내 웹/메일 서버(centos 6.4)가 며칠 동안 스팸을 보내고 있는데 postfix 서비스를 중지해야만 스팸이 종료될 수 있습니다.
SMPT는 사용자 이름/비밀번호를 사용하여 SSL을 통한 연결만 허용하도록 설정되어 있습니다. (의심되는) 손상된 이메일 계정의 비밀번호를 변경했습니다.
이메일은 iRedMail을 통해 설정됩니다.
이 문제를 식별하고 중지하는 데 도움이 필요하시면 언제든지 환영합니다!
추가됨: 일부 로그 발췌:
Mar 23 05:01:52 MyServer postfix/smtp[9494]: 4E81026038: to=<[email protected]>, relay=mail.suddenlinkmail.com[208.180.40.132]:25, delay=3, delays=0.07/0/2.4/0.5, dsn=2.0.0, status=sent (250 Message received: [email protected])
Mar 23 05:02:01 MyServer postfix/smtp[9577]: 209BA26067: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B654226078)
Mar 23 05:02:01 MyServer postfix/smtp[9495]: 8278726077: to=<[email protected]>, relay=mx-biz.mail.am0.yahoodns.net[98.139.171.245]:25, delay=0.88, delays=0.25/0/0.47/0.14, dsn=4.7.1, status=deferred (host mx-biz.mail.am0.yahoodns.net[98.139.171.245] said: 421 4.7.1 [TS03] All messages from [IPADDRESS] will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html (in reply to MAIL FROM command))
전달할 수 없는 보고서 이메일 제목:
Return-Path: <MAILER-DAEMON>
Delivered-To: [email protected]
Received: from localhost (icantinternet.org [127.0.0.1])
by icantinternet.org (Postfix) with ESMTP id 4669E25D9D
for <[email protected]>; Mon, 24 Mar 2014 14:20:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at icantinternet.org
X-Spam-Flag: YES
X-Spam-Score: 9.501
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.501 tagged_above=2 required=6.2
tests=[BAYES_99=3.5, BAYES_999=0.2, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793,
URIBL_BLACK=1.7] autolearn=no
Received: from icantinternet.org ([127.0.0.1])
by localhost (icantinternet.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id FOrkYnmugXGk for <[email protected]>;
Mon, 24 Mar 2014 14:20:13 +0100 (CET)
Received: from spamfilter2.webreus.nl (unknown [46.235.46.231])
by icantinternet.org (Postfix) with ESMTP id D15BA25D14
for <[email protected]>; Mon, 24 Mar 2014 14:20:12 +0100 (CET)
Received: from spamfilter2.webreus.nl (localhost [127.0.0.1])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 7FB2EE78EFF
for <[email protected]>; Mon, 24 Mar 2014 14:20:13 +0100 (CET)
X-Virus-Scanned: by SpamTitan at webreus.nl
Received: from mx-in-2.webreus.nl (mx-in-2.webreus.nl [46.235.44.240])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 3D793E78E5A
for <[email protected]>; Mon, 24 Mar 2014 14:20:09 +0100 (CET)
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=pra;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=mailfrom;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=helo;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received: from athosian.udag.de ([62.146.106.25])
by mx-in-2.webreus.nl with ESMTP; 24 Mar 2014 14:20:03 +0100
Received: by athosian.udag.de (Postfix)
id 3B16E54807C; Mon, 24 Mar 2014 14:19:59 +0100 (CET)
Date: Mon, 24 Mar 2014 14:19:59 +0100 (CET)
From: [email protected] (Mail Delivery System)
Subject: ***Spam*** Undelivered Mail Returned to Sender
To: [email protected]
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="36D9C5488E5.1395667199/athosian.udag.de"
Content-Transfer-Encoding: 7bit
Message-Id: <[email protected]>
답변1
Pravin은 몇 가지 좋은 일반적인 요점을 제공하지만 실제로 그 중 어떤 것도 자세히 설명하거나 가능한 질문에 답하지 않습니다.실제질문.
먼저, postfix가 이러한 메시지를 받는 방법과 메시지를 전달하는 이유를 알아야 합니다(이 두 질문은 관련이 있을 가능성이 가장 높습니다).
가장 좋은 방법은 특정 메시지의 메시지 ID를 확인한 다음 mail.log파일에서 이와 관련된 모든 로그 항목을 찾는 것입니다. 이것은 최소한 메시지가 어디서 왔는지, 메시지가 관리를 떠나 세상으로 옮겨질 때까지 어떤 postfix가 메시지에 영향을 미쳤는지 알려줄 것입니다. 다음은 (편집된) 발췌 예시입니다.
Mar 26 00:51:13 vigil postfix/smtpd[9120]: 3B7085E038D: client=foo.bar.com[1.2.3.4]
Mar 26 00:51:13 vigil postfix/cleanup[9159]: 3B7085E038D: message-id=<------------@someserver>
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: from=<[email protected]>, size=456346, nrcpt=2 (queue active)
Mar 26 00:51:13 vigil postfix/lmtp[9160]: 3B7085E038D: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.11/0/0/0.19, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=04611-19, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EA115E038F)
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: removed
이는 나에게 다음을 알려줍니다.
- 이 메시지는 IP 주소가 1.2.3.4이고 자신을 foo.bar.com이라고 부르는 서버인 foo.bar.com에서 옵니다.
- (경고 부족으로 인해 암시됨) 주소는 정방향 및 역방향 DNS에 따라 이름과 일치합니다.
- 메시지는
[email protected]서버가 허용 가능한 대상 주소로 간주하는 이름의 사용자에게 전송됩니다. - 구성에 따라 메일 서버는
127.0.0.1:10024추가 처리를 위해 스팸/바이러스 필터를 통해 메시지를 중계합니다. - 필터는 "알겠습니다. 이것을 ID 6EA115E038F의 메시지로 대기열에 추가하고 거기에서 처리하겠습니다."라고 말합니다.
- 이 승인을 받으면 마스터는 완료를 선언하고 대기열에서 원본 메시지를 제거합니다.
이제 메시지가 시스템에 어떻게 입력되었는지 알게 되면 문제 식별을 시작할 수 있습니다.
다른 곳에서 오고 완전히 다른 곳으로 전달되는 경우 postfix는 현재 개방형 릴레이 역할을 합니다. 이는 매우 나쁜 현상이므로
smtpd_recipient_restrictions및smtpd_client_restrictions설정을 강화해야 합니다/etc/postfix/main.cf.에서 오는 경우
localhost웹 호스팅 사용자 중 한 명이 요청 시 스팸을 보내는 PHP 스크립트에 의해 손상되었을 가능성이 높습니다. 이find명령을 사용하여 최근에 추가되거나 변경된 .php 파일을 찾은 다음 의심스러운 이름을 자세히 살펴보세요.
더 구체적인 내용은 위 조사 결과에 크게 좌우되므로 자세히 설명할 필요가 없습니다. 최소한 설치 및 구성에 대한 보다 일반적인 경고를 드리겠습니다.뒷면 회색최대한 빨리 기회를 잡으세요.
답변2
PHP가 인터넷이나 웹 호스팅 호스트를 통하지 않고 로컬 postfix 설치를 통해 메일을 보내도록 하세요.
이메일을 실행하는 PHP 스크립트가 있는지 확인하세요.
메일 서버가 올바른 FQDN과 함께 HELO(EHLO)를 보내도록 합니다.
서버를 오픈 릴레이로 구성하지 마십시오.
발신 이메일에 DKIM 서명 구현
귀하의 서버가 귀하의 도메인에 대한 합법적인 발신자 호스트임을 나타내는 귀하의 도메인에 대한 SPF 레코드를 게시하십시오.
DNSWL.ORG에 서버를 추가하세요.