Являюсь ли я ретранслятором Open Mail? Cent OS с Postfix, Dovecot,

1

Через некоторое время я снова создаю почтовый сервер. Я искал другой учебник, чтобы сделать это правильно. Я сделал это правильно или, по крайней мере, я могу отправлять и получать электронные письма.

Самым важным для меня является то, что сервер безопасен. Безопасно, поскольку я не получаю спам, вирусы и т. Д., Но гораздо важнее, что я не хочу беспокоить других людей или системы. Я реализовал много директив и прочее, чтобы укрепить систему. Но я все еще не уверен, действительно ли это так, или у меня где-то есть неправильная конфигурация.

У меня есть записи в журнале, которые делают меня раздражительным, может быть, я просто не могу прочитать это правильно.

Я полностью сбит с толку. Я хотел бы думать, что вся упомянутая выше почта куда отправлена /dev/null, Во-первых, система говорит, что не знает отправителя (Некоторое объяснение xxx@example.com - это известный и действительный адрес на моем сервере, NoraHuizenga@example.com - нет):

Jan 23 11:36:22 mail postfix/smtpd[15689]: 78587E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, sasl_username=xxx@example.com  
Jan 23 11:36:45 mail postfix/cleanup[15705]: 78587E1E18: message-id=<b03686d0024b$9768fef8$57530728$@example.com>  
Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: from=<NoraHuizenga@example.com>, size=2357, nrcpt=20 (queue active)  
Jan 23 11:36:45 mail postfix/smtpd[15711]: connect from localhost[127.0.0.1]  
Jan 23 11:36:45 mail postfix/smtpd[15711]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<NoraHuizenga@example.com> proto=ESMTP helo=<localhost>  
Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients  
Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1]

Моя интерпретация этого первого отрывка такова, что кто-то использует хорошо известную учетную запись системы в первую очередь для подключения к системе. Во-вторых, он пытается отправить E-Mail под другим именем, которое не известно серверу.

Второй амавис хочет от него отказов:

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients
Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1]
Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)V41u_uXR4ZV9(6_lwbkN2e1dX) SEND from <> -> <NoraHuizenga@example.com>, ENVID=AM.V41u_uXR4ZV9.20160123T103645Z@mail.example.com BODY=7BIT 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table
Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)NOTICE: UNABLE TO SEND DSN to <NoraHuizenga@example.com>: 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table
Jan 23 11:36:45 mail amavis[14998]: (14998-09) unexpected status/result, please verify: To be bounced, but DSN was neither sent nor suppressed?, <fischerma@adelphia.net>
an 23 11:36:45 19 more entries of that type

Но последний журнал говорит:

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Blocked BAD-HEADER-0 {UnknownOpenRelay,Quarantined}, [59.98.143.142]:29864 [59.98.143.142] <NoraHuizenga@example.com> -> <fischerma@someprovider.domain>,<lsettler@someprovider.domain>,<LBecker@someprovider.domain>,<custserv@someprovider.domain>,<shon.remich2@someprovider.domain>,<cojocinder@someprovider.domain>,<care@someprovider.domain>,<elliotoffice@someprovider.domain>,<ericbenedict@someprovider.domain>,<vzwkanacsInternetWABAVA@someprovider.domain>,<hailey.huizenga@someprovider.domain>,<HuizenLL@someprovider.domain>,<lrcase@someprovider.domain>,<TreasIndTax2@someprovider.domain>,<treasindtax@msomeprovider.domain>,<spoof@someprovider.domain>,<nanadawn100@ssomeprovider.domain>,<toniann@someprovider.domain>,<kim@someprovider.domain>,<joeytessmest@someprovider.domain>, Queue-ID: 78587E1E18, Message-ID: <b03686d0024b$9768fef8$57530728$@example.com>, mail_id: 6_lwbkN2e1dX, Hits: -, size: 2355, 222 ms
Jan 23 11:36:45 mail postfix/smtp[15708]: 78587E1E18: to=<fischerma@adelphia.net>, relay=127.0.0.1[127.0.0.1]:10024, delay=24, delays=24/0/0.01/0.22, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=14998-09, BOUNCE)
Jan 23 11:36:45 mail postfix/smtp[15708]: [...]
Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: removed
Jan 23 11:36:47 mail postfix/smtpd[15689]: 67360E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, sasl_username=hms@example.com
Jan 23 11:36:48 mail postfix/smtpd[15689]: 67360E1E18: reject: RCPT from unknown[59.98.143.142]: 504 5.5.2 <tleonsis@washingtoncaps>: Recipient address rejected: need fully-qualified address; from=<NoraHuizenga@example.com> to=<tleonsis@washingtoncaps> proto=ESMTP helo=<example.com>

23 января 11:38:02 mail postfix / smtpd [15689]: 67360E1E18: отклонить: RCPT от неизвестного [59.98.143.142]: 450 4.1.2: адрес получателя отклонен: домен не найден; от = до = прото = ESMTP helo = 23 января 11:38:03 mail postfix / smtpd [15689]: потеря соединения после RCPT из неизвестного [59.98.143.142] 23 января 11:38:03 mail postfix / smtpd [15689]: отключиться от неизвестного [59.98.143.142]

Извините, я не могу опубликовать журнал или конфигурацию, так как система видит это как спам ...

Как вы думаете? Отправляю ли я спам или мой сервер в безопасности?

Я предполагаю, что я отправляю письма, как только получил письмо с обратным рассылкой. Как я могу подавить такое поведение?

H. Stridde
источник

Ответы:

2

Это имеет наверное не имеет ничего общего с открытым реле (которое вы можете проверить с этот инструмент ), а скорее вы получаете обратную рассылку.

Когда спамер или червь отправляют почту с поддельными адресами отправителя,   невинные сайты наводнены недоставленными почтовыми уведомлениями. это   называется backscatter mail. С Postfix вы знаете, что вы   жертва обратного рассеяния, когда ваш лог-файл включается и выключается так:

Dec  4 04:30:09 hostname postfix/smtpd[58549]: NOQUEUE: reject:
RCPT from xxxxxxx[x.x.x.x]: 550 5.1.1 <yyyyyy@your.domain.here>:
Recipient address rejected: User unknown; from=<>
to=<yyyyyy@your.domain.here> proto=ESMTP helo=<zzzzzz>

Вы видите множество «неизвестных пользователю» ошибок с «from = & lt; & gt;». Эти   сообщения об ошибках от MAILER-DAEMON в других местах в Интернете, о   электронная почта, отправленная с ложным адресом отправителя в вашем домене.

Как правило, электронные письма имеют 2 "отправителя" определяется в заголовках: один из них является отправителем заголовка ( MAIL FROM ), а другой является отправителем конверта ( Return-Path ), являясь последним адресом, на который будут отправляться отклоненные письма.

Допустим, кто-то отправил письмо, утверждая, что это вы (указав отправителя конверта ваш домен) и попытался отправить электронное письмо на несуществующий адрес. Отсканированное письмо будет доставлено по адресу, указанному в отправителе конверта, который вы.

Это довольно часто, так как кто-нибудь может отправить письмо, утверждая, что это кто-то, кем они не являются (подделывая заголовки отправителя), задача MTU - определить, верно это или нет, и заблокировать или разрешить почту.

Там Хороший источник информации о Backscatter почте на Postfix.

nKn
источник
+1, в частности, за указание на инструмент, чтобы проверить, работает ли на исходном плакате открытое реле.
ChrisInEdmonton
1
@ChrisInEdmonton Если это спам обратного рассеяния, то настройка строгого SPF политика может значительно уменьшить объем. Вполне вероятно, что отправляющий адрес (ы) были собраны другими спаммерами и начнут получать больше спама, чем обычно.
BillThor
@ChrisInEdmonton, спасибо за помощь до сих пор. Я совершенно уверен, что записи, которые я разместил здесь, не являются рассылкой. В последние дни я просмотрел логи и нашел спам-рассылку со спамом, который, вероятно, отправляю. Качество моего первого поста было не таким хорошим. Я пытаюсь дать больше информации, если платформа позволит моему посту критически важные отрывки из журнала. Большинство отправителей и получателей информации удаляются superuser.com, но они заполнены информацией
H. Stridde
1

Это заняло некоторое время, но я нашел решение своей проблемы. Кто-то извне использовал существующую учетную запись для входа в систему (аутентификация SASL), а затем отправлял письма с неверным адресом отправителя.

Чтобы запретить такое поведение, я добавил несколько строк в свой main.cf.

#file / database in which valid emails, users and domains can be found
smtpd_sender_login_maps = mysql:/etc/postfix/mysql-email2email.cf, mysql:/etc/postfix/mysql-virtual-users.cf

# reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch,        reject_unauthenticated_sender_login_mismatch use the data from smtpd_sender_login_maps. If not defined you will see lot of errors and be unable to send mails.

smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    reject_authenticated_sender_login_mismatch,
    reject_sender_login_mismatch,
    reject_unauthenticated_sender_login_mismatch,
    reject_unknown_sender_domain,
    reject_unlisted_sender,
    reject_unverified_sender,
    permit_sasl_authenticated,
    permit_mynetworks

Если пользователь хочет отправить электронное письмо с определенным псевдонимом, он сначала должен определить его в базе данных.

H. Stridde
источник