网络钓鱼邮件通过我的 Postfix 服务器发送

网络钓鱼邮件通过我的 Postfix 服务器发送

在我的网络中,我有一台配置了 Fetchmaill 的 Linux 服务器,可以通过 POP3 从我的邮件提供商处检索邮件。它通过 postfix 连接到旧的 Windows 服务器。客户端通过 Outlook 连接到 Windows 服务器。因此,每封邮件都通过我的 Linux 机器路由。
就在今天,我收到了一封来自 的网络钓鱼邮件[email protected]。请注意,此帐户不存在。无论是在我的邮件提供商还是在我的 Windows 服务器上。我尝试配置我的 Linux 服务器,使其仅接受来自本地网络内部的连接。而不是来自外部的连接。我需要帮助,了解如何检查以下邮件来自何处:

12:22:57 代理 postfix/smtpd[27263]: 34B562EE023E: 客户端 = localhost.localdomain[127.0.0.1]
12:22:57 代理 postfix/cleanup[27265]: 34B562EE023E:[电子邮件保护]
12:22:57 代理 postfix/qmgr[2400]: 34B562EE023E:[电子邮件保护],大小=3190,nrcpt=1(队列活动)
12:22:57 代理 postfix/smtp[27267]:34B562EE023E:[电子邮件保护],中继=192.168.1.9[192.168.1.9]:25,延迟=0.14,延迟=0.09/0/0/0.06,dsn=2.6.0,状态=已发送(250 2.6.0 [电子邮件保护]排队等待投递的邮件)
12:22:57 代理 postfix/qmgr[2400]: 34B562EE023E: 已删除

而 192.168.1.9 是我的 Windows Server 机器。你知道要查找什么吗?我尝试了不同的在线服务来检查我的服务器是否是开放中继,但它们都超时了。
谢谢。

答案1

我不是邮件守护程序方面的专家,但我认为发送邮件的人是从实际邮件服务器发送的(client= 应该是连接到邮件守护程序的人的 ip)。它可能是由登录用户或 Postfix 服务器上使用 mail() 函数的 php 脚本发送的,或者类似的东西。

默认情况下,postfix 和大多数邮件守护程序都设置为接受来自本地主机的邮件,几乎没有限制,因此来自 cron 和系统实用程序的电子邮件不需要进行身份验证。

总体而言思考您的邮件服务器可能存在未解决的安全问题。我不知道思考这是一个中继消息;我认为服务器表示它已将其中继到您的 Windows 机器(否则客户端应该是 192.168.1.9)。

您可能想听听电子邮件经验更丰富的人的意见,也可能需要检查 smtpd_sender_restrictions 设置。我找到了一篇相关的 serverfault 帖子,介绍了如何防止以不存在的用户身份发送电子邮件 (postfix - 允许使用相关别名发送电子邮件)。

相关内容