使用 postfix/dovecot 和 apache 用户进行身份验证

使用 postfix/dovecot 和 apache 用户进行身份验证

我们拥有最新的 Centos 5.8,其中安装了 Apache、Postfix 和 Dovecot,并且运行正常。

有人或某物不断以 apache 用户身份登录 postfix/dovecot 并向 @comcast.net 电子邮件地址发送垃圾邮件。日志条目如下所示:

Mar 13 13:33:34 postfix/smtpd[26456]: D05AE1A900BC: client=unknown[84.51.170.132], sasl_method=LOGIN, sasl_username=apache
Mar 13 13:33:35 postfix/cleanup[26460]: D05AE1A900BC: message-id=<[email protected]>
Mar 13 13:33:35 postfix/qmgr[2361]: D05AE1A900BC: from=<[email protected]>, size=3576, nrcpt=1 (queue active)
Mar 13 13:33:36 postfix/smtp[27125]: D05AE1A900BC: to=<[email protected]>, relay=mta5.am0.yahoodns.net[209.191.88.254]:25, delay=1.9, delays=0.38/0/0.64/0.85, dsn=2.0.0, status=sent (250 ok dirdel)
Mar 13 13:33:36 postfix/qmgr[2361]: D05AE1A900BC: removed

--snip--

Mar 13 16:18:13 postfix/smtpd[13861]: E50DE1A90037: client=unknown[72.54.180.241], sasl_method=LOGIN, sasl_username=apache
Mar 13 16:18:19 postfix/cleanup[13867]: E50DE1A90037: message-id=<[email protected]>
Mar 13 16:18:19 postfix/qmgr[2361]: E50DE1A90037: from=<[email protected]>, size=3779, nrcpt=25 (queue active)
Mar 13 16:18:20 postfix/smtp[13868]: E50DE1A90037: to=<[email protected]>, relay=none, delay=6.4, delays=6.4/0/0.02/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=comcast.con type=A: Host not found)
Mar 13 16:18:22 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9, delays=6.4/0.01/1.1/1.5, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 Not our Customer (in reply to RCPT TO command))
Mar 13 16:18:23 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9.9, delays=6.4/0.01/1.1/2.3, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 <[email protected]> Account not available (in reply to RCPT TO command))
--snip--
Mar 13 16:18:55 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=42, delays=6.4/0.01/1.1/35, dsn=2.0.0, status=sent (250 2.0.0 l4JL1i00l248zeQ0N4JMLQ mail accepted for delivery)
Mar 13 16:18:55 postfix/bounce[13870]: E50DE1A90037: sender non-delivery notification: A96601A900C9
Mar 13 16:18:55 postfix/qmgr[2361]: E50DE1A90037: removed

这种情况最近已经发生过两次了,而表明这是同一个人/事的明显迹象是,他们将第一封电子邮件发送给[电子邮件保护]。他们非常小心,只在几分钟内批量发送少量电子邮件,大概是为了避免被发现并确保我们的服务器不会被阻止作为垃圾邮件中继。

如何才能以 Apache 进行身份验证以及如何停止这种情况?

在此先感谢您的帮助

答案1

如果没有更多细节,我们将很难追踪。例如,您没有提到邮件服务器是否与 Web 服务器在同一台机器上运行。您也没有提到如何使用 Postfix 对客户端进行身份验证(我们可以在那里看到 SASL 行,但这将用于哪种身份验证机制?PAM?单独的数据库?纯文件?)。

我认为您的机器在某种程度上受到了威胁。从该日志来看,有人可能修改了影子文件以允许使用apache用户名登录(除非您修改它,否则默认情况下会禁用此功能)。他们现在从不同的 IP 地址登录并使用 postfix 发送垃圾邮件。查看/etc/shadow该行并查看第二列中apache是否有以下内容:!!

apache:!!:

要么是您的 Postfix 配置正在作为开放中继运行,并且登录apache实际上失败了,但 Postfix 无论如何都会接受邮件。默认的 Postfix 配置是不是作为中继工作,因此您必须在某个时候启用此功能。

您需要追踪可能发生的情况并考虑清除机器并从已知的良好备份中恢复(您确实有备份,不是吗?)。

您那里的 IP 地址看起来像是来自受感染的机器,因为一个是宽带提供商,另一个是云主机(因此可能是受感染的网络服务器)。

相关内容