LINUX.ORG.RU

Как бороться с этим в POSTFIX

 ,


1

2

Просматриваю очередь:

mailq
вижу такую картину:
38F3F3613A1     1464 Sat May 23 04:15:31  misty_harris@domen1.ru
(delivery temporarily suspended: host mailin-02.mx.aol.com[152.163.0.99] refused to talk to me: 421 mtaig-aaa01.mx.aol.com Service unavailable - try again later)
                                         blondieohs17@aol.com

3AA2B36B158     1466 Mon May 25 19:43:32  margaret_quinn@domen2.ru
(delivery temporarily suspended: lost connection with mta7.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
                                         drab3489@yahoo.com

34C2D363EA5     1457 Sun May 24 07:17:16  eleanor_brewer@domen2.ru
(delivery temporarily suspended: lost connection with mta7.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
                                         blue_eyes_soldierboy@yahoo.com

36B7E36215B     1462 Sat May 23 18:27:32  angel_wong@domen1.ru
(delivery temporarily suspended: host mailin-03.mx.aol.com[64.12.88.164] refused to talk to me: 421 mtaig-mae02.mx.aol.com Service unavailable - try again later)
                                         franksage@aol.com

3970436C4AF      957 Mon May 25 21:09:57  janine_frazier@domen1.ru
(delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[66.196.118.240] while sending RCPT TO)
                                         cassie_scanlon@yahoo.com

3667E367E48     1451 Mon May 25 09:32:22  carla_murray@domen2.ru
(delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[66.196.118.240] while sending RCPT TO)
                                         bfhbfjjdj@yahoo.com

32B8036EB88      920 Tue May 26 00:25:27  dora_sutton@domen1.ru
(delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[66.196.118.240] while sending RCPT TO)
                                         ali_baloch1010@yahoo.com

30059367D34     1412 Mon May 25 10:16:56  monique_pearson@domen2.ru
(delivery temporarily suspended: lost connection with mta7.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
                                         bahare_sex20@yahoo.com

33032369EBC     1467 Mon May 25 18:39:38  shelia_jacobs@domen2.ru
(delivery temporarily suspended: host mailin-02.mx.aol.com[152.163.0.99] refused to talk to me: 421 mtaig-aaa01.mx.aol.com Service unavailable - try again later)
                                         tcsiber@aol.com

где domen1.ru и domen2.ru реальные виртуальные домены, которые заведены в postfix.

а всех этих ящиков нет.

Причем эти письма бесконечно валят, очередь бесконечна.

Подскажите пожалуйста как с этим бороться?

Ответ на: комментарий от JB

Нет, поставил приближено к тем, что обозначены там, все равно картина не изменилась. Вот такие правила сейчас у меня:

smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
disable_vrfy_command = yes


smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination,
                               reject_non_fqdn_recipient,
                               reject_unknown_recipient_domain,
                               reject_multi_recipient_bounce,
                               check_client_access hash:/etc/postfix/client_white_list,
                               check_sender_access hash:/etc/postfix/sender_white_list,
                               check_sender_access hash:/etc/postfix/blacklist,
                               check_helo_access hash:/etc/postfix/helo_checks,
                               check_policy_service unix:/var/spool/postfix/postgrey/socket,
                               #reject_rbl_client zen.spamhaus.org,
                               #reject_rbl_client bl.spamcop.net,
                               #reject_rbl_client dnsbl.sorbs.net,
                               reject_invalid_hostname

smtpd_helo_restrictions = check_client_access hash:/etc/postfix/client_white_list,
                          check_sender_access hash:/etc/postfix/sender_white_list,
                          check_client_access hash:/etc/postfix/blacklist,
                          check_sender_access hash:/etc/postfix/blacklist,
                          permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_non_fqdn_helo_hostname,
                          reject_invalid_helo_hostname

smtpd_data_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unauth_pipelining,
                          reject_multi_recipient_bounce,


smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access_sender,
                            check_sender_access hash:/etc/postfix/sender_white_list,
                            check_client_access hash:/etc/postfix/client_white_list,
                            check_sender_access hash:/etc/postfix/blacklist,
                            permit_mynetworks,
                            permit_sasl_authenticated,
                            reject_non_fqdn_sender,
                            reject_unknown_sender_domain

Мало того, сегодня пришла абуза на отправку писем плохого содержания с моего сервера, вот с ящика одного из того списка из очереди.

Что еще может быть? Что еще можно сделать?

Nezhnayka28 ()

Возьми весь свой лог, грепни по нему ID любого письма (хотя бы 38F3F3613A1) и помедитируй над тем, как оно у тебя вообще принялось.

Без дальнейшей информации — предположим, что у тебя на одном из ящиков слабый пароль со всеми вытекающими.

x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от Nezhnayka28

в минуту по 20 сообщений пытаются отправиться с ложных ящиков

Nezhnayka28 ()
Ответ на: комментарий от JB
SMTP Reverse DNS Mismatch	OK - 93.184.192.155 resolves to mail.domain1.ru
SMTP Valid Hostname			OK - Reverse DNS is a valid Hostname
SMTP Banner Check			OK - Reverse DNS matches SMTP Banner
SMTP TLS					OK - Supports TLS.
SMTP Connection Time		2.075 seconds - Good on Connection time
SMTP Open Relay				OK - Not an open relay.
SMTP Transaction Time		4.477 seconds - Good on Transaction Time

220 mail.domen1.ru ESMTP [1950 ms]
EHLO MXTB-PWS3.mxtoolbox.com
250-mail.domen1.ru
250-PIPELINING
250-SIZE 40960000
250-STARTTLS
250-AUTH PLAIN LOGIN CRAM-MD5
250-AUTH=PLAIN LOGIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [733 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [733 ms]
RCPT TO:<test@example.com>
454 4.7.1 <test@example.com>: Relay access denied [827 ms]

и в 3 черных списка уже поместили из-за этой проблемы спамерской рассылки:

LISTED	Spamhaus DBL	mail.domеn1.ru was listed  Detail	60	78	Ignore
LISTED	ivmSIP			93.184.192.155 was listed  Detail	2100	94	Ignore
LISTED	TRUNCATE		93.184.192.1558 was listed 

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

Говорю же: грепни по ID.

38F3F3613A1

↑ это ID.

localhost[127.0.0.1]: MAIL FROM:<teresa_zielinski@domen2.ru> SIZE=2886 BODY=8BITMIME

ЧТО? У тебя на том хосте кроме почты что-нибудь крутится? Например, старый webmin. Или старый wordpress. Или ssh с лёгким паролем на любого из пользователей.

x3al ★★★★★ ()
Ответ на: комментарий от Nezhnayka28

OK - Not an open relay.

а теперь покажи что у тебя в mynetworks

JB ★★★★★ ()
Ответ на: комментарий от x3al

Если найдёшь на хосте следы бекдоров — проверяешь состояние бэкапов, переставляешь систему, заливаешь данные с бэкапа, чинишь дырку через которую пролезли, потом уже думаешь о том, как вычистить себя из блеклистов.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

ЧТО? У тебя на том хосте кроме почты что-нибудь крутится? Например, старый webmin. Или старый wordpress. Или ssh с лёгким паролем на любого из пользователей.

я думаю все гораздо проще. Скорее всего у него в mynetworks прописана внутренняя подсеть с клиентскими компами, а значит они проходят без авторизации. Кто то поймал вирус, вот и спам пошел

JB ★★★★★ ()
Ответ на: комментарий от JB

Это же глупо. Я не знаю, кому придёт в голову настроить так. Вариант с дыркой не требует специальной настройки, поэтому ставлю на него.

Ну и сдаётся мне, что боты больше заточены под этот случай.

x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от JB

Говорю же: грепни по ID.

http://pastebin.com/HSBFVPcZ

ЧТО? У тебя на том хосте кроме почты что-нибудь крутится? Например, старый webmin. Или старый wordpress. Или ssh с лёгким паролем на любого из пользователей.

веб-сервер крутится, wordpress - да, но не старый, он обновляется. ssh с легким паролем - нет. А почему такой вопрос: ЧТО? - что именно удивило в этом логе?

а теперь покажи что у тебя в mynetworks

mynetworks = 127.0.0.0/8
Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

старый wordpress
старый webmin
ssh с лёгким паролем на любого из пользователей.

Я недавно поднимал тему, что нет ли ничего страшного в том, что некоторые пользователи SSH смогут ходить выше своей домашней директории , просматривать конфигурационные файлы и т.д. - мне сказали, что если права настроены правильно, то в этом ничего нет страшного.. Скажите тогда, как старый wordpress, webmin, ЛЮБОЙ пользователь ssh мог бы сломать систему? Объясните что могло произойти?

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

мл..ть, теперь и хостер прислал уведомление, что если не решите проблему с абузой, то вообще сервер заблокируем - клева. За спам рассылку сервера блокируют?

Nezhnayka28 ()
Ответ на: комментарий от melkor217

Ты уверен в том, что все права в системе настроены правильно? ;)

Нет, не уверен, но уверен, что права на важные директории выставлены верно, так-же уверен, что легких паролей от ssh нет, единственного пользователя ssh которого отдал веб-программисту пускаю через Lshell - вроде chroot, и он в не root.

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

Любой пользователь с локальным доступом на эту систему может отправлять почту по умолчанию и постфикс подпишет их любым обратным адресом, которым они хотят. Это вполне разумные умолчальные настройки. Чрут не помогает от этого т.к. 127.0.0.1 — в mynetworks, можно тупо по TCP связаться.

ЧТО? - что именно удивило в этом логе?

Вообще хотелось бы посмотреть то, что прямо перед этой строчкой... connect from <откуда> и подобное. Поэтому я и говорил — грепать по ID, в этом случае меньше мусора будет даже если включить строки вокруг. Перед отправкой письма постфикс пишет, кто сконнектился если это письмо снаружи.

Но ЧТО было о том, что у тебя скорее всего письма шлют не снаружи (т.е. например со сломанного ящика), а изнутри (с машины с постфиксом). И в этом случае тебе смотреть какой процесс коннектится к постфиксу и плясать от этого.

Говорю же: грепни по ID.

http://pastebin.com/HSBFVPcZ

Это — лог не с начала (видно по delay=84512). Предыдущий в архиве, похоже.

x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 2)
Ответ на: комментарий от deep-purple

Тайлани еще логи веб-сервера, может шлют через дырку в том же вротпесе.

Остановил вообще веб-сервер, и о чудо, перестала идти спамерская рассылка!

Но вопрос остался, как ограничить Postfix от этой рассылки, если ее делают через сайты, на самом деле через wordpress?

потом уже думаешь о том, как вычистить себя из блеклистов.

Как вылезать из блеклистов?

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

Как вылезать из блеклистов?

Исправить проблему и зайти на веб-морду блеклиста. Как правило там есть форма, позволяющая попросить исключить тебя. Если слишком много пользоваться ей с одного адреса — забанят навсегда.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Если слишком много пользоваться ей с одного адреса — забанят навсегда

Понял, большое спасибо.

Но вопрос остался, как ограничить Postfix от этой рассылки, если ее делают через сайты, на самом деле через wordpress?

Ребят, как оградить postfix от этих напастей со стороны сайтов, которые крутятся на этом же сервере, где почтовик? Пока что лучшего решения, как разнести веб-сервер и почтовый-сервер на разные сервера не нашел.

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

Я ж говорил логи смотри. Там видно будет откуда именно. А вообще в письмах будет заголовок типа:

X-PHP-Originating-Script: 1000:PHPMailer.php

deep-purple ★★★★★ ()
Ответ на: комментарий от deep-purple

Я ж говорил логи смотри.

Да в логах веб-сервера особо ничего не видно, идет обращение к скриптам сайта, причем абсолютно разным со статусом 200, через какой из них спамер отправляет письма - х.з, возможно глобально заражены сайты, что там сотня скриптов отправляет спам-рассылку. Но попадание в яблочко на 100% - за что большое спасибо!

А вот вырубив веб-сервер полностью стало понятно, что да, бяка лезит через сайты - далее сузил круг отключив только определенные сайты (кстати на wordpress) и включив веб-сервер, после чего так-же стало понятно, что это сайты wordpress были.

Но вот как ограничить теперь postfix от таких напастей со стороны сайтов? Потому что сайты предположим сейчас от вирусяков почистят - но где гарантия что в любое время ситуацию не повторится - это wordpress - х.з. в какой момент ждать, что опять зальют туда вирус, который начнет делать то же самое и снова все по кругу.

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

Может ли стать решением проблемы вынос веб-сервера на отдельный сервак, т.е. тем самым вынести сайты из доверенной сети postfix?

Скажите, где postfix хранит письма, которые находятся в очереди?

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

«Вынести из доверенной зоны» можно путем задания пустого my_networks. Но:

1. все равно можно обращаться к бинарнику sendmail.postfix и рассылать спам

2. скорее всего сайты сами по себе должны иметь возможность рассылать какие-то свои письма

Так что здесь надо бороться с причиной - дырами в wordpress а не со следствием.

trancefer ★★ ()

все просто: удаляешь разрешение для отправки почты через localhost без авторизации, а сайтам задаешь пароли для отправки (ведь у сайтов это настраивается? ;) ). те скрипты, что отсылают напрямую - наступит облом, если будет валить почта - ловишь аккаунт и морозишь сайт. ну и латай дырки потом :)

anonymous ()
Ответ на: комментарий от anonymous

Так что здесь надо бороться с причиной - дырами в wordpress а не со следствием.

да, но кто знает в какой момент по причине глобальной уязвимости в wordpress или частного случая взлома сайта проблема повторится один, два, сто два раза - это все время находиться в состоянии тревоги.

ведь у сайтов это настраивается?

Нет, вроде не настраивается, та же функция php:

mail
подразумевает под собой указание from, to, message -> go

Nezhnayka28 ()
Ответ на: комментарий от anonymous

все просто: удаляешь разрешение для отправки почты через localhost без авторизации, а сайтам задаешь пароли для отправки (ведь у сайтов это настраивается? ;) ). те скрипты, что отсылают напрямую - наступит облом, если будет валить почта - ловишь аккаунт и морозишь сайт. ну и латай дырки потом :)

anonymous - ты был прав, есть такой вариант. Вчера на хабре появилась статья, про то, как это сделать (спасибо JB что показал ее): http://habrahabr.ru/post/259937/

Nezhnayka28 ()
Ответ на: комментарий от Nezhnayka28

+ логм на отправленую почту непосредственно с сайтов (отдельный лог, не postfix).

Nezhnayka28 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.