Postfix 垃圾邮件攻击 Cent Os

Postfix 垃圾邮件攻击 Cent Os

有人正在使用我的服务器(可能以不安全的形式)发送大量垃圾邮件。

我看了一下,mailq但似乎找不到在哪里可以解决这个问题。

有没有办法可以追踪这些垃圾邮件的来源?

我正在使用 CentOS 和 Postfix

这是我的 main.cf 文件的一部分:

sendmail_path = /usr/sbin/sendmail.postfix

# newaliases_path: The full pathname of the Postfix newaliases command.
# This is the Sendmail-compatible command to build alias databases.
#
newaliases_path = /usr/bin/newaliases.postfix

# mailq_path: The full pathname of the Postfix mailq command.  This
# is the Sendmail-compatible mail queue listing command.
#
mailq_path = /usr/bin/mailq.postfix

# setgid_group: The group for mail submission and queue management
# commands.  This must be a group name with a numerical group ID that
# is not shared with other accounts, not even with the Postfix account.
#
setgid_group = postdrop

# html_directory: The location of the Postfix HTML documentation.
#
html_directory = no

# manpage_directory: The location of the Postfix on-line manual pages.
#
manpage_directory = /usr/share/man

# sample_directory: The location of the Postfix sample configuration files.
# This parameter is obsolete as of Postfix 2.1.
#
sample_directory = /usr/share/doc/postfix-2.3.3/samples

# readme_directory: The location of the Postfix README files.
#
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox
transport_maps = hash:/var/spool/postfix/plesk/transport
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_security_level = may
smtpd_use_tls = yes
smtp_tls_security_level = may
smtp_use_tls = no
mynetworks = 127.0.0.0/8, 10.1.11.34/32
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access pcre:/var/spool/postfix/plesk/non_auth.re
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, check_client_access pcre:/var/spool/postfix/plesk/no_relay.re, reject_unauth_destination
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:110
virtual_gid_maps = static:31
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1

答案1

在这种情况下,最好在 /var/log/mail.log 中查找答案。一旦您获得了邮件的邮件 ID,搜索所有相应条目就可以找到您可能需要查找的大部分内容。

> grep F0CDD146E5B mail.log

此外,对于此服务器,查看更多带有如上所示的拒绝文本的消息非常重要。如果您收到很多这样的消息,则您的服务器 IP 地址可能已列入黑名单。

您可以在以下位置查看黑名单MX 工具箱输入您的服务器向互联网上的其他服务器显示的 IP 地址。请记住,防火墙可用于将地址映射到其他地址,因此请确保您知道您的公共 IP 地址。

对于日志记录,postfix 通常配置为使用syslog。运行 >postconf | grep log查看您的 syslog_facility 变量及其配置方式。在 Ubuntu 系统上,它将设置为“mail”。

对于管理包含您不想发送的电子邮件的队列,您可以使用postsuper删除这些邮件并清理队列。如果邮件本身并不重要,这可能是清空队列的快速方法。删除一条消息的典型语法是 > postsuper -d [mail id]。这里有一篇关于使用后超级它还展示了如何删除所有内容或对mailq输出使用模式。

答案2

我被列入黑名单是因为其他与我的邮件服务器共享相同 NAT 的 IP 地址的系统正在发送垃圾邮件。如果您有任何类型的边界控制设备(IPS、防火墙等),请检查是否有其他系统向端口 25 发送出站流量。除非来自您的邮件服务器,否则最好拒绝出站 SMTP。

相关内容