我从 OVH 租了一个 VPS。它运行的是 Ubuntu 16.04。
我的提供商通过其自动报告系统向我发送电子邮件,声称我的服务器正在发送垃圾邮件。此报告中的示例片段如下:
Our anti-spam protection layer has detected that your IP [my IP] is sending spam.
Destination IP: 152.163.0.100 - Message-ID: [email protected] - Spam score: 300
他们已经在网络层面封锁了 25 端口的访问。我可以选择解除封锁,但我已经这样做过一次了,这是第二次报告。
我的问题是我找不到这些所谓电子邮件的任何踪迹。
我尝试过的事情:
- 使用在线工具和我自己的手动测试来验证服务器不是开放中继:它不是
- 已检查
/var/log/mail.log,/var/log/procmail.log没有与此相关的内容 - 检查各种 Apache 日志,寻找异常网络流量的证据
- 在 PHP5 和 PHP7 中添加了邮件日志记录,进行了测试,等待了几天 - 仅记录了我的测试
postqueue -p仅显示我未发送的测试- 在服务器上搜索 QMail:我甚至没有安装。我使用 Postfix 和 Procmail。
- 检查
last是否有任何可疑活动 - 升级我能升级的一切,作为“万福玛利亚”
除了虚假报道之外,我所能想到的是不是邮件基础设施之外的其他一些流程也受到了损害?
我还能做什么?
答案1
Ipor 的评论让我走上了正确的轨道——我使用了一个长期运行的实例来tcpdump跟踪活动,获得了一个非常具体的时间戳,然后我设法将其链接到一个条目,/var/log/auth.log该条目告诉我其中一个 SSH 帐户已被泄露。
答案2
尝试 mailq,这是我们在电子邮件服务器上用来查看正在发送的电子邮件的工具。然后使用 postcat 显示电子邮件以缩小垃圾邮件发件人的范围。