LINUX.ORG.RU

Через мой сервер спамят. Sendmail.


0

0

Очередь почтовых сообщений при запущенном sendmail растет как на дрозжах. Также мне не понятно почему у меня на сервере 2 каталога очереди: - mqueue-client с правами smmsp|smmsp (тут формируется огромное количество спама) - mqueue c правами root|mail (тут спама поменьше)

Вырезка из лога sendmail:

Jul 28 13:18:24 vxxxx sendmail[16223]: n6S9IOEd016223: from=www-data, size=2289, class=0, nrcpts=1, msgid=<200907280918.n6S9IOEd016223@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:24 vxxxx sendmail[16223]: n6S9IOEd016223: to=c21indixie@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32289, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Jul 28 13:18:24 vxxxx sendmail[16224]: n6S9IORj016224: from=www-data, size=2287, class=0, nrcpts=1, msgid=<200907280918.n6S9IORj016224@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:24 vxxxx sendmail[16224]: n6S9IORj016224: to=twtreece@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32287, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Jul 28 13:18:24 vxxxx sendmail[16225]: n6S9IOnO016225: from=www-data, size=2289, class=0, nrcpts=1, msgid=<200907280918.n6S9IOnO016225@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:24 vxxxx sendmail[16225]: n6S9IOnO016225: to=janetsmoak@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32289, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Jul 28 13:18:24 vxxxx sendmail[16226]: n6S9IOWw016226: from=www-data, size=2291, class=0, nrcpts=1, msgid=<200907280918.n6S9IOWw016226@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:24 vxxxx sendmail[16226]: n6S9IOWw016226: to=cindypickard@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32291, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Jul 28 13:18:24 vxxxx sendmail[16227]: n6S9IOVL016227: from=www-data, size=2290, class=0, nrcpts=1, msgid=<200907280918.n6S9IOVL016227@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:24 vxxxx sendmail[16227]: n6S9IOVL016227: to=tammy-hogue@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32290, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1] Jul 28 13:18:25 vxxxx sendmail[15655]: n6S8WNbk007703: to=<honais@lanl.gov>, ctladdr=<www-data@vxxxx.vps.masterhost.ru> (33/33), delay=00:46:02, xdelay=00:00:04, mailer=esmtp, pri=123600, relay=proofpoint2.lanl.gov. [204.121.3.26], dsn=5.1.1, stat=User unknown Jul 28 13:18:25 vxxxx sendmail[15655]: n6S8WNbk007703: n6S9HVlE015655: DSN: User unknown Jul 28 13:18:25 vxxxx sendmail[15655]: n6S9HVlE015655: to=<www-data@vxxxx.vps.masterhost.ru>, delay=00:00:00, xdelay=00:00:00, mailer=local, pri=30000, dsn=2.0.0, stat=Sent Jul 28 13:18:25 vxxxx sendmail[15655]: n6S9HVlE015655: done; delay=00:00:00, ntries=1 Jul 28 13:18:25 vxxxx sendmail[15655]: n6S8WNbk007703: done; delay=00:46:02, ntries=1 Jul 28 13:18:37 vxxxx sendmail[16279]: NOQUEUE: connect from root@localhost Jul 28 13:18:40 vxxxx sendmail[16309]: NOQUEUE: connect from root@localhost Jul 28 13:18:42 vxxxx sendmail[16329]: NOQUEUE: connect from root@localhost Jul 28 13:18:44 vxxxx sendmail[16343]: NOQUEUE: connect from root@localhost Jul 28 13:18:54 vxxxx sendmail[17794]: n6S9IsLq017794: from=www-data, size=2291, class=0, nrcpts=1, msgid=<200907280918.n6S9IsLq017794@vxxxx.vps.masterhost.ru>, relay=www-data@localhost Jul 28 13:18:54 vxxxx sendmail[17794]: n6S9IsLq017794: to=christyraley@msn.com, ctladdr=www-data (33/33), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=32291, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Меня смущает строчка NOQUEUE

Re: Через мой сервер спамят. Sendmail.

# iptables -I INPUT 1 -p tcp --dport 25 -j REJECT

И читать гуголь...

vexor ()

Re: Через мой сервер спамят. Sendmail.

Снеси этот п*дорский сендмаил и поставь postfix.

power ()

Re: Через мой сервер спамят. Sendmail.

>from=www-data

скрепты свои проверяй :(

hizel ★★★★★ ()
Ответ на: Re: Через мой сервер спамят. Sendmail. от power

Re: Через мой сервер спамят. Sendmail.

И с postfix будет та же хрень уверен. Если я саму логику защиты не просеку. Поэтому можно и на sendmail натаскаться)

johny_c ()
Ответ на: Re: Через мой сервер спамят. Sendmail. от MiracleMan

Re: Через мой сервер спамят. Sendmail.

Чтобы понять откуда идет спам, напиши в правила Iptables:

$IPTABLES -A INPUT -p tcp --dport 25 -j LOG --log-prefix "MAIL INPUT:" -i eth0

$IPTABLES -A FORWARD -p tcp --dport 25 -j LOG --log-prefix "MAIL FORWARD:" -i eth0

$IPTABLES -A INPUT -p tcp --dport 25 -j DROP -i eth0

$IPTABLES -A FORWARD -p tcp --dport 25 -j DROP -i eth0

После этого можно будет отгрепать логи по запросу mail input либо forward, а потом вычислить машину, с которой идет спам. У меня в организации подобное было пару месяцев назад - таким образом вылавливал и зачистку проводил.

dgeliko ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.