LINUX.ORG.RU

Ты имеешь ввиду разрешить только определенным клиентам отправку почты? Или использовать определенный интерфейс и IP-адрес для отправки писем с самого сервера?

Pinkbyte ★★★★★ ()

А у Вас не openrelay случайно получился(через прокси, или ещё как)?

anonymous ()

если взломали, тогда ограничение в постфиксе не поможет.
проверьте сервер на openrelay, и нет ли у пользователей простых паролей?
например alex:123456 и подобное брутится легко

Suicide_inc ★★ ()
Ответ на: комментарий от Suicide_inc

Пароль ядерный, подобрать невозможно. Плюс fail2ban. Релея нет.

AndreyE1 ()
Ответ на: комментарий от AndreyE1

обычное дело. боты не дремлют.
нужно локализовать откуда идет рассылка

Suicide_inc ★★ ()
Ответ на: комментарий от AndreyE1

и постоянно долбится кто-то постоянно: SASL LOGIN authentication failed: authentication failure

Пока не продалбываются это вообще не проблема. Пусть хоть в 25 порт долбятс, хоть в анус.
Ну можно банить фаерволом особо активных долбоёжиков.

MrClon ★★★★★ ()

Взломали, думаю может так отстанут... как понять что и как? :) Через шелл походу, т.к. в логах не вижу никаких авторизаций

Что ты знаешь, и почему ты думаешь что ты это знаешь?
Что указывает на то что «взломали»?

Если сервер контролируется плохим парнем то изменение настроек сервера не поможет тебе остановить его деятельность (если только это изменение настроек не отнимет у него контроль над сервером). Он просто придёт и перенастроит всё обратно. Нужно устранять первопричину — изгонять из сервера злой дух (: Ковырять постфикс бесполезно.

Другое дело если плохой парень просто использует некорректные настройки сервера в своих гнусных целях, тогда надо изменять эти настройки.

MrClon ★★★★★ ()
Ответ на: комментарий от AndreyE1

Сообщения откуда куда? В смысле кто получатель и отправитель? Судя по попытке скормить их мэйлдропу письма адресованы одному из доменов сервера.
Смотри логи постфикса на предмет прохождения этих писем.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

find /boot /usr/bin /bin /sbin /etc/cron* -mtime -30

показывает мне вообще безпалевно: /boot /boot/initrd.img-3.2.0-4-amd64 /boot/grub /boot/grub/menu.lst~ /boot/grub/menu.lst /usr/bin /usr/bin/cc /usr/bin/c89 /usr/bin/fakeroot /usr/bin/c99 /usr/bin/c++ /bin /sbin /etc/cron.daily

AndreyE1 ()
Ответ на: комментарий от AndreyE1

И неподбираемый пароль рута — qWeRtY2.
И подключения к SSH только из самой защищённой ОС — Windows XP.
И пароль рута не знает никто, кроме десятка человек которым в разное время нужно было предоставить доступ к серверу.

Это так, всего-лишь предположения.

cat /etc/cron.daily покажи

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

неподбираемый типа 37ерВ7кр3190а7А Вин7 макс лицензия :)

cat: /etc/cron.daily: Is a directory

ls

0anacron  apt       bsdmainutils  logrotate  mlocate  popularity-contest
apache2   aptitude  dpkg          man-db     passwd

AndreyE1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.