我使用 ubuntu 和 postfix/dovecot 来收发电子邮件。现在我遇到了一个问题,尽管我没有开放中继,但邮件还是被未经授权的用户发送了。
我的mail.log包含这样的行:
Mar 9 14:12:00 my-host postfix/pickup[10204]: 670148A00C6: uid=10002 from=<[email protected]>
Mar 9 14:12:00 my-host postfix/cleanup[12610]: 670148A00C6: message-id=<[email protected]>
Mar 9 14:12:00 my-host postfix/qmgr[9110]: 670148A00C6: from=<[email protected]>, size=780, nrcpt=1 (queue active)
Mar 9 14:12:01 my-host postfix/smtp[12594]: 670148A00C6: to=<[email protected]>, relay=mx1.data.ch[212.212.212.212]:25, delay=1.1, delays=0.1/0/0.55/0.49, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 6F6A0200C0)
Mar 9 14:12:01 my-host postfix/qmgr[9110]: 670148A00C6: removed
我认为我的 postfix 设置是正确的:
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org
邮件来自哪里?我没有看到垃圾邮件发送者的登录信息,所以一定是主机上的某个脚本。我真的很想找到源头,但我不知道怎么做。
答案1
这 皮卡(8) 守护进程等待新邮件被放入的提示邮件投递目录,并将其输入到 清理(8) 守护进程。格式不正确的文件将被删除,且不会通知创建者。
通过 Postfix 提交的消息发送邮件(1)命令,但尚未被带入主 Postfix 队列皮卡(8) 服务,在“maildrop”队列中等待处理。
因此,第一行表明该邮件是通过 Sendmail 从本地来源发送的:
Mar 9 14:12:00 my-host postfix/pickup[10204]: 670148A00C6: uid=10002 from=<[email protected]>
它还告诉我们发起用户的 UID 为 10002。查找以该用户身份运行的任何脚本。我首先会比较该用户的 Web 服务器日志,即与该帐户相关的 VirtualHosts – 在 和 之前。这可能会揭示用于发送此电子邮件的Mar 9 14:12:00HTTP 请求(最有可能是请求)。POST