Postfix:如何解读日志中的垃圾邮件攻击

Postfix:如何解读日志中的垃圾邮件攻击

我们的 Postfix 邮件服务器遭到了垃圾邮件发送者的攻击,该发送者成功发送了数千条邮件。只有端口 25 和 123 是开放的,而且服务器不是开放中继,所以我不明白垃圾邮件发送者如何能够发送垃圾邮件。我知道反向散射攻击,但从日志中我所知道的还不够多,无法判断这是否是我遇到的情况。

以下是垃圾邮件发送者在日志中首次出现的几次内容tbg4-finance.org

Sep 17 21:20:39 xxxx postfix/smtpd[16475]: connect from cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:40 xxxx postfix/smtpd[16462]: connect from 
cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:40 xxxx postfix/smtpd[16475]: 4FBFE15E604A: client=cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:40 xxxx postfix/smtpd[16462]: D677715E604F: client=cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:40 xxxx postfix/cleanup[16477]: 4FBFE15E604A: message-id=<>
Sep 17 21:20:40 xxxx opendkim[2589]: 4FBFE15E604A: cpe-192-181-15-33.kya.res.rr.com [192.181.15.33] not internal
Sep 17 21:20:40 xxxx opendkim[2589]: 4FBFE15E604A: not authenticated
Sep 17 21:20:40 xxxx opendkim[2589]: 4FBFE15E604A: no signature data
Sep 17 21:20:41 xxxx postfix/qmgr[10832]: 4FBFE15E604A: from=<[email protected]>, size=4380, nrcpt=1 (queue active)
Sep 17 21:20:41 xxxx postfix/smtpd[16475]: disconnect from cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:42 xxxx postfix/cleanup[16474]: D677715E604F: message-id=<>
Sep 17 21:20:42 xxxx opendkim[2589]: D677715E604F: cpe-192-181-15-33.kya.res.rr.com [192.181.15.33] not internal
Sep 17 21:20:42 xxxx opendkim[2589]: D677715E604F: not authenticated
Sep 17 21:20:42 xxxx opendkim[2589]: D677715E604F: no signature data
Sep 17 21:20:42 xxxx postfix/qmgr[10832]: D677715E604F: from=<[email protected]>, size=4354, nrcpt=1 (queue active)
Sep 17 21:20:43 xxxx postfix/smtpd[16462]: disconnect from cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:43 xxxx postfix/smtp[16492]: connect to gmail-smtp-in.l.google.com[2607:f8b0:4001:c01::1b]:25: Network is unreachable
Sep 17 21:20:43 xxxx postfix/smtpd[16475]: connect from cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
Sep 17 21:20:43 xxxx postfix/smtp[16492]: D677715E604F: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[74.125.201.26]:25, delay=3.3, delays=2/0.01/1.2/0.12, dsn=5.5.2, status=bounced (host gmail-smtp-in.l.google.com[74.125.201$
Sep 17 21:20:44 xxxx postfix/cleanup[16477]: 0B4C215E6063: message-id=<[email protected]>
Sep 17 21:20:44 xxxx postfix/bounce[16493]: D677715E604F: sender non-delivery notification: 0B4C215E6063
Sep 17 21:20:44 xxxx postfix/qmgr[10832]: 0B4C215E6063: from=<>, size=6346, nrcpt=1 (queue active)
Sep 17 21:20:44 xxxx postfix/qmgr[10832]: D677715E604F: removed

以下是五天后发送垃圾邮件的几次排队尝试:

Sep 22 13:34:52 xxxx postfix/smtp[13421]: 3EAC9174406F: to=<[email protected]>, relay=mx.tb.ukmail.iss.as9143.net[212.54.56.11]:25, delay=332231, delays=332227/0.9/3.3/0.14, dsn=4.1.0, status=deferred (host mx.tb.ukmail.iss.as9143.net[212.54.56.11] said: 421 4.1.0 logid=SMTPRC 421 MXIN400 Cannot validate your Mailfrom Domain tbg4-finance.org in DNS, adjust or retry later ;id=3lnvgKYxeSfOb3lnwgtDwQ;sid=3lnvgKYxeSfOb;mta=mx5.tb;d=20180922;t=193452[CET];ipsrc=24.138.106.49; (in reply to MAIL FROM command))

Sep 22 13:34:54 xxxx postfix/smtp[13399]: 5F64B15E60BA: to=<[email protected]>, relay=mx3.xs4all.nl[194.109.24.134]:25, delay=403631, delays=403624/0.51/6.3/0.15, dsn=4.1.8, status=deferred (host mx3.xs4all.nl[194.109.24.134] said: 450 4.1.8 <[email protected]>... You cannot send mail from tbg4-finance.org since that domain cannot receive mail. See: http://postmaster.xs4all.nl/mx?d=tbg4-finance.org&c=NXDOMAIN (in reply to RCPT TO command))

我对 Postfix 专家的问题是:

日志揭示了垃圾邮件发送者的哪些攻击方法?

答案1

当同时发生多件事时,您需要区分各个消息并一次调查一条消息。这里,唯一一条包含完整日志的消息是D677715E604F。我们可以排除opendkim行,因为没有新信息。实际上,所有相关内容都在这里:

smtpd[16462]: D677715E604F: client=cpe-192-181-15-33.kya.res.rr.com[192.181.15.33]
qmgr[10832]: D677715E604F: from=<[email protected]>, size=4354, nrcpt=1 (queue active)
smtp[16492]: D677715E604F: to=<[email protected]>, 
    relay=gmail-smtp-in.l.google.com[74.125.201.26]:25, 
    delay=3.3, delays=2/0.01/1.2/0.12, dsn=5.5.2, 
    status=bounced (host gmail-smtp-in.l.google.com[74.125.201$
bounce[16493]: D677715E604F: sender non-delivery notification: 0B4C215E6063
qmgr[10832]: D677715E604F: removed
qmgr[10832]: 0B4C215E6063: from=<>, size=6346, nrcpt=1 (queue active)
  • 您收到来自 的邮件。尽管客户端应该是未知的第三方并且域不存在,但您的服务器愿意传递它。这意味着<[email protected]><[email protected]>tbg4-finance.org您的服务器是开放中继

  • status=bounced是一个连接阶段拒绝来自 Gmail。但是,您的服务器愿意发送未送达通知根据该拒绝,将其列为新消息0B4C215E6063。这意味着你的服务器是一个反向散射器, 也。

回答您的问题,垃圾邮件发送者的方法是将您的服务器用作开放中继,以 Gmail 为目标。虽然服务器本来是发送反向散射的合适目标,但事实并非如此,因为向不存在的域发送任何内容都是没有意义的。不过,您仍需要解决这两个问题。

相关内容