LINUX.ORG.RU
ФорумAdmin

IP-spoofing for e-mail spam ?


0

1

Доброго времени суток. Есть mail сервер (как MTA используется sendmail). Начиная с некоторого времени начала приходить спам, закрыли путём добавления домена с которого шло в spamassasin. Через некоторое время приходит сообщение от провайдера, что наш сервер рассылает спам (и исходное письмо от системы антиспама провайдеру) с примером письма. И действительно, в заголовке указан ip нашего сервера.

Просмотрел maillog - там никакой отправки на адрес на который якобы от нас спам пришёл - не было.

Подскажите варианты, что можно предпринять ? если так дальше и будет - да здравствуй билет во все black листы и бан от провайдера ((

Ответ на: комментарий от masz

Нет. Релей открыт только из внутренней сети + 2 внешних ip подразделения.

menlfik
() автор топика

tcpdump+wireshark в руки и изучай, что сыпется в провайдера

zolen
()

Просмотрел maillog

Там совсем не обязано быть. Рассылаться может напрямую неким процессом.
Шаг 1. Проверить имеющиеся учётные записи - их список (нет ли левых), их хомяки (нет ли подозрительных бинарников/скриптов).
Шаг 2. Посмотреть список процессов и их соединений (на 25 порт) на наличие подозрительных).
Шаг 3 (если всё выглядит нормально). Проверить задачи cron'а. Если запущен веб-сервер, проверить веб-подсистему (возможно, продырявлено там). Заставить iptables логировать соединения на удалённый 25-й tcp порт.
Шаг 4 (если всё это не помогло, и в логах iptables не сообщает о коннектах). Возможно, почтовик поломан (можно проверить, просмотрев трафик на шлюзе или смостованном с почтовикм linux-box'е).

berrywizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.