LINUX.ORG.RU
решено ФорумAdmin

Postfix спамит

 


0

2

Доброго всем дня. Я новичок в администрировании postfix и unix-систем в целом, поэтому обращаюсь к гуру) Очень часто и в большом количестве спамит сервер, от 5000 сообщений в день в очереди зависают. Примерно такого характера в подробностях отправки:

Received from localhost (localhost [127.0.0.1]) by mail.DOMAIN.ru (Postfix) with ESMTP id 000BA12345 for midwestgirlok@yahoo.com; Thu, 12 Dec 2019 21:09:20 +0500 (+05) X-Virus-Scanned amavisd-new at DOMAIN.ru

Received from mail.DOMAIN.ru ([127.0.0.1]) by localhost (mail.DOMAIN.ru [127.0.0.1]) (amavisd-new, port 10024) with LMTP id ab-abCabB1ab for midwestgirlok@yahoo.com; Thu, 12 Dec 2019 21:09:20 +0500 (+05)

Received from [10.165.94.30] (unknown [41.113.97.103]) by mail.DOMAIN.ru (Postfix) with ESMTPA id A1234567B1 for midwestgirlok@yahoo.com; Thu, 12 Dec 2019 21:09:19 +0500 (+05)

DKIM-Filter OpenDKIM Filter v2.11.0 mail.DOMAIN.ru A1234567B1

Content-Type text/plain; charset=«iso-8859-1»

MIME-Version 1.0

Content-Transfer-Encoding quoted-printable

Content-Description Mail message body

Subject Good Day

To midwestgirlok@yahoo.com

From aakash.bramdeo@inl.co.za

Date Thu, 12 Dec 2019 18:09:22 +0200

Reply-To yeosph@gmail.com

Подскажите как бороться с исходящим спамом

Open relay.

Скинь сюда конфиг postfix /etc/postfix/main.cf

И да, айпи твоего почтовика , даже после исправления ситуации, будет еще долго блокироваться крупными почтовыми серверами типа gmail

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от constin

main.cf

soft_bounce = no

queue_directory = /var/spool/postfix

command_directory = /usr/sbin

daemon_directory = /usr/libexec/postfix

data_directory = /var/lib/postfix

mail_owner = postfix

myhostname = mail.DOMAIN.ru

mydomain = DOMAIN.ru

myorigin = $myhostname

inet_interfaces = all

inet_protocols = all

mydestination = localhost.$mydomain, localhost

unknown_local_recipient_reject_code = 550

mynetworks = 10.x.x.x/24, 10.x.x.0/24, 172.x.x.x/16, 172.x.x.x/16,172.x.x.x/16, x.x.x.x/25, x.x.x.x/24, x.x.x.x/24

alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases

smtpd_banner = $myhostname ESMTP $mail_name

debug_peer_level = 2

debug_peer_list = 127.0.0.1

debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail.postfix

newaliases_path = /usr/bin/newaliases.postfix

mailq_path = /usr/bin/mailq.postfix

setgid_group = postdrop

html_directory = no

manpage_directory = /usr/share/man

sample_directory = /usr/share/doc/postfix-2.10.1/samples

readme_directory = /usr/share/doc/postfix-2.10.1/README_FILES

relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf

smtpd_discard_ehlo_keywords = etrn, silent-discard smtpd_forbidden_commands = CONNECT GET POST broken_sasl_auth_clients = yes smtpd_delay_reject = yes smtpd_helo_required = yes disable_vrfy_command = yes

smtpd_client_restrictions = reject_unknown_address, reject_unknown_recipient_domain, reject_unknown_sender_domain,

reject_unknown_client_hostname,

			    permit_sasl_authenticated,
			    permit_mynetworks,
			    reject_unauth_destination,

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname

smtpd_data_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_multi_recipient_bounce,

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_authenticated_sender_login_mismatch, reject_non_fqdn_sender, reject_unlisted_sender, reject_unauth_destination, reject_unknown_sender_domain,

reject_unverified_sender,

                        check_sender_access hash:/etc/postfix/whitelist,
                        check_sender_access hash:/etc/postfix/blacklist

smtpd_recipient_restrictions = reject_non_fqdn_recipient, check_sender_access hash:/etc/postfix/blacklist, reject_unknown_recipient_domain, reject_multi_recipient_bounce, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination,

check_policy_service unix:/var/spool/postfix/postgrey/socket,

                           reject_rbl_client zen.spamhaus.org,
                           reject_rbl_client bl.spamcop.net,

reject_rbl_client dnsbl.sorbs.net,

                           reject_invalid_hostname

smtpd_milters = inet:127.0.0.1:8891 non_smtpd_milters = $smtpd_milters milter_default_action = accept milter_protocol = 2

smtp_tls_loglevel = 2 smtp_tls_CApath = /etc/postfix/certs smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_security_level = may smtpd_tls_security_level = may smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem tls_random_source = dev:/dev/urandom

message_size_limit = 204800000 smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 15 smtpd_error_sleep_time = 20 anvil_rate_time_unit = 60s smtpd_client_connection_count_limit = 200 smtpd_client_connection_rate_limit = 300 smtpd_client_message_rate_limit = 300 smtpd_client_event_limit_exceptions = 127.0.0.0/8 smtpd_client_connection_limit_exceptions = 127.0.0.0/8

maximal_queue_lifetime = 1d bounce_queue_lifetime = 1d

smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth

virtual_mailbox_base = /var/vmail virtual_minimum_uid = 5000 virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 virtual_transport = dovecot dovecot_destination_recipient_limit = 1

content_filter=amavisfeed:[127.0.0.1]:10024

recipient_bcc_maps = hash:/etc/postfix/recipient_bcc

maks2912 ()
Ответ на: комментарий от maks2912

давай, ты как-то по шустрее будешь отвечать, я попросил конфиг , но после еще и логи и очередь. Это мне нужно, чтобы понять проблему. На вскидку, если проверка говоит, что у тебя нет open relay, и при этом From aakash.bramdeo@inl.co.za не твой адрес, то смотри:


smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_authenticated_sender_login_mismatch,

здесь reject_authenticated_sender_login_mismatch не отрабатывается, потому что postfix читает эти ограничения построяно.

  1. permit_mynetworks - есть сервер в permit_mynetworks? если есть то пропускам и дальше правило не отрабатываем

далее ( как раз твое) permit_sasl_authenticated - юрез залогинен - все пропускаем , и не важно с какого мыла он пишет, след правило reject_authenticated_sender_login_mismatch уже никак не учитывается. его надо ставить ПЕРЕД permit_sasl_authenticated

те выглядеть должно:


smtpd_sender_restrictions = permit_mynetworks,
reject_authenticated_sender_login_mismatch, 
permit_sasl_authenticated,
...
...
что-то там дальше


ну и пока, по тому, что мы имеем, я думаю, что бот сбрутфорсил пароль к какому-нибудь из юзеров и шлет через него спам, используя эту брешь в конфиге.

constin ★★★★ ()
Ответ на: комментарий от constin

Очередь я уже почистил, завтра будет новая порция)

Что касаемо логов, нашел по этому адресу в логе инфу

Dec 12 21:09:21 mail amavis[27052]: (27052-02-5) Passed CLEAN {RelayedOpenRelay}, [41.113.97.103]:7750 [41.113.97.103] aakash.bramdeo@inl.co.za -> midwestgirlok@yahoo.com, Queue-ID: A6249410B8, mail_id: oi-vtXbrB8FX, Hits: 2.392, size: 1103, queued_as: 000BA41119, 570 ms

Все таки OpenRelay, я так понимаю?

maks2912 ()
Ответ на: комментарий от maks2912

Все таки OpenRelay, я так понимаю?

нет, это не так, это сообщение от amavis.

Сорри, но мне не нужны твои догадки и обрывки лога в одну строчку, которую ты считаешь информативной и достаточной для анализа. Если бы ты мог это сам проанализировать, то не писал бы сюда, верно?

А так ты просто тратишь мое время.

Мне нужен лог всей этой сессии, а не только кусок с amavis. Те открути на минуту раньше и на минуту позже и все что есть запости сюда. ( имя своего домена можно изменить)

https://www.linux.org.ru/help/markdown.md

constin ★★★★ ()

Received from mail.DOMAIN.ru ([127.0.0.1]) by localhost

вот это странно выглядит. заблочь вообще все, кроме авторизованного доступа. ну и от брута защищаться надо, конечно. настрой fail2ban что ли, а то какой-нибудь умник у тебя сидит с паролем 12345 и в ус не дует.

Anoxemian ★★★★★ ()
Ответ на: комментарий от Anoxemian

Ничего странного:

Received from mail.DOMAIN.ru ([127.0.0.1]) by localhost (mail.DOMAIN.ru [127.0.0.1]) (amavisd-new, port 10024)

content_filter=amavisfeed:[127.0.0.1]:10024

Подозреваю, что:

Received from [10.165.94.30]

Это из его сети:

mynetworks = 10.x.x.x/24, 10.x.x.0/24,

и, так как ″permit_mynetworks″, то это просто бот/вирус из его сети шлёт спам.

mky ★★★★★ ()
Ответ на: комментарий от mky

Это из его сети:

эт я сразу понял. Узеры тоже враги и отношение к ним нужно как к спамерам. Желательно.

Bootmen ☆☆☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от maks2912

Смотрите логи постфикса касательно адреса 10.165.94.30. Ищите строчку от smtpd, в которой будет client=xxx[10.165.94.30]. Если там дальше будет sasl_username, то это логин пользователя. А, если там пусто, значит письмо отправляется без авторизации (permit_mynetworks).

mky ★★★★★ ()
Ответ на: комментарий от maks2912

извини за задержку, в выходные я предпочитаю отдыхать.


Dec 12 21:09:14 mail amavis[27056]: (27056-01) Passed CLEAN {RelayedOpenRelay}, [41.113.97.103]:7733 [41.113.97.103] <aakash.bramdeo@inl.co.za> -> <middlebrooks16@gmail.com>, Queue-ID: A54CD40403, mail_id: hKbTN04r-Pkb, Hits: 2.392, size: 1105, queued_as: 08D52410A9, 643 ms
Dec 12 21:09:14 mail postfix/smtpd[25082]: 0D359410AA: client=unknown[41.113.97.103], sasl_method=LOGIN, sasl_username=journal@DOMAIN.ru
Dec 12 21:09:14 mail postfix/lmtp[27045]: < 127.0.0.1[127.0.0.1]:10024: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 08D52410A9
Dec 12 21:09:14 mail postfix/lmtp[27045]: A54CD40403: to=<middlebrooks16@gmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.7, delays=1.1/0/0.01/0.64, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 08D52410A9)

это спам? Пожоже гна спам, вряд ли ты админишь почтовик в центральной африке, верно? za - это центральная африка, 41.113.97.139 это тоже айпишник от туда.

если да, то поменяй пароль на journal@DOMAIN.ru

то, что ты прислал забито sasl_method=LOGIN, sasl_username=journal@DOMAIN.ru

отправляют от этого пользователя, как я описывал. аутификация от пользователя и дальше отсылка с другого ящика, так как коряво написаны рестрикшены.

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 3)

Тебе нужно поставить лимиты на отправку сообщений, например в час не более 500 писем (для примера). И мониторить очередь на предмет ящиков с которых много писем на отправку. Сейчас пароли от почты ящиков уводят трояны которые в основном попадают на ПК через макровирусы в doc/xls + PDF по email.

Поэтому реж макросы через clamav смело.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.