LINUX.ORG.RU
решено ФорумGeneral

какой-то левый клиент наплодил очередь


0

1

Подскажите в чем косяк, у меня есть домен свой и еще куча пользовательских. Как так получилось что клиент с yahoo.com какая то marina.sanzel@yahoo.com накидала кучу сообщений через мой почтарь? очередь порядка 1500 писем. У меня конечно не крутится домен yahoo.com. В логах что-то вроде этого 

Jul 27 09:56:38 mail postfix/qmgr[26872]: D33E23F46B0: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 09:56:38 mail postfix/qmgr[26872]: D2A143F45E3: from=<marina.sanzel@yahoo.com>, size=3012, nrcpt=20 (queue active)
Jul 27 09:56:38 mail postfix/qmgr[26872]: D332B3F4516: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 09:56:38 mail postfix/qmgr[26872]: DC3533F4187: from=<marina.sanzel@yahoo.com>, size=3012, nrcpt=20 (queue active)
Jul 27 09:56:39 mail postfix/smtp[9525]: 712BA3F45F2: to=<marina.sanzel@yahoo.com>, relay=mta5.am0.yahoodns.net[98.136.216.26]:25, delay=11197, delays=11195/0.02/2.4/0, dsn=4.7.0, status=deferred (host mta5.am0.yahoodns.net[98.136.216.26] refused to talk to me: 421 4.7.0 [TS01] Messages from МОЙ АЙПИ СЕРВАКА temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Jul 27 09:56:40 mail postfix/qmgr[26872]: D5A153F47D1: to=<marina.sanzel@yahoo.com>, relay=none, delay=3562, delays=3559/2.9/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mta7.am0.yahoodns.net[98.136.217.202] refused to talk to me: 421 4.7.0 [TS01] Messages from МОЙ АЙПИ СЕРВАКА temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Jul 27 09:56:41 mail postfix/qmgr[26872]: D4BA83F4811: to=<marina.sanzel@yahoo.com>, relay=none, delay=1791, delays=1788/3/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mta7.am0.yahoodns.net[98.136.217.202] refused to talk to me: 421 4.7.0 [TS01] Messages from МОЙ АЙПИ СЕРВАКА temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Jul 27 09:57:16 mail postfix/qmgr[26872]: B406F3F482F: to=<marina.sanzel@yahoo.com>, relay=none, delay=0.01, delays=0/0.01/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mta7.am0.yahoodns.net[98.136.217.202] refused to talk to me: 421 4.7.0 [TS01] Messages from МОЙ АЙПИ СЕРВАКА temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)

★★★

каким-то образом почтовик посчитал IP адрес отправителя из той же подсети, что и твой локальный адрес. т.е. принял грубо говоря внешний IP за «свой». а далее использовал сервер как релей, т.к. релей включен для всех локальных пользователей из коробки.

у меня так было.

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

ну да, но у тебя проблема была я так понимаю, что твой адрес и адрес спамера находились в одной сети, а у меня абсолютно разные сети со спамером

init_ ★★★
() автор топика

Кому она их посылала? Видимо кому-то из твоих доменов. В логах видна постановка в очередь и возврат письма с ошибкой отправителю.

Либо спамер подделал обратный (отправителя) адрес и послал несуществующему пользователю твоего домена, а твой МТА радостно завалил marina.sanzel ответами (спамом) о невозможности доставки письма

sdio ★★★★★
()
Ответ на: комментарий от sdio

вот нашел еще в логах 

Jul 27 04:23:07 mail postfix/qmgr[26872]: 8F4B73F418E: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 04:23:17 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili1121@aol.com>, relay=none, delay=80422, delays=80412/10/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.59.193] refused to talk to me: 421 mtain-da01.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 04:23:17 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili42282dv@aol.com>, relay=none, delay=80422, delays=80412/10/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.59.193] refused to talk to me: 421 mtain-da01.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 05:46:27 mail postfix/qmgr[26872]: 8F4B73F418E: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 05:46:42 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili1121@aol.com>, relay=none, delay=85427, delays=85412/15/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.103.1] refused to talk to me: 421 mtain-dc02.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 05:46:42 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili42282dv@aol.com>, relay=none, delay=85427, delays=85412/15/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.103.1] refused to talk to me: 421 mtain-dc02.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 07:09:47 mail postfix/qmgr[26872]: 8F4B73F418E: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 07:09:55 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili1121@aol.com>, relay=none, delay=90420, delays=90412/7.7/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.103.1] refused to talk to me: 421 mtain-dc01.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 07:09:55 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili42282dv@aol.com>, relay=none, delay=90420, delays=90412/7.7/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.103.1] refused to talk to me: 421 mtain-dc01.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 08:33:11 mail postfix/qmgr[26872]: 8F4B73F418E: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 08:33:21 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili1121@aol.com>, relay=none, delay=95426, delays=95416/10/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[205.188.103.2] refused to talk to me: 421 mtain-dd05.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 08:33:21 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili42282dv@aol.com>, relay=none, delay=95426, delays=95416/10/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[205.188.103.2] refused to talk to me: 421 mtain-dd05.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 09:56:30 mail postfix/qmgr[26872]: 8F4B73F418E: from=<marina.sanzel@yahoo.com>, size=3017, nrcpt=20 (queue active)
Jul 27 09:56:35 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili1121@aol.com>, relay=none, delay=100420, delays=100415/4.6/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[205.188.146.194] refused to talk to me: 421 mtain-dh04.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 09:56:35 mail postfix/qmgr[26872]: 8F4B73F418E: to=<lili42282dv@aol.com>, relay=none, delay=100420, delays=100415/4.6/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[205.188.146.194] refused to talk to me: 421 mtain-dh04.r1000.mx.aol.com Service unavailable - try again later)
Jul 27 10:00:22 mail postfix/postsuper[9868]: 8F4B73F418E: removed

видно что девочка спамила на аол

init_ ★★★
() автор топика
Последнее исправление: init_ (всего исправлений: 1)
Ответ на: комментарий от init_

тогда почему письма от марины санзел)))) не дропнулись а копились в очереди?

Телепатирую... Вижу кривые руки. Не вижу конфига почтовика.

anonymous
()
Ответ на: комментарий от anonymous 
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
myhostname = xxx.yyy.ru
mydomain = yyy.ru
myorigin = $mydomain
inet_interfaces = IP_OF_SERVER_MAIL, localhost
unknown_local_recipient_reject_code = 550
mynetworks_style = subnet
mynetworks = 192.168.0.0/24
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
 
mailbox_transport = $virtual_transport
  
header_checks = regexp:/etc/postfix/checks/header_checks
debug_peer_level = 2
debugger_command =
	 PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.3.3/samples
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
virtual_mailbox_domains = pgsql:/etc/postfix/pgsql-virtual-mailbox-domains.cf
virtual_alias_maps = $alias_maps pgsql:/etc/postfix/pgsql-virtual-alias-maps.cf
virtual_alias_domains = $virtual_alias_maps
virtual_mailbox_maps = pgsql:/etc/postfix/pgsql-virtual-mailbox-maps.cf
virtual_recipient_maps = $alias_maps pgsql:/etc/postfix/pgsql-virtual-alias-maps.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit=1
virtual_uid_maps=static:1100
virtual_gid_maps=static:1100
content_filter = scan:[127.0.0.1]:10025
smtpd_tls_cert_file=/etc/pki/postfix/certs/postfix.pem
smtpd_tls_key_file=/etc/pki/postfix/private/postfix.pem
smtpd_use_tls=yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/dovecot-smtp-auth
smtpd_sasl_auth_enable=yes
strict_rfc821_envelopes=yes
disable_vrfy_command=yes
smtpd_delay_reject=yes
smtpd_helo_required=yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/checks/helo_access, check_helo_access regexp:/etc/postfix/checks/helo_regexp, check_helo_access regexp:/etc/postfix/checks/dul_checks, reject_invalid_hostname, permit
smtpd_sender_restrictions =  permit_mynetworks, check_sender_access regexp:/etc/postfix/checks/sender_access, reject_non_fqdn_sender, reject_unknown_sender_domain, permit
smtpd_recipient_restrictions = reject_unauth_pipelining, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, check_recipient_access regexp:/etc/postfix/checks/recipient_access, reject_unknown_sender_domain, check_policy_service unix:/var/spool/postfix/postgrey/socket, permit
smtpd_client_restrictions = permit_mynetworks, check_client_access hash:/etc/postfix/checks/client_access, check_client_access regexp:/etc/postfix/checks/dul_checks, reject_rbl_client multi.surbl.org, reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.ru, reject_rbl_client dnsbl.ahbl.org, reject_rbl_client rbl.abuse.cp.net, permit
smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, permit
anvil_rate_time_unit = 10m
anvil_status_update_time = 1h
message_size_limit = 41943040
sender_bcc_maps = hash:/etc/postfix/checks/sender_bcc_maps
init_ ★★★
() автор топика
Ответ на: комментарий от init_

Просмотрите очередь через mailq, берём из неё ID сомнительных сообщений и смотрим их содержимое через postcat -q.

Очевидно, что через ваш сервер каким-то образом разослали спам: либо был угнан чей-то аккаунт, либо рассылка шла прямо с localhost.

frozen_twilight ★★
()
Ответ на: комментарий от frozen_twilight

спасибо. в следующий раз буду смотреть именно по такому пути

init_ ★★★
() автор топика
Ответ на: комментарий от Spoofing

проблема решена, все оказалось проще, ломанули раундкьюб старой версии, по логам апача увидел ссылки на создание новых писем от левого адреса, в очень массовых количествах

init_ ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General