似乎有人使用 SMTP 服务器身份验证通过我的邮件服务器发送垃圾邮件。
- 我收到了未送达的邮件退回通知
- 退回邮件包含来自我的邮件服务器的正确“已接收:”标头
- 我的邮件服务器不是开放中继
- 我更改了服务器上所有账户的密码
原始邮件的样本标题:
Received: from mydomain.net ([190.236.249.21])
(authenticated bits=0)
by mymailserver.net with ESMTP id tA9FuD9m015519
for <[email protected]>; Mon, 9 Nov 2015 16:56:34 +0100
该 IP 不是我的,实际上它来自秘鲁,并且印度、马来西亚等地的 IP 也提交了相同类型的邮件。
mail.log中相应的条目:
Nov 9 16:56:17 mymailserver sm-mta[15519]: AUTH=server, relay=[190.236.249.21], [email protected], mech=PLAIN, bits=0
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: from=<[email protected]>, size=428, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: from=<[email protected]>, size=451, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
我被难住了——我不确定他们是如何得到 a)AUTH=server和 b) 的[email protected]。但我不确定如何调试它,而且我在 Google 上找不到任何关于禁用这种身份验证的信息,所有内容都只涉及对客户端进行身份验证(这是我所做的)以及当 sendmail 是客户端时向其他服务器进行识别(我不这样做)。
答案1
这可能不具有普遍性,但稍后拆除该服务器时,我们发现了一个通过 WordPress 漏洞被丢弃的 PHP shell。据我们所知,它只是用于将邮件中继用户添加到 sasl 数据库中。因此,如果您也遇到类似问题,请务必检查 rootkit 和 dropper,如果您有丝毫怀疑有人可以访问您的服务器,摧毁它并重建它。