我需要帮助诊断这个:http://www.projecthoneypot.org/ip_66.18.204.186它说我的服务器已经发送垃圾邮件 4 个月了!
我努力成为一名负责任的邮件服务器管理员,我讨厌垃圾邮件,我会尽我所能防止垃圾邮件的发生。我需要弄清楚发生了什么以及垃圾邮件来自哪里,这样我才能阻止这种情况。
我查看了日志和 tcpdump 流量,没有发现任何异常。发出的都是用户发送的合法电子邮件。没有垃圾邮件的迹象,也没有流量增加的迹象。
网络被运行 shorewall 的防火墙/网关服务器锁定。66.18.204.186 IP 地址是我拥有的几个静态 IP 地址之一,但它是我用于邮件的唯一 IP 地址,并且仅用于此目的。它是 1:1 NAT,转换为 192.168.50.9 的内部服务器(bismark - 我的邮件服务器)防火墙配置为仅允许从此服务器在端口 25 上进出流量,并且仅映射到该出站 IP。这有效,我已经测试过了,网络上的任何其他计算机都无法通过端口 25 进出。
这让我得出这样的结论:任何来自该 IP 地址的垃圾邮件肯定都来自我的邮件服务器,但我不知道是怎么回事。我唯一的猜测是用户帐户密码被盗用(它确实允许外部 SMTP 身份验证,由 fail2ban 防范暴力破解)
我目前看不到任何垃圾邮件发出。我该如何监控它?我怎么知道它是否会再次出现?更重要的是,我如何确保它会绝不重新开始?救命!我不想成为坏人之一!
答案1
您的邮件服务器以什么方式运行 MTA?哪个操作系统?
蜜罐页面上有您需要的一切信息,以便您了解发生了什么。您有一个示例电子邮件片段:
Example Messages Sent From 66.18.204.186
From: "Poste.it"<[email protected]>
Subject: Comunicazione importante
From: "Poste Italiane"<[email protected]>
Subject: Comunicazione importante
只需检查您的邮件服务器日志即可。我认为您的“合法用户”感染了某种病毒。