我在 ubuntu 10.04 LTS 上运行带有多个域的 postfix 安装。中继访问需要使用 STARTTLS 进行身份验证。今天早上,其中一个用户帐户登录并发送了数百封垃圾邮件,我从日志中可以看到。该帐户的实际所有者通知我收到了多封 DSN 邮件。日志没有显示任何密码暴力攻击的迹象,所以我猜只剩下 2 个选项了:
a) 用户密码被盗(我已经更改了密码,从那时起就没再发生过类似事件)b) 身份验证机制有问题。
有人对如何调查此类主题有进一步的建议吗?
以下是身份验证发生时的日志片段:
Apr 28 09:17:44 vs1909 postfix/smtpd[13325]: connect from unknown[217.76.201.194]
Apr 28 09:17:45 vs1909 postfix/smtpd[13325]: 1458F1409A: client=unknown[217.76.201.194], sasl_method=PLAIN, [email protected]
答案1
我很清楚,密码来自[电子邮件保护]已被盗,并且有人使用该帐户和密码在您的 postfix 上进行了身份验证。
您可以使用 postfix 的 anvil 进程来限制用户发送的消息数量,例如:
smtpd_client_message_rate_limit=100
使用 main.cf 中的此选项,您可以在给定时间内限制每个客户端发送 100 条消息。查看 anvil Postfix 文档以获取有关该过程的详细信息。
另一件需要考虑的事情是,但它与问题本身无关,即身份验证似乎是在没有任何加密机制(如 TLS 或 SSL)的情况下完成的。