LINUX.ORG.RU
ФорумAdmin

рассылка спама через postfix

 


0

3

Поступила абуза к провайдеру на IP сервера, на котором размещен сайт. Якобы из моего IP идет массовая рассылка спама. На сервере стоит postfix, почтовый аккаунт один - admin@myserver.com

Просмотр лога говорит мне о том, что два дня назад начали массово идти письма на несуществующие аккаунты, сервер отвергает письма обратно. Выкладываю два фрагмента лога (имя домена заменено на myserver.com):

Jan 10 01:41:40 myserver postfix/smtpd[24415]: disconnect from unknown[202.108.3.242]
Jan 10 01:41:41 myserver postfix/smtpd[24413]: NOQUEUE: reject: RCPT from ch1outboundsmtppool2.messaging.microsoft.com[157.55.116.166]: 550 5.1.1 <lxxhcd@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<lxxhcd@myserver.com> proto=ESMTP helo=<CH1EHSNDR002.bigfish.com>
Jan 10 01:41:41 myserver postfix/smtpd[24413]: disconnect from ch1outboundsmtppool2.messaging.microsoft.com[157.55.116.166]
Jan 10 01:41:48 myserver postfix/smtpd[24418]: warning: 94.245.120.79: address not listed for hostname db3ehsobe005.messaging.microsoft.com
Jan 10 01:41:48 myserver postfix/smtpd[24418]: connect from unknown[94.245.120.79]
Jan 10 01:41:48 myserver postfix/smtpd[24418]: NOQUEUE: reject: RCPT from unknown[94.245.120.79]: 550 5.1.1 <foodbank@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<foodbank@myserver.com> proto=ESMTP helo=<DB3EHSNDR001.bigfish.com>
Jan 10 01:41:48 myserver postfix/smtpd[24418]: disconnect from unknown[94.245.120.79]
Jan 10 01:41:49 myserver postfix/smtpd[24419]: connect from defout.telus.net[199.185.220.80]
Jan 10 01:41:50 myserver postfix/smtpd[24419]: NOQUEUE: reject: RCPT from defout.telus.net[199.185.220.80]: 550 5.1.1 <suprramfan@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<suprramfan@myserver.com> proto=ESMTP helo=<outbound03.telus.net>
Jan 10 01:41:50 myserver postfix/smtpd[24419]: disconnect from defout.telus.net[199.185.220.80]
Jan 10 01:41:55 myserver postfix/smtpd[24421]: connect from na01-by2-obe.ptr.protection.outlook.com[207.46.100.30]
Jan 10 01:41:57 myserver postfix/smtpd[24421]: NOQUEUE: reject: RCPT from na01-by2-obe.ptr.protection.outlook.com[207.46.100.30]: 550 5.1.1 <suprdonkey@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<suprdonkey@myserver.com> proto=ESMTP helo=<NA01-BY2-obe.outbound.protection.outlook.com>
Jan 10 01:41:57 myserver postfix/smtpd[24421]: disconnect from na01-by2-obe.ptr.protection.outlook.com[207.46.100.30]
Jan 10 01:41:58 myserver postfix/smtpd[24404]: connect from ch1outboundsmtppool2.messaging.microsoft.com[157.55.116.166]
Jan 10 01:41:59 myserver postfix/smtpd[24415]: connect from co9outboundsmtppool2.messaging.microsoft.com[157.56.73.194]
Jan 10 01:41:59 myserver postfix/smtpd[24404]: NOQUEUE: reject: RCPT from ch1outboundsmtppool2.messaging.microsoft.com[157.55.116.166]: 550 5.1.1 <chang.liu@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<chang.liu@myserver.com> proto=ESMTP helo=<CH1EHSNDR002.bigfish.com>
Jan 10 01:41:59 myserver postfix/smtpd[24404]: disconnect from ch1outboundsmtppool2.messaging.microsoft.com[157.55.116.166]
Jan 10 01:42:00 myserver postfix/smtpd[24415]: NOQUEUE: reject: RCPT from co9outboundsmtppool2.messaging.microsoft.com[157.56.73.194]: 550 5.1.1 <abir@myserver.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<abir@myserver.com> proto=ESMTP helo=<CO9EHSNDR001.bigfish.com>
Jan 10 01:42:00 myserver postfix/smtpd[24413]: connect from tx2outboundsmtppool1.messaging.microsoft.com[65.55.83.131]
Jan 10 01:42:00 myserver postfix/smtpd[24415]: disconnect from co9outboundsmtppool2.messaging.microsoft.com[157.56.73.194]


Jan 10 03:43:30 myserver postfix/smtpd[32412]: connect from localhost.localdomain[127.0.0.1]
Jan 10 03:43:30 myserver postfix/smtpd[32412]: 688B4C0AB60: client=localhost.localdomain[127.0.0.1]
Jan 10 03:43:30 myserver postfix/cleanup[32630]: 688B4C0AB60: message-id=<39429388.6873555272629563757.JavaMail.roverp@nwk-roverp-lap16.corp.apple.com>
Jan 10 03:43:30 myserver postfix/qmgr[2030]: 688B4C0AB60: from=<eghjewel@caycedo.org>, size=5754, nrcpt=1 (queue active)
Jan 10 03:43:30 myserver postfix/smtpd[32412]: disconnect from localhost.localdomain[127.0.0.1]
Jan 10 03:43:30 myserver postfix/smtp[32586]: 688B4C0AB60: to=<dread2k@blackplanet.com>, relay=none, delay=0.26, delays=0.26/0/0/0, dsn=5.4.6, status=bounced (mail for blackplanet.com loops back to myself)
Jan 10 03:43:30 myserver postfix/cleanup[32630]: AEBF819DC028: message-id=<20130110004330.AEBF819DC028@testnrgdebian5.ru>
Jan 10 03:43:30 myserver postfix/qmgr[2030]: AEBF819DC028: from=<>, size=7570, nrcpt=1 (queue active)
Jan 10 03:43:30 myserver postfix/bounce[32631]: 688B4C0AB60: sender non-delivery notification: AEBF819DC028
Jan 10 03:43:30 myserver postfix/qmgr[2030]: 688B4C0AB60: removed
Jan 10 03:43:30 myserver postfix/smtp[32620]: AEBF819DC028: to=<eghjewel@caycedo.org>, relay=none, delay=0.11, delays=0.06/0/0.05/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=caycedo.org type=A: Host not found)
Jan 10 03:43:30 myserver postfix/qmgr[2030]: AEBF819DC028: removed
Jan 10 03:43:31 myserver postfix/smtpd[32412]: connect from localhost.localdomain[127.0.0.1]
Jan 10 03:43:31 myserver postfix/smtpd[32412]: 64994C0AB60: client=localhost.localdomain[127.0.0.1]
Jan 10 03:43:31 myserver postfix/cleanup[32630]: 64994C0AB60: message-id=<584375c85a199c1ee325c88fa14fe2fe7@www.digital-heaven.co.uk>
Jan 10 03:43:31 myserver postfix/qmgr[2030]: 64994C0AB60: from=<albg@eresmas.com>, size=846, nrcpt=1 (queue active)
Jan 10 03:43:31 myserver postfix/smtpd[32412]: disconnect from localhost.localdomain[127.0.0.1]
Jan 10 03:43:31 myserver postfix/smtp[32586]: 64994C0AB60: to=<greasemonkeymig@migente.com>, relay=none, delay=0.32, delays=0.13/0/0.19/0, dsn=5.4.6, status=bounced (mail for migente.com loops back to myself) 

Конфиг postfix:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = testnrgdebian5.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mydomain = localdomain
local_recipient_maps = unix:passwd.byname $alias_maps
virtual_alias_domains = /etc/mail/local-host-names
virtual_alias_maps = hash:/etc/mail/virtusertable
smtp_generic_maps = hash:/etc/mail/generic
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_unverified_recipient

Что не так в конфиге ? Как решить проблему ? Спасибо!

Ответ на: комментарий от samarin

Этого параметра нет, конфиг приведен полностью. Нужно дописать его ?

Копаюсь в логах, нашел запись успешного входа по одному из аккаунтов ftp после брут-форса. А также с этого IP есть запуск перл-скрипта из папки cgi-bin. Но папка-то пуста и скрипта в ней не вижу. Ничего не понимаю.

Serg2000 ()

Посмотри очередь postfix (mailq) там должно быть куча писем от Mailer Daemon. Удалить просто

postsuper -d ALL

Твой постфикс пытается доставить сообщение о невозможности доставки, возможно это и посчитал спамом провайдер. Написал, так как тоже хочется узнать как можно не доставлять уведомление о невозможности тому кто пытался использовать мой postfix как open relay или когда письмо реджектится в связи с ненайденным пользователем.

partyzan ★★★ ()
Ответ на: комментарий от partyzan

Спасибо. Я не вникал подробно в настройки, но у меня в панели ispmanager есть возможность настройки действий при получении писем на несуществующие аккаунты: по умолчанию стояло Reply error, то есть отсылка обратно письма о несуществующем юзере. Я переключил эту опцию и теперь такие письма перенаправляются на специально созданный ящик otkaz@myserver.com. Может это и нехорошо, так как оправитель не знает, дошло ли письма адресату, но «хороший» отправитель не будет слать письма на несуществующие аккаунты.

По сабжу, как говорил уже выше - брут-форсом был подобран пароль к фтп-аккаунту и скорее всего залит и запущен спам-скрипт...

Serg2000 ()
Ответ на: комментарий от yurikoles

Рецепт прост - сложный пароль+fail2ban. Для этого создавать новую тему думаю не стоит.

Serg2000 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.