LINUX.ORG.RU
решено ФорумAdmin

Идет рассылка с рута. Postfix+dovecot+centos+nginx

 , ,


0

1

Недавно обнаружил что с почты root@*mydomain* идут рассылки на левые ящики. Сам ящик рута отключен в postfixadmin. Папки исходящие нет. Не знаю как посмотреть какие письма отправить пытается и самое главное выглядит как спам-рассылка, по 10-15 сообщений в день в разное время. ClamAV вирусы не нашел. Смена пароля на руте не привела ни к чему. Может кто знает что это и куда смотреть?

Какие логи и конфиги предоставить в первую очередь?

Вот лог отправки письма с рута:

Jul 16 05:55:40 mail opendkim[25902]: 9B0D53766737: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 16 05:55:40 mail postfix/qmgr[4310]: 9B0D53766737: from=<root@*mydomain*>, size=4243, nrcpt=1 (queue active)
Jul 16 05:55:40 mail postfix/smtp[29993]: 854DC3766731: to=<galonsoma@pep.pemex.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.25, delays=0.07/0/0.04/0.14, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 9B0D53766737)
Jul 16 05:56:11 mail postfix/smtp[30121]: 9B0D53766737: to=<galonsoma@pep.pemex.com>, relay=none, delay=30, delays=0.14/0/30/0, dsn=4.4.1, status=deferred (connect to pep.pemex.com[200.23.91.68]:25: Connection timed out)

И вот

Jul 15 18:05:59 mail postfix/smtpd[22261]: 028943766740: client=localhost[127.0.0.1]
Jul 15 18:05:59 mail postfix/cleanup[22263]: 028943766740: message-id=<20200715150558.E0C84376673F@*mydomain*>
Jul 15 18:05:59 mail opendkim[25902]: 028943766740: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 15 18:05:59 mail postfix/qmgr[4310]: 028943766740: from=<root@*mydomain*>, size=7414, nrcpt=1 (queue active)
Jul 15 18:05:59 mail postfix/smtp[22258]: E0C84376673F: to=<gallerojr@live.com.mx>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.23, delays=0.08/0/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 028943766740)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: host nam.olc.protection.outlook.com[104.47.56.161] said: 451 4.7.650 The mail server [*myipserver*] has been temporarily rate limited due to IP reputation. For e-mail delivery information, see https://postmaster.live.com (S775) [CO1NAM11FT061.eop-nam11.prod.protection.outlook.com] (in reply to MAIL FROM command)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: lost connection with nam.olc.protection.outlook.com[104.47.56.161] while sending RCPT TO
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: to=<gallerojr@live.com.mx>, relay=nam.olc.protection.outlook.com[104.47.58.161]:25, delay=1.9, delays=0.11/0/1.7/0.16, dsn=5.5.0, status=bounced (host nam.olc.protection.outlook.com[104.47.58.161] said: 550 5.5.0 Requested action not taken: mailbox unavailable (S2017062302). (in reply to RCPT TO command))
Jul 15 18:06:01 mail postfix/bounce[22686]: 028943766740: sender non-delivery notification: 0F2B53766744
Jul 15 18:06:01 mail postfix/qmgr[4310]: 028943766740: removedJul 15 18:05:59 mail postfix/smtpd[22261]: 028943766740: client=localhost[127.0.0.1]
Jul 15 18:05:59 mail postfix/cleanup[22263]: 028943766740: message-id=<20200715150558.E0C84376673F@*mydomain*>
Jul 15 18:05:59 mail opendkim[25902]: 028943766740: DKIM-Signature field added (s=mail, d=*mydomain*)
Jul 15 18:05:59 mail postfix/qmgr[4310]: 028943766740: from=<root@*mydomain*>, size=7414, nrcpt=1 (queue active)
Jul 15 18:05:59 mail postfix/smtp[22258]: E0C84376673F: to=<gallerojr@live.com.mx>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.23, delays=0.08/0/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 028943766740)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: host nam.olc.protection.outlook.com[104.47.56.161] said: 451 4.7.650 The mail server [*myipserver*] has been temporarily rate limited due to IP reputation. For e-mail delivery information, see https://postmaster.live.com (S775) [CO1NAM11FT061.eop-nam11.prod.protection.outlook.com] (in reply to MAIL FROM command)
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: lost connection with nam.olc.protection.outlook.com[104.47.56.161] while sending RCPT TO
Jul 15 18:06:00 mail postfix/smtp[22844]: 028943766740: to=<gallerojr@live.com.mx>, relay=nam.olc.protection.outlook.com[104.47.58.161]:25, delay=1.9, delays=0.11/0/1.7/0.16, dsn=5.5.0, status=bounced (host nam.olc.protection.outlook.com[104.47.58.161] said: 550 5.5.0 Requested action not taken: mailbox unavailable (S2017062302). (in reply to RCPT TO command))
Jul 15 18:06:01 mail postfix/bounce[22686]: 028943766740: sender non-delivery notification: 0F2B53766744
Jul 15 18:06:01 mail postfix/qmgr[4310]: 028943766740: removed

1 2
Ответ на: комментарий от Bootmen

Короче тупень еще тот, fail2ban не был настроен для ssh, настроил на всякий, хотя все равно у меня подключение по нему только для нескольких адресов, остальные отклоняются.

maximice
() автор топика
Ответ на: комментарий от Bootmen

24 часа полет нормальный. рассылок спама не было. Надеюсь все. Спасибо большое за помощь

maximice
() автор топика
Ответ на: комментарий от anc

Сам в шоке. Дали отдохнуть на выходных. Притупили бдительность, весь понедельник не высовывались и тут бац…под конец рабочего дня

maximice
() автор топика
Ответ на: комментарий от maximice

Я не знаток postfix, и перечитывать лень, но вроде вам уже рекомендовали полный дэбаг включить, что бы понять под какой учеткой авторизуются при отправке.

anc ★★★★★
()
Ответ на: комментарий от anc

Так уже определили же. Просто суть в том что по ssh они не могут. Logwatch показал что только с моего айпишника удачный вход был и время именно, когда я заходил. Все остальные соединения отклонены. А спам все идет. Все же где-то скрипт. Но с заголовком X-Additional-Header: у меня только 2 строки выдает, но там нет скриптов в принципе.

X-Additional-Header: /var/spool/postfix

X-Additional-Header: /root

maximice
() автор топика
Ответ на: комментарий от maximice

Просто суть в том что по ssh они не могут

Причем тут ssh? У вас что узеров на почтовике нет? Которые логинятся (через SASL) чтобы скинуть почту.

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Сейчас жду новой вспышки спама. В логах пока пусто. Нашел на зарубежных форумах пару строк для main.cf, пару спам-листов, посмотрим поможет ли.

smtpd_recipient_restrictions =
        reject_rbl_client dnsbl.abuse.ch
        reject_rbl_client zen.spamhaus.org=127.0.0.[2..11]
        reject_rbl_client zen.spamhaus.org
        reject_rbl_client psbl.surriel.com
maximice
() автор топика
Ответ на: комментарий от maximice

Но рассылка идет от имени ящика root@mydomain. А его физически не существует

Что есть понятие ящика в вашем понимании?
Вы авторизуйтесь maximice@mydomain но отправить можете хоть от pupkin@mydomain (не имеет значения есть такой или нет). Это так из каробки обычно работает.
Много раз здесь писал, например на гулю(gmail) я могу отправить письмо от anc@myhome.lan и примет же.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Уже решено, немного подкорректировав правила, сервер начал реджектить такую отправку.

maximice
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin