Mac-сервер заражен спам-агентом

Question

Mac-сервер заражен спам-агентом

У нас огромные проблемы:( .. Наш mac-сервер доставляет спам. Наш IP уже занесен в черный список примерно на дюжине серверов (проверено с http://mxtoolbox.com/). У нас есть другие компьютеры в тех же сетях, включая ПК. Что я уже сделал и обнаружил:

Я нашел спам по электронной почте в "Приложении администратора сервера" -> Mail-> Maintenance-> Mail Queue (прикрепленное изображение).
Мне удалось получить одно из этих писем из папки /var/spool/postfix/. Вот ссылка - простой HTML-файл ( http://www.sendspace.com/file/wbyjov).
Я искал вредоносное ПО с ClamXav на сервере - без посторонней помощи
Я перепроверил компьютеры ПК с антивирусом - без посторонней помощи

Кроме того, тот факт, что эти электронные письма появляются в "почтовой очереди", означает, что сервер Mac OS отправляет их самостоятельно, верно? Или возможно, что другой компьютер в той же сети отправляет их?

Заранее благодарю за ответы!!!!

* Добавлены два скриншота журналов сервера: журналы SMTP и журналы IMAP *

* Добавлен скриншот логов Access. Я точно знаю, что аккаунт "fitkit.medicine" вообще не должен использоваться. Означает ли это, что некоторые вредоносные программы взломали несколько учетных записей на сервере? *

введите описание здесь

1

email spam malware blacklist agent

Источник

Dmitry 26 сен '13 в 15:32

2 ответа

Решение

В OSX Server встроен настоящий почтовый сервер. Вы должны видеть журналы, с которых клиенты отправляют письма на сервер. Вот Apple KB, где расположены журналы.

https://support.apple.com/kb/PH8771

Очевидный ответ: если вы не используете почтовый сервер, отключите его.

1

Источник

chewbakka 26 сен '13 в 15:46

Другие вопросы по тегам email spam malware blacklist agent

Hari 26 сен '13 в 16:05 2013-09-26 16:05 · Accepted Answer · 2013-09-26 16:05

Спам-сообщения в очереди сообщений postfix могут означать несколько вещей:

Ваш почтовый сервер действует как открытый ретранслятор. Открытая ретрансляция означает, что ваш сервер принимает сообщения от любого клиента в Интернете и передает их дальше. Открытые реле быстро подхватываются спамерами и быстро заносятся в черный список. Чтобы увидеть, работает ли ваш почтовый сервер как открытый ретранслятор, вы можете использовать этот сайт:
http://www.unlocktheinbox.com/openrelaytest/
Для обсуждения на сервере OS X и открытых реле, также посмотрите:
https://discussions.apple.com/message/8036841
Глядя на сообщение из очереди сообщений postfix, я вижу, что адрес клиента (IP-адрес SMTP-клиента, который отправил сообщение электронной почты для доставки) находится в диапазоне IP 31.129.xxx.xxx. Если этот диапазон IP принадлежит вам, это что-то внутри вашей сети.
В вашей сети есть компьютер, который был взломан и теперь действует как клиент ботнета для рассылки спама. В этом случае вам необходимо определить, какой именно ПК отправляет все эти сообщения, и выключить компьютер. Поскольку IP-адрес клиента является общедоступным, я полагаю, что это не так.
Кто-то взломал учетную запись на вашем почтовом сервере (если вам требуется SMTP-аутентификация) и использует эту учетную запись для отправки сообщений. Из сообщения, которое вы вложили, я вижу, что спам-бот использует аутентификацию (sasl_username=test, sasl_method=LOGIN). Есть ли вероятность, что у вас есть "тестовая" учетная запись без пароля на этом сервере? Если это так, установите пароль или отключите учетную запись.