我有一台运行 sendmail 的 Linux 服务器 (2.6.22)。有人成功利用了我的服务器发送垃圾邮件。
真让人气愤。
我可以从 /var/log/secure 中看到,服务器的各种帐户不断被暴力破解密码,所以我猜想有人在某个时候得到了密钥对。我把能找到的每个帐户的密码都改成了难以捉摸的肮脏密码。
我已检查以确保 sendmail 不只是在中继:相反,我看到 /var/spool/clientmqueue 中充斥着大量垃圾邮件。有人实际上在说服我的服务器代表他们发送邮件。
所以,主要问题是:我需要做什么才能阻止这种情况?
答案1
如今,暴力破解基本上是互联网上任何开放服务的标准操作程序。我建议安装 fail2ban 或类似程序,并对其进行配置,以监控错误密码尝试的日志(至少针对 SSH 和邮件服务器)和黑名单 IP(通过 iptables),这些 IP 在短时间内进行了多次错误尝试。您会惊讶于有多少次尝试以及有多少 IP 被列入黑名单。您不需要将它们列入黑名单太久,它们就会转移到另一台主机,然后其他人就会出现。
答案2
我 20 年前就不再使用 sendmail 了,所以我无法确切地说出 sendmail 是如何工作的,但我的 postfix 会在日志中告诉我是谁(用户 ID)将邮件添加到了队列中。如果您的垃圾邮件发送者仍然设法进行身份验证,您应该会找到以这种方式使用的帐户。
您还可以查看Received垃圾邮件中的标头(仅查看您自己的服务器写入的“已接收”行;其余的可能是假的),以了解有关垃圾邮件发送者的更多信息以及他如何设法欺骗您的 sendmail 接受他的垃圾邮件。您的服务器添加的其他标头也可能有帮助。
如果您自己无法理解日志或标题行,请将它们添加到您的问题中以便我们提供帮助。