调试或禁用 sendmail auth=SERVER

调试或禁用 sendmail auth=SERVER

似乎有人使用 SMTP 服务器身份验证通过我的邮件服务器发送垃圾邮件。

  • 我收到了未送达的邮件退回通知
  • 退回邮件包含来自我的邮件服务器的正确“已接收:”标头
  • 我的邮件服务器不是开放中继
  • 我更改了服务器上所有账户的密码

原始邮件的样本标题:

Received: from mydomain.net ([190.236.249.21])
    (authenticated bits=0)
    by mymailserver.net with ESMTP id tA9FuD9m015519
    for <[email protected]>; Mon, 9 Nov 2015 16:56:34 +0100

该 IP 不是我的,实际上它来自秘鲁,并且印度、马来西亚等地的 IP 也提交了相同类型的邮件。

mail.log中相应的条目:

Nov  9 16:56:17 mymailserver sm-mta[15519]: AUTH=server, relay=[190.236.249.21], [email protected], mech=PLAIN, bits=0
Nov  9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: from=<[email protected]>, size=428, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov  9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Nov  9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: from=<[email protected]>, size=451, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov  9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;

我被难住了——我不确定他们是如何得到 a)AUTH=server和 b) 的[email protected]。但我不确定如何调试它,而且我在 Google 上找不到任何关于禁用这种身份验证的信息,所有内容都只涉及对客户端进行身份验证(这是我所做的)以及当 sendmail 是客户端时向其他服务器进行识别(我不这样做)。

答案1

这可能不具有普遍性,但稍后拆除该服务器时,我们发现了一个通过 WordPress 漏洞被丢弃的 PHP shell。据我们所知,它只是用于将邮件中继用户添加到 sasl 数据库中。因此,如果您也遇到类似问题,请务必检查 rootkit 和 dropper,如果您有丝毫怀疑有人可以访问您的服务器,摧毁它并重建它

相关内容