我认为我们的邮件服务器已被入侵。今天早上我检查时,发现有 1298 封来自雅虎的邮件被拒绝。并附有此消息Messages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
但是邮件还是被发送到了 Gmail。我是新手,有人能建议我应该从哪里开始查找吗?我们在 Ubuntu Server 10.04 上使用 Postfix 和 dovecot。我按照这里的指南操作https://help.ubuntu.com/community/MailServer
答案1
我会开始查看您的 postfix 日志。查找邮件流量是否比您过去在日志中看到的流量高。我会特别查找发往 yahoo 的邮件,以防它可能是针对他们的特定邮件。
如果您确实看到邮件流量增加,请查看日志以查看增加量。是向单个用户发送大量邮件(如失控脚本自动发送消息),还是向大量人员发送大量邮件(垃圾邮件)?一旦您识别出一些异常邮件,只需追溯它并找出它的来源。
您还可以运行qshape deferred以查看是否仍有邮件排队等待雅虎(您应该这样做,因为您收到了 4xx 响应代码)。如果有,您可以在 /var/spool/postfix/deferred 中查看消息(用于postcat查看消息)。
这也有可能什么事都没有。如果您的邮件服务器一开始就不发送太多邮件,那么即使是小幅但合法的增长也可能超出雅虎的垃圾邮件阈值。
如果导致您被阻止的问题得到解决,您提供的阻止消息通常会在几个小时内消失。
答案2
首先 - 检查你的系统是否有 rootkit 的迹象记录在这里,这里或者这里.我个人喜欢chkroot工具作为快速检查。
1298 失败消息可能很多,具体取决于您的正常数量。您应该检查退回消息,看看它们是否看起来像您环境中的正常消息。如果不熟悉,则表明您已受到攻击。
清理!如果这意味着重建、追踪坏进程、从备份中恢复等。您需要补救导致阻塞的情况。
我也推荐按照错误信息提示的操作. 从那里,浏览至:
http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html
雅虎表示:
如果您在 SMTP 日志中看到此错误消息(其中 xxxx 是您的 IP 地址),则可能是由于以下原因之一:我们发现您的 IP 地址有异常流量。来自您邮件服务器的电子邮件引起了 Yahoo! Mail 用户的投诉。请注意,这通常是暂时的情况,我们建议您在遇到此错误消息后大约四小时重新尝试向我们的服务器发送电子邮件。如果您在 48 小时内持续看到此错误,请填写此表格为我们提供足够的信息,以便我们能够积极处理该问题。
访问警告中提到的形式并努力解除封锁。
不过,请为您的用户设定期望。这可能需要一些时间。
答案3
您的计算机可能已经受到攻击。不过,在做出这一假设之前,请先回答以下几个问题:
1) 您是否从该服务器发送大量邮件?如果是,Yahoo 收件人可能已将您标记为垃圾邮件,因此他们会拒绝您的邮件。
2) 您是否配置为开放中继?也就是说,您是否可以从网络外的机器将 SMTP 邮件中继到您自己的域以外的域?(要测试,使用这些说明向 Gmail 账户或类似账户发送邮件)。如果您使用的是开放中继,则垃圾邮件发送者可能会通过您的服务器退回邮件,并且您会收到来自 Yahoo 的垃圾邮件投诉。
答案4
我在使用 Trend Micro 时也遇到过类似的问题。也许您的公共地址在黑名单中?如果您的用户通过此 IP 使用互联网,那么其中有些人可能会使用 torrent 或其他 p2p 软件。