今天我在 5 分钟内收到了大约 30 条消息,告诉我我发送的一些邮件无法送达,大部分是发送到 *.ru 电子邮件地址的邮件,而我没有向这些地址发送任何邮件。我有自己的网络服务器 (postfix/dovecot),使用本指南设置 (http://workaround.org/ispmail/lenny) 但针对 Ubuntu 做了一些调整。
我测试了我是否是开放中继,但显然不是。现在出现上述电子邮件可能有两个原因:要么是我发送了垃圾邮件,要么是有人想让我这么认为,对吗?
我该如何检查?
我选择了一个特定的地址,据说我会向其发送垃圾邮件。然后我在 mail.log 中搜索此条目。我发现两个块记录了服务器上的某个人连接到我的服务器并向两个不同的用户发送了一些消息。我找不到任何条目报告我的服务器上的任何人向该服务器发送了电子邮件。这是否意味着这只是一些用来吓唬我的邮件,还是它一开始就是我发送的?
下面是日志中的一个这样的块(我替换了一些机密内容):
Jun 26 23:23:28 mycustomernumber postfix/smtpd[29970]: connect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: 044991528995: client=mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/cleanup[29974]: 044991528995: message-id=<[email protected]>
Jun 26 23:23:29 mycustomernumber postfix/qmgr[3369]: 044991528995: from=<>, size=2198, nrcpt=1 (queue active)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) ESMTP::10024 /var/lib/amavis/tmp/amavis-20110626T223137-28598: <> -> <[email protected]> SIZE=2198 Received: from mycustomernumber.stratoserver.net ([127.0.0.1]) by localhost (rehmsen.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[email protected]>; Sun, 26 Jun 2011 23:23:29 +0200 (CEST)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) Checking: YakjkrdFq6A8 [195.144.251.97] <> -> <[email protected]>
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: disconnect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) lookup_sql_field(id) (WARN: no such field in the SQL table), "[email protected]" result=undef
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: connect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: 0A1FA1528A21: client=localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/cleanup[29974]: 0A1FA1528A21: message-id=<[email protected]>
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: from=<>, size=2841, nrcpt=1 (queue active)
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: disconnect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) FWD via SMTP: <> -> <[email protected]>,BODY=7BIT 250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) Passed CLEAN, [195.144.251.97] [195.144.251.97] <> -> <[email protected]>, Message-ID: <[email protected]>, mail_id: YakjkrdFq6A8, Hits: 2.249, size: 2197, queued_as: 0A1FA1528A21, 2882 ms
Jun 26 23:23:32 mycustomernumber postfix/smtp[29975]: 044991528995: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.3, delays=0.39/0.01/0.01/2.9, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21)
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 044991528995: removed
Jun 26 23:23:33 mycustomernumber postfix/smtp[29980]: 0A1FA1528A21: to=<[email protected]>, orig_to=<[email protected]>, relay=mx3.hotmail.com[65.54.188.110]:25, delay=1.2, delays=0.15/0.02/0.51/0.55, dsn=2.0.0, status=sent (250 <[email protected]> Queued mail for delivery)
Jun 26 23:23:33 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: removed
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection rate 1/60s for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection count 1 for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max cache size 1 at Jun 26 23:23:28
如果您告诉我您需要知道的内容,我可以提供更多信息。感谢您的帮助!
答案1
听起来像是反向散射(并且该日志看起来很无辜,肯定没有中继),这意味着消息不会由您的服务器发送,但您域中的地址将被用作欺骗地址From:。
任何未送达报告邮件是否包含原始邮件标头?如果是,您应该能够验证邮件未通过您的系统进行中继。
不幸的是,如果反向散射持续存在,控制它就相当困难。根据我的经验,他们通常会在几天或几周后停止使用欺骗地址,但如果不阻止合法的 NDR 消息,就很难阻止这些消息。
答案2
您是否在黑名单中搜索过您的 IP?例如,您可以在此处进行搜索http://www.mxtoolbox.com/blacklists.aspx 此外,本地网络的病毒可以通过您的服务器发送 smap。此外,您可以在防火墙上阻止本地网络的目标 tcp 端口 25,然后查看日志中谁向端口 25 发送了信息