Postfix 通过我的服务器发送垃圾邮件

tag-icon tag-icon postfix
Postfix 通过我的服务器发送垃圾邮件

我浏览日志时发现,一些不需要的邮件通过我的服务器发送。如何防止这种情况发生?

日志

Jun 24 18:29:31 mail postfix/pickup[13853]: 6BD3D17012CB: uid=65534 from= [email protected]>

Jun 24 18:29:31 mail postfix/cleanup[13901]: 6BD3D17012CB: message-id=<[email protected]>

Jun 24 18:29:31 mail postfix/qmgr[13854]: 6BD3D17012CB: from=<[email protected]>, size=1145, nrcpt=1 (queue active)

Jun 24 18:29:33 mail postfix/smtp[13906]: 6BD3D17012CB: to=<[email protected]>, relay=mx.sidi.istruzione.it[89.97.132.171]:25, delay=2.5, delays=0.14/0/0.14/2.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as CB89D50096)

Jun 24 18:29:33 mail postfix/qmgr[13854]: 6BD3D17012CB: removed

主配置文件

smtpd_sender_restrictions =     hash:/etc/postfix/access,
                                permit_mynetworks,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain,
                                permit
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access

smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access,
                               check_sender_access hash:/etc/postfix/access,
                               permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_non_fqdn_hostname,
                               reject_invalid_hostname,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_destination,
                               reject_unknown_recipient_domain,
#                              check_policy_service inet:127.0.0.1:10023,
                               reject_rbl_client list.dsbl.org,
                                reject_rbl_client sbl.spamhaus.org,
                                reject_rbl_client cbl.abuseat.org,
                                reject_rbl_client dul.dnsbl.sorbs.net,

答案1

您的邮件服务器已被破解。注意到日志中的“pickup”服务了吗?这意味着该消息已在本地注入(由 uid 65534 注入),而不是通过 tcp/25 SMTPD 端口接收,因此任何 SMTPD 限制都不会产生任何效果。

您可以禁用捡起服务,但这会禁用所有本地客户端发送邮件,而攻击者可以通过连接到 localhost:25 来绕过它。然后,您还必须禁用从 localhost 中继所有邮件(通过从中删除与该主机匹配的所有条目)我的网络在 main.cf 中 - 以“127.”或“[::1]”开头的任何内容(表示本地主机),以及与您的主机匹配的任何其他 IP/主机名)

(真正的答案是修复攻击者获取系统访问权限的错误,并删除所有后门)

相关内容