Давно установленную среду Postfix/Dovecot пришлось перестроить, она стала открытым реле; Как я могу быть уверен, что проблема исправлена, а если нет, то исправить это быстро?

Поскольку здесь дурной тон задавать несколько вопросов в ОДНОЙ записи, я буду спрашивать о конкретныхPostfixиDovecotзаписи, однако этот кошмар продолжается примерно с 19 января, а сейчас уже 10 февраля! В исходной ситуации спамерам потребовалось несколько дней, чтобы обнаружить, что их можно взломать, прежде чем мы были завалены их [ругательствами], и мы просто ДУМАЛИ, что исправили это, подняли его снова, и они взломали его снова примерно через, ох , несколько часов - точно не знаю.

Вы можете прочитать предысторию здесь, но вкратце это то, что эта среда была создана примерно в 1997 году и почти столько же времени использовала Postfix с Dovecot (это было в 1990-х годах), и эта система работала нормально до тех пор, пока мы снова запустили сервер после того, что произошло 19 января, он стал открытой ретрансляцией почты, и мы об этом не знали. Поэтому, конечно, мы отключили систему (отключили постфикс) и опубликовали только что процитированную запись.

Если вы прочитаете эту запись, вы сможете многое узнать об окружающей среде и о том, где мы были, однако, с момента последнего обновления мы ДУМАЛИ, что это исправили, НО мы знали, что это заняло некоторое время. обнаружилось как открытое реле, поэтому мы ОЧЕНЬ обеспокоены и «наблюдали за ним как ястреб». ...И вот, я только что увидел, как пришло новое письмо, и тут же снова закрыл его. (Комментарии о том, как оперативно это сделать, в другой теме.)

Итак, пока мы ПРОДОЛЖАЕМ работу по поиску и исправлению неисправности, я спрашиваю:

Как, черт возьми, кто-то должен проверять эти вещи?

Я понимаю, что некоторые, кто не «так долго в зубах», ОБЯЗАТЕЛЬНО не знают об этом и поэтому, вероятно, задаются вопросом, ПОЧЕМУ даже спрашивают, это никогда не было проблемой до последних нескольких лет. На протяжении большей части последних двух десятилетий существовали десятки полезных бесплатных веб-сайтов, которые выполняли современное на тот момент открытое релейное тестирование на любом сервере, чей IP-адрес или доменное имя были указаны в поле на одной из их веб-страниц. . Большинство из них были хороши, некоторые были фантастическими. Мне это уже давно не нужно, и я не смог найти НИЧЕГО в рабочем состоянии.

Из двух дюжин или около того сайтов, которые я использовал, на двух до сих пор есть страница об этом, и один дает вам ОДИН бесплатный тестовый запуск в месяц (не очень полезно), а затем взимает плату, а другой говорит:

«Тестирование почтовой ретрансляции

Давным-давно мы предоставили услугу по проверке почтовых серверов, которые были неправильно настроены как открытые ретрансляторы. Но мы больше этого не делаем».

Как плохо, лучший инструмент CLI, о котором я знаю,nmap, он думает, что этот сайт НЕ является открытым ретранслятором, но спамеры доказали обратное! Кроме того, когда им требуется от нескольких дней до нескольких часов или меньше, чтобы найти вашу систему и использовать ее, и когда вы находитесь в производственной среде, где пользователям нужно, чтобы она работала, что ж, возникает стресс. И не ВСЕ мы являемся сайтами с очень хорошим финансированием. Так что этот вопрос вполне справедлив.

Конечно, мы должны уважать бесплатные веб-сайты, которые больше не являются бесплатными, но ЧЕРТОВО это сейчас так сложно, и НАВЕРНО кто-то может рассказать, как происходит взлом, чтобы мы могли защитить себя! ВОТ о чем этот вопрос!

OTOH, я также вполне уверен, что мы можем, используя метафору моряка, «найти дыру и залатать ее».

КОНЕЧНО, никто не знает, когда могут появиться новые уязвимости или обнаружиться старые, ранее неизвестные.Но тем не менее, первоначальный вопрос остается в силе (и здесь больше места, чем в теме/заголовке):

Как мне с достаточной уверенностью узнать, что это больше не открытое реле, и, если нет, как мне отследить его, чтобы я/мы могли быстро это исправить?

Примечательно, что мы не отслеживали (регистрировали) так тщательно, как могли бы, особенно с аутентификацией, но на этот раз мы (мы очень надеемся) фиксируем все, что поможет нам его перехватить. И мы собираемся углубиться в ОДНУ трещину, которую мы запечатлели, как только это будет опубликовано... Так что я уверен, что нам будет что сказать!

PS Когда я начал писать, я добавил новые детали конфигурации в постфикс и попытался перезапустить его, и ЕЩЕ ДВА прошли как раз перед тем, как я закончил просматривать это и нажал «Опубликовать!» -ак!- ОЧЕВИДНО "мы делаем это неправильно!" Но это не сильно помогает!