У меня дома есть небольшой сервер, на котором установлен postfix. Его можно использовать только для возврата результатов cronjobs и отправки по электронной почте для нескольких других скриптов. Я использую почтовый сервер своего интернет-провайдера в качестве узла ретрансляции. Недавно я обратил внимание на то, что почтовый сервер действует как открытый ретранслятор. Я исправил эту проблему, закрыв входящий порт 25 на маршрутизаторе и перенастроив postfix на прием только исходящей почты с сервера. Я проверил nmap извне из локальной сети и попробовал различные инструменты открытого реле, и все вроде нормально.
Проблема в том, что я все еще получаю почту, которую пытаются отправить. Я временно установил хост-ретранслятор на 127.0.0.3 (не существует), чтобы остановить отправку данных, и настроил правила брандмауэра iptable на моем сервере, чтобы предотвратить исходящий порт 25, поэтому на самом деле ничего не выходит.
Я подумал, что очереди все еще заполнены, поэтому я так и сделал:
sudo postsuper -d ALL deferred
sudo postsuper -d ALL
Но почта продолжает приходить со следующими сообщениями журнала:
1 декабря 12:04:56 постфикс / получение сервера [3267]: E18411FA4: uid = 33 from =
1 декабря 12:04:56 постфикс / очистка сервера [3274]: E18411FA4: message-id = <20111201120456.E18411FA4@server>
1 декабря 12:04:56 серверный постфикс / qmgr [3268]: E18411FA4: from =, size = 15619, nrcpt = 1 (очередь активна)
1 декабря 12:04:57 постфикс / ошибка сервера [3304]: E18411FA4: to =, relay = none, delay = 0.17, delay = 0.1 / 0/0 / 0.08, dsn = 4.4.1, status = deferred (доставка временно приостановлено: подключиться к 127.0.0.3 [127.0.0.3]: 25: Истекло время ожидания подключения)
Итак, у меня есть вопрос:
uid 33 по умолчанию www-data в Debian и используется Apache. У вас случается запускать веб-сервер и некоторые приложения PHP с ним? Возможно, есть почтовая форма или что-то еще, что можно использовать для рассылки спама? См. IP-адрес клиента из журнала доступа Apache, если это так, хотя, вероятно, вы подвергаетесь атаке случайного ботнета, поэтому блокировка отдельных IP-адресов не поможет.
Вы вовсе не обязательно будете взломаны или скомпрометированы, скорее всего, это просто уязвимый PHP-скрипт, который можно использовать для рассылки спама. Конечно, лучше быть осторожным и проверять все углы на предмет другой подозрительной активности, но это мое предположение.
Обновление этого веб-приложения, его удаление или ограничение доступа к нему должно решить вашу проблему. Вы также можете взглянуть на mod_security, хотя может быть слишком тяжелым для простого использования.
Dec 1 12:04:56 server postfix/pickup[3267]: E18411FA4: uid=33 from=<colleen_mcmillan@brewer.me.uk>
Это локальная отправка, то есть от учетной записи на машине postfix.
Его UID - 33; обратитесь к / etc / passwd, чтобы узнать, какая это учетная запись.
Вы можете контролировать локальную отправку, настроив авторизованные_submit_users в main.cf.
Помимо очевидного (отключите машину от Интернета, сделайте снимок своего журнала и директорий tmp и исследуйте в автономном режиме), вы возитесь со слишком большим количеством переменных одновременно - например, закрывая оба порта 25 на маршрутизаторе И отключая порт Отправка 25 в постфиксе не нужна и может только запутать вас позже.
Постарайтесь ограничиться внесением одного изменения за раз, тщательно его протестируйте, а затем отмените и попробуйте другое изменение.