我在我的邮件日志中发现了大量这样的信息(在我的网站因过度使用资源而关闭之后):
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected]
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected]
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: hook_dir = '/var/qmail//handlers/before-queue'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: recipient[3] = '[email protected]'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: starter: submitter[24525] exited normally
看起来有人在使用我的系统发送垃圾邮件。大家觉得如何?你们将如何追踪他们的入口点和/或阻止他们?
答案1
也许您的电子邮件软件配置为允许中继 - 它是一个开放中继?
http://www.palomine.net/qmail/relaying.html
中继
中继功能允许互联网上任何地方的任何人使用任何“发件人”电子邮件地址向您的服务器发送电子邮件,并让您的服务器使用任何“收件人”地址将其传递给互联网上任何地方的任意数量的收件人。
你真的应该限制它拒绝除两种不同模式之外的所有邮件:
来自外部的邮件,其“收件人”地址包含您的域名,并且 at 符号之前的部分与您组织内定义的人员相匹配。对于 Web 服务器,如果 Web 服务器不需要接受传入电子邮件,则此人可能为“无人”。组织通常会有单独的电子邮件服务器来处理其成员的电子邮件。
来自经过身份验证的用户的邮件,其发件人地址包含您的域名。在这种情况下,收件人地址可以是任何地址。发件人通常从您本地网络内的 IP 地址发送邮件,但允许受信任的人使用您的电子邮件服务器会很有用 - 在这种情况下,他们必须先进行身份验证,然后才能允许发送电子邮件。
如果您这样做,您将不会为垃圾邮件发送者传播垃圾邮件(并冒着被列入黑名单的风险),但这不会对您的合法活动产生影响。
测试
在更改电子邮件服务器配置之前和之后,请对其进行测试。使用不相关的互联网接入点(3G、网吧、家里)尝试通过邮件服务器发送电子邮件,尝试各种发件人和收件人地址的组合,例如
From To Expect
genuine@mydomain [email protected] allowed
[email protected] [email protected] rejected
fakester@mydomain [email protected] rejected
genuine@mydomain [email protected] allowed only if authenticated
但大多数网络服务器不需要向服务器外发送邮件,除非是发送给网站管理员/管理员。因此,它们可以被更严格地锁定。
答案2
就像 RedGrittyBrick 的回应一样,这听起来像是一个开放的中继,但我不知道。
您可以做的一件事是尝试像这样的公共中继测试服务: http://www.abuse.net/relay.html
它们会自动运行各种邮件发送测试并实时告诉您结果。如果您的 SMTP 服务器接受了邮件并进行投递,那么您应该查看配置。
另一种理论是,一些黑客安装了后门或利用您安装的软件漏洞,使用脚本发送邮件。由于脚本位于服务器上,因此他们可以绕过中继限制,因为邮件来自服务器而不是互联网。您可以尝试关闭 Web 服务器服务,看看它是否仍在发送邮件,这样您就会知道它是否真的是脚本后门或其他更恶意的东西。