладка сервера [3267]: E18411FA4: uid=33 from=
1 декабря 12:04:56 Постфикс / очистка сервера [3274]: E18411FA4: идентификатор сообщения =<20111201120456.E18411FA4@server>
1 декабря 12:04:56 postfix/qmgr на сервере [3268]: E18411FA4: from=, размер =15619, nrcpt=1 (очередь активна)
1 декабря 12:04:57 постфикс / ошибка сервера [3304]: E18411FA4: to=, relay= нет, задержка =0,17, задержки =0,1/0/0/0,08, dsn=4.4.1, состояние = отложено (доставка временно приостановлено: подключиться к 127.0.0.3[127.0.0.3]:25: превышено время ожидания подключения)
Итак, у меня есть вопрос:
- Как определить, откуда приходит входящая почта? т.е. какая программа на сервере или с какого другого ip-адреса.
- Какие еще способы я могу отладить эту проблему?
- Как вы думаете, меня взломали и мой сервер взломан?
2 ответа
UID 33 по умолчанию www-data в Debian, и используется Apache. Вы запускаете веб-сервер и некоторые PHP-приложения с ним? Возможно, есть форма для рассылки или что-то еще, что можно использовать для рассылки спама? Посмотрите IP-адрес клиента в журнале доступа Apache, если это так, хотя, вероятно, вы атакованы случайным ботнетом, поэтому блокировка отдельных IP-адресов не поможет.
Вас совсем не обязательно взломать и скомпрометировать, скорее всего, это просто уязвимый PHP-скрипт, который можно использовать для рассылки спама. Конечно, лучше быть осторожным и проверять все углы на предмет других подозрительных действий, но это мое предположение.
Обновление этого веб-приложения, удаление или ограничение доступа к нему должны решить вашу проблему. Вы также можете захотеть взглянуть на http://modsecurity.org/, хотя он может быть слишком тяжелым для простого использования.
Dec 1 12:04:56 server postfix/pickup[3267]: E18411FA4: uid=33 from=<colleen_mcmillan@brewer.me.uk>
Это локальная отправка, то есть с помощью учетной записи на постфиксном компьютере.
Его UID 33; обратитесь к /etc/passwd, чтобы узнать, какая это учетная запись.
Вы можете контролировать локальную отправку, настроив авторизованные_субмит_пользователи в main.cf.
Помимо очевидного (отключите компьютер от интернета, сделайте снимок вашего журнала и директорий tmp и проведите расследование в автономном режиме), вы возитесь со слишком многими переменными одновременно - например, закрыв оба порта 25 на маршрутизаторе И отключив порт 25 отправка в постфиксе не нужна, и может только запутать вас позже.
Постарайтесь ограничить себя тем, чтобы вносить одно изменение за раз, тщательно тестировать его, а затем отменить и попробовать другое изменение.