昨天我在邮件日志中注意到以下消息,只有大约 10,000 次点击:
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<tori>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<last>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
我像这样将 67.228.94.206 添加到我的防火墙中
iptables -I RH-Firewall-1-INPUT -s 67.228.94.206 -j DROP
服务 ip 表保存
攻击立即停止,但在此过程中它成功获取了用户帐户并开始进行欺骗。我删除了该用户帐户,但它似乎仍然被欺骗,因为我收到了来自各种邮件服务器的退回电子邮件:
Jun 22 15:08:08 exi-svr-2 postfix/smtp[27219]: connect to vahoo.com[216.151.212.175]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27158]: connect to mail.gamdak.co.za[196.215.56.13]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: A72A61068460: to=<[email protected]>, relay=none, delay=33839, delays=33839/0.13/0.51/0, dsn=4.4.1, status=deferred (connect to keywordranking.com[208.87.35.105]: Connection refused)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: connect to keywordranking.com[208.87.35.105]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27179]: 40A9C1068515: to=<[email protected]>, relay=none, delay=32038, delays=32038/0.22/0.19/0, dsn=4.4.1, status=deferred (connect to graintech-makeway.com[50.116.103.74]: Connection refused)
我不完全确定如何解决这个问题以及我需要采取哪些预防措施来阻止这种情况的发生。我在其他地方读到,这种事情是不可避免的,并且可以通过不在日志中捕获这些消息来忽略。我对这个解决方案不太满意。
我正在运行带有 Postfix、Dovecot、AMaViS、SpamAssassin 和 ClamAV 的 CentOS 5.6。
答案1
如果邮件是从您的用户发送的,则外部服务器可能会向您发送错误。一旦他们看到用户不可用,他们就会停止。检查您的 postfix 队列以查看是否没有等待发送的邮件(通过mailq命令)