首先我要声明,我不是邮件专家。如果您需要更多信息来帮助我,请告诉我。
本周邮件服务器出现了各种奇怪的问题。上周它一直在重复发送电子邮件,甚至不允许我使用 thunderbird 连接到 imap,直到重新启动 postfix。我一直没能确定这是为什么。无论如何,几天前的一个晚上,我在邮件日志中四处搜索,试图找到导致这些问题的原因。由于没有真正的线索,我只是开始寻找异常。这样做时,我偶然发现了数千封通过邮件系统路由的电子邮件。据我所知,我的 main.cf 文件是正确的,postfix 不应该充当开放中继。我不明白邮件是如何通过系统发送的。有人知道这是怎么回事吗?
垃圾邮件似乎来自世界各地的数百个不同域名。其中大多数似乎指向运行 apache、mail 和 ssh 的 CentOS 服务器。它们上唯一设置的是 CentOS 附带的 apache 测试页面。通过我们的系统发送的邮件大部分被发送到 cornerstone-valuation.com(带有提交电子邮件表单的小网站,没有验证码),尽管有些是从 [CUSTOMER EMAIL] 发送到一次性电子邮件服务(10minutemail.com),其余的来自 [REDACTED]@cfm-valuation.com。这让我认为这些机器实际上是僵尸网络的一部分,我们的机器也是如此。
从那以后,事情变得更加疯狂。通过我们的系统向 [REDACTED]@cornerstone-valuation.com 和 drdrb.net 发送垃圾邮件的 IP 也向使用我们系统的许多客户发送垃圾邮件。也许所有客户都是这样,我不确定。这意味着这样做的人可以访问位于 /var/vmail/vmail1(除非是 root 用户,否则无法查看)的所有客户电子邮件帐户,并将此信息分发到整个互联网上。这里有人知道垃圾邮件发送者是如何获得这些信息的吗?
以下是日志文件的示例和可能指向 CentOS 服务器的大量域名列表。只需点击下面的链接即可。
http://pastebin.com/raw.php?i=cJzjTZ46
编辑:另一个问题是很多被踢回服务器的消息中,有一半不是来自服务器本身。它们来自在 EHLO 语句中使用 [OUR MAIL DOMAIN] 的外部服务器。
答案1
天哪... 无意冒犯,但唯一合适的解决方案是找到一个 IT 服务提供商来帮助您,因为正如您所说,您不是邮件专家,并且您的服务器确实似乎受到了损害。
首先,您应该禁用 SSH 的 root 密码(root 不应该被允许通过 SSH 使用密码登录)。
我不知道您服务器的具体设置和更新状态,但也许您过去存在安全漏洞(可能是 Heartbleed?)导致了这种情况。
说真的,除非您真的知道自己在做什么,否则不要在这里询问并尝试自己修复。找人帮你,因为这可能会给你的公司造成很大的经济和声誉损失。
不过,首先配置好你的 main.cf 就好了。
附言:抱歉,我将此作为答案发布,我还没有 50 点声誉来发表评论。