Postfix open relay

Я Постфикс не знаю, но я вот праильно понимаю. что это разрешение на отправку с авторизацией откуда угодно «smtpd_sasl_auth_enable = yes» ? Если да, пароль у кого-то увели. Типичный вариант, дело на потоке давно.

smtpd_sender_restrictions = ... permit_mynetworks ...

заразили машину из $mynetworks какой-нить фигней, и она шлет. или пароль утёк, как предложил предыдущий оратор :)

Если даже и так, то как может отправляться почта с левого мыла если этого мыла нет в существующих на сервере (не пользователь моего домена) + mynetworks прямо запрещают доступ с чужих ip.

Понял, скорее всего ты прав. Заставлю завтра просканить ОСи и поменять пасы, ибо ночью всё тихо и мирно.

>как может отправляться почта с левого мыла если этого мыла нет в существующих на сервере

sender_restrictions или recipient_restrictions хреново настроен. Как доберусь до конфигов сервера - расскажу что можно поправить...

> как предложил предыдущий оратор :)

Я немного другое предположил. :-) Но и это вариант обычный, если «с неизвестных адресов» относится к E-Mail, а не к hostname. Причём, серые IP не спасают - клиентв ботнетов прекрасно через nat работают.

> Если даже и так, то как может отправляться почта с левого мыла если этого мыла нет в существующих

на сервере (не пользователь моего домена) + mynetworks прямо запрещают доступ с чужих ip.

А вот тут, ввиду отсутствия знания Постфикс, могу только предположить.
Вот это вот
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_sasl_authenticated
не имеет ли приоритета над всеми остальными ограничениями ?

ибо ночью всё тихо и мирно.

Это, действительно, больше похоже на внутреннюю заразу. Если бы использовали рассыку с авторизацией снаружи, оно бы не останавливалось. Кстати, на постмастера должна валиться куча мусора, там должно быть видно, кто шлёт, если в логе почтовика сложно разобраться.

Вообще то в логах пишет как минимум с какого ИП он изначально принял коннект. А дальше можно вплоть до включения дебага и выяснения по какому каналу получено разрешение.

не забудь, что сам почтовик тоже в $mynetworks. посмотри, нет ли руткитов ;)
ну, это я так.. почесать твою параною :-D

Я Постфикс не знаю, но смысл SMTP-авторизации вижу только в одном. Что-бы клиенты, находящиеся за пределами домена, могли отправлять почту куда угодно. Что-бы не прописывать явно релеи для сетей и адресов, которые ты не знаешь. Если таких клиентов нет, то вырубить SMTP-авторизацию и не мучиться. А так может быть что угодно, дырявость САСЛа, неправильные настройки MSA и того-же sasl, украденные пароли.

> но смысл SMTP-авторизации вижу только в одном. Что-бы клиенты, находящиеся за пределами

домена, могли отправлять почту куда угодно.

Именно так. Потому я и предположил, что у тех параметров приоритет. :-)
Ибо логично.

да ты логи просто глянь для начала и погрепай. а то из пушки по воробьям

Да, понял уже, что правила для отправителя настроены немного лояльно и доверительно. smtpd_sasl_auth_enable = yes разрешает sasl аутентификацию впринципе, а smtpd_sender_restrictions задает приоритеты по которым будут проходить аутентификацию и авторизацию клиенты на этапе отправки заголовка «от кого».

>не забудь, что сам почтовик тоже в $mynetworks. посмотри, нет ли руткитов ;)

rkhunter и clamav ничего не обнаружили. Чем еще можно проверить?

>да ты логи просто глянь для начала и погрепай. а то из пушки по воробьям

В логах сейчас уже ничего подозрительного нет (ну кроме кучи спама, который в целом успешно банится amavis / spamassassin). После смены пассов и проверки на вири / трояны пока всё тихо. А до этого (когда была та спамовая рассылка) были коннекты с внешних адресов. Поэтому, я думаю, что всё таки вариант с украденными паролями / паролем наиболее вероятен.