我的电子邮件服务器的 IP 已列在Spamhaus CBL,其中指出服务器“尝试在不使用 HELO/EHLO 命令的情况下发送电子邮件“,”这通常表明垃圾邮件感染已损坏“。
根据 CBL 的建议,我首先使用了他们的 HELO 检查,结果显示“IP 地址 XXXX 的 HELO 为“example.com”(有效语法)“,这似乎表明问题不是我的电子邮件服务器配置错误。
不幸的是,CBL 上列出的大多数工具仅适用于 Windows,而我的服务器运行的是 Debian。
我运行maldet
了大多数敏感目录,但没有找到任何结果(但它仍在运行)。我运行了,unhide
但什么也没找到。我运行了lynis
(ex- rkhunter
),虽然它提供了有关服务器配置的明智安全建议,但我在报告中没有看到任何相关信息。我运行了ispp_scan
,虽然它声称发现了一个suspect.globals.eval
受恶意软件感染的文件,但在删除此文件后,IP 再次被列出。
我运行netstat -napec
并对其进行了 grep':25'
以识别 SMTP 连接,它显示了零星的TIME_WAIT
条目,但没有给出如何识别其所属进程的线索,甚至没有给出它们是否合法的线索。我尝试了ss -nap
对iptraf
传出 SMTP 连接进行过滤,但它们并没有更详细。
我如何识别它们的父进程?
最后我运行了一个lsof -i tcp:25 -P -R
循环,但它只显示看似合法的exim4
连接。
是否仍是服务器配置错误? 这是我的update-exim4.conf.conf
:
dc_eximconfig_configtype='internet'
dc_other_hostnames='[a few domain names]'
dc_local_interfaces='127.0.0.1 ; X.X.X.X ; ::1'
dc_readhost='foobar.example.com'
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost='foobar.example.com::587'
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname='true'
dc_mailname_in_oh='true'
dc_localdelivery='maildir_home'
由于 CBL 报告的第一个事件发生在 UTC 时间 11 日星期一 01:15:00,我还在整个系统中搜索了 5 天前的文件,但没有发现任何可疑内容。我在网络服务器下也没有看到任何最近上传的可疑文件。
我尝试取消列出我的 IP,希望得到误报,但几个小时后它又被列出,而且由于 CBL 只列出到他们服务器的传入连接,我毫不怀疑我必须修复一些东西。但修复什么呢?我至少在朝着正确的方向看吗?
注意:服务器托管的最敏感数据(确实)是一些专业电子邮件,并且不会共享。
更新 :
使用tshark
我能找到可疑的 MX 查询。根据 exim4 日志检查这些查询,我发现它们确实与发往过时电子邮件地址的垃圾邮件的冻结拒绝电子邮件相对应。
我对此表示怀疑,但可能是因为这样的拒绝邮件,CBL 就列出了我们的 IP 吗?