我的 postfix 服务器和网站 (WordPress、Apache) 位于同一个服务器框中。2 天前,我们决定为我们的邮件服务器使用第三方 smtp 中继主机。所有 DKIM 和 spf 记录都已到位。它们也由第三方 smtp 提供商验证为域。
到目前为止一切顺利。我收到来自第三方提供商的消息,指出我需要从我的验证列表中删除 gmail、aol 等免费发件人。不知何故,有些人试图使用我们的 smtp 服务器发送邮件。这似乎源自网站。以下是邮件日志片段,显示了正在发生的事情:
3 月 2 日 21:55:13 linsvr postfix/pickup[29824]: 25277220008: uid=48 来自=
3 月 2 日 21:55:13 linsvr postfix/cleanup[31693]: 25277220008: message-id=<[电子邮件保护]>
3 月 2 日 21:55:13 linsvr opendkim[25596]: 25277220008: 没有匹配“[电子邮件保护]'
3 月 2 日 21:55:13 linsvr opendkim[25596]: 25277220008: 无签名数据 3 月 2 日 21:55:13 linsvr postfix/qmgr[9766]: 25277220008: from=, size=638, nrcpt=1 (队列活跃)
3 月 2 日 21:55:13 linsvr amavis[15091]: (15091-12) ESMTP :10024 /var/spool/amavisd/tmp/amavis-20190302T140517-15091-fQptiP_v: -> SIZE=638 已接收:来自 mail.mydomain.com ([127.0.0.1]),由 localhost (mail.mydomain.com [127.0.0.1])(amavisd-new,端口 10024)使用 ESMTP 进行; 2019 年 3 月 2 日星期六 21:55:13 +0300 (+03) 3 月 2 日 21:55:13 linsvr amavis[15091]: (15091-12) 检查:ZnqhsWDKWMOr [127.0.0.1] ->
3 月 2 日 21:55:13 linsvr amavis[15091]: (15091-12) p001 1 内容类型:text/html,7 位,大小:157,SHA1 摘要:69dbad8db3546a316ce6dbb17f2b13d26c929154
3 月 2 日 21:55:13 linsvr amavis[15091]: (15091-12) wbl:软白名单 (-20) 发件人 => , recip_key="."
3 月 2 日 21:55:29 linsvr amavis[15091]: (15091-12) spam-tag, -> , 否, score=-6.956 tagged_above=-999 required=6.2 tests=[AM.WBL=-20, BAYES_99=3.5, BAYES_999=0.2, DKIM_ADSP_CUSTOM_MED=0.001, FREEMAIL_FORGED_FROMDOMAIN=0.001, FREEMAIL_FROM=0.001, FSL_BULK_SIG=0.839, HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377, KAM_LINKBAIT3=1.5, MALFORMED_FREEMAIL=0.001,MIME_HTML_ONLY=0.723,NML_ADSP_CUSTOM_MED=0.9,NO_RELAYS=-0.001,RAZOR2_CF_RANGE_51_100=2.5,RAZOR2_CHECK=2.5] autolearn=no autolearn_force=no 3 月 2 日 21:55:29 linsvr postfix/smtpd[31781]: 从 localhost[127.0.0.1] 连接 3 月
2 日 21:55:29 linsvr postfix/smtpd[31781]: EAD92220007: 客户端=localhost[127.0.0.1] 3 月 2 日 21:55:29 linsvr postfix/cleanup[31693]: EAD92220007:消息 ID=<[电子邮件保护]>
3 月 2 日 21:55:29 linsvr postfix/qmgr[9766]: EAD92220007: from=, size=1708, nrcpt=1 (队列活动)
3 月 2 日 21:55:29 linsvr postfix/smtpd[31781]: 断开与 localhost[127.0.0.1] 的连接
3 月 2 日 21:55:29 linsvr amavis[15091]: (15091-12) ZnqhsWDKWMOr FWD 来自 -> , BODY=7BIT 250 2.0.0 来自 MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: 已排队为 EAD92220007
3 月 2 日 21:55:29 linsvr amavis[15091]: (15091-12) 已通过 CLEAN {RelayedInbound},[127.0.0.1] ->,消息 ID:<[电子邮件保护]>,mail_id:ZnqhsWDKWMOr,点击数:-6.956,大小:671,queued_as:EAD92220007,16754 毫秒
3 月 2 日 21:55:29 linsvr amavis[15091]:(15091-12)TIMING-SA 总计 16625 毫秒 - 解析:0.74(0.0%),extract_message_metadata:8(0.0%),get_uri_detail_list:0.49(0.0%),tests_pri_-1000:2.00(0.0%),tests_pri_-950:0.76(0.0%),tests_pri_-900:1.07(0.0%),tests_pri_-90:8(0.0%),check_bayes:6 (0.0%),b_tokenize:2.1(0.0%),b_tok_get_all:0.95(0.0%),b_comp_prob:1.13(0.0%),b_tok_touch_all:0.06(0.0%),b_finish:0.56(0.0%),tests_pri_0:11061(66.5%),check_dkim_signature:0.49(0.0%),check_spf:0.25(0.0%),tests_pri_10:4290(25.8%),check_dcc:4283(25.8%),tests_pri_20:1179(7.1%),check_razor2:1175(7.1%),tests_pri_30:58(0.3%),check_pyzor:56 (0.3%),tests_pri_500:7(0.0%),get_report:0.80(0.0%)
3 月 2 日 21:55:29 linsvr amavis[15091]:(15091-12)大小:671,TIMING [总计 16757 毫秒] - SMTP 问候语:1.5(0%)0,SMTP EHLO:0.5(0%)0,SMTP 预邮件:0.3(0%)0,SMTP 邮件:0.8(0%)0,SMTP 预数据刷新:0.8(0%)0,SMTP 数据:41(0%)0,check_init:0.4(0%)0,digest_hdr:0.3(0%)0,digest_body:0.1(0%)0,collect_info:0.8(0%)0, mime_decode:5(0%)0,get-file-type1:15(0%)0,parts_decode:0.1(0%)0,check_header:0.3(0%)0,AV-scan-1:19(0%)1,spam-wb-list:1.1(0%)1,SA msg 读取:0.5(0%)1,SA 解析:1.3(0%)1,SA 检查:16620(99%)100,decide_mail_destiny:8(0%)100,notif-quar:0.3(0%)100,fwd-connect:18(0%)100,fwd-mail-pip:8(0%)100,fwd-rcpt-pip:0.2(0%)100,fwd-data-chkpnt:0.0(0%)100,write-header:0.3 (0%)100,转发数据内容:0.0 (0%)100,转发结束检查:6 (0%)100,准备 dsn:0.6 (0%)100,报告:1.3 (0%)100,main_log_entry:3.5 (0%)100,update_snmp:1.1 (0%)100,SMTP 预响应:0.2 (0%)100,SMTP 响应:0.2 (0%)100,取消链接 2 文件:0.2 (0%)100,运行:0.6 (0%)100
3 月 2 日 21:55:29 linsvr postfix/smtp[31699]:25277220008:to=,中继 = 127.0.0.1[127.0.0.1]:10024,延迟 = 17,延迟 = 0.07/0.01/0/17,dsn = 2.0.0,状态 = 已发送 (250 2.0.0 来自 MTA(smtp:[127.0.0.1]:10025):250 2.0.0 Ok:排队为 EAD92220007) 3 月 2 日 21:55:29 linsvr postfix/qmgr[9766]:25277220008:已删除 3 月 2 日 21:55:30 linsvr postfix/smtp[31784]:EAD92220007:to=,中继 = in.mailjet.com[104.199.96.85]:25,延迟=0.5,延迟=0.01/0.02/0.4/0.07,dsn=2.0.0,状态=已发送(250 OK 排队为 49e13879-c3e9-4012-ba3a-c7caff2b9d41)
3 月 2 日 21:55:30 linsvr postfix/qmgr[9766]: EAD92220007:已删除}
有人能告诉我这个问题吗?如何解决?
谢谢。
答案1
Postfixpickup进程似乎表明这些消息是由用户本地生成的apache。
您的 WordPress 版本是否已更新安全更新?如果没有,则可能是被黑客入侵了。入侵者可能利用了 WordPress 漏洞,该漏洞允许他们提交自己的 PHP 脚本供 WordPress 运行,并且该脚本充当未经授权的电子邮件生成器/转发器。他们甚至可能对发送的每封电子邮件分别执行此操作,并让脚本在完成操作后自行删除。
否则,您的网站中是否有不受保护或易受攻击的电子邮件发送脚本(PHP、CGI 或其他)?
您的 Postfix 电子邮件服务器可能不是开放中继,而这正是那些测试站点可能要测试的;但 Apache + PHP + WordPress 组合中的某些东西允许入侵者进入并使用本地设施发送电子邮件。就 Postfix 而言,这些消息源自本地,因此它们不受中继检查。
因此,即使您的 Postfix 可能不是开放中继,但您的服务器作为一个整体实际上是开放中继。入侵者只需使用比普通 SMTP 稍微复杂一点的协议来提交消息,但“利用未打补丁的 WordPress”协议在垃圾邮件发送者中非常出名。