сегодня я получил около 30 сообщений в течение 5 минут, в которых говорилось, что некоторые письма, которые я отправляю, не могут быть доставлены, в основном на адреса электронной почты * .ru, на которые я не отправлял почту. У меня есть собственный веб-сервер (postfix / dovecot), настроенный с помощью этого руководства (http://workaround.org/ispmail/lenny), но немного скорректирован для Ubuntu.
Я проверял, являюсь ли я открытым реле, но, по-видимому, нет. Теперь есть две возможные причины для вышеупомянутых электронных писем: либо я рассылаю спам, либо кто-то хочет, чтобы я так думал, верно?
Как я могу это проверить?
Я выбрал один конкретный адрес, на который я предположительно отправляю спам. Затем я поискал эту запись в своем mail.log. Я нашел два блока, в которых записано, что кто-то с сервера подключился к моему серверу и доставил сообщение двум разным пользователям. Я не могу найти запись о том, что кто-либо с моего сервера отправил электронное письмо на этот сервер. Означает ли это, что это просто какая-то почта, чтобы напугать меня, или она все еще была отправлена мной?
Вот один такой блок из лога (я заменил кое-что из конфиденциального):
Jun 26 23:23:28 mycustomernumber postfix/smtpd[29970]: connect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: 044991528995: client=mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber postfix/cleanup[29974]: 044991528995: message-id=<receipt-478991526@m.webstyle.ru>
Jun 26 23:23:29 mycustomernumber postfix/qmgr[3369]: 044991528995: from=<>, size=2198, nrcpt=1 (queue active)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) ESMTP::10024 /var/lib/amavis/tmp/amavis-20110626T223137-28598: <> -> <someuser@myserver.com> SIZE=2198 Received: from mycustomernumber.stratoserver.net ([127.0.0.1]) by localhost (rehmsen.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <someuser@myserver.com>; Sun, 26 Jun 2011 23:23:29 +0200 (CEST)
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) Checking: YakjkrdFq6A8 [195.144.251.97] <> -> <someuser@myserver.com>
Jun 26 23:23:29 mycustomernumber postfix/smtpd[29970]: disconnect from mx.webstyle.ru[195.144.251.97]
Jun 26 23:23:29 mycustomernumber amavis[28598]: (28598-11) lookup_sql_field(id) (WARN: no such field in the SQL table), "someuser@myserver.com" result=undef
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: connect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: 0A1FA1528A21: client=localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber postfix/cleanup[29974]: 0A1FA1528A21: message-id=<receipt-478991526@m.webstyle.ru>
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: from=<>, size=2841, nrcpt=1 (queue active)
Jun 26 23:23:32 mycustomernumber postfix/smtpd[29979]: disconnect from localhost.localdomain[127.0.0.1]
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) FWD via SMTP: <> -> <someuser@myserver.com>,BODY=7BIT 250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21
Jun 26 23:23:32 mycustomernumber amavis[28598]: (28598-11) Passed CLEAN, [195.144.251.97] [195.144.251.97] <> -> <someuser@myserver.com>, Message-ID: <receipt-478991526@m.webstyle.ru>, mail_id: YakjkrdFq6A8, Hits: 2.249, size: 2197, queued_as: 0A1FA1528A21, 2882 ms
Jun 26 23:23:32 mycustomernumber postfix/smtp[29975]: 044991528995: to=<someuser@myserver.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.3, delays=0.39/0.01/0.01/2.9, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=28598-11, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0A1FA1528A21)
Jun 26 23:23:32 mycustomernumber postfix/qmgr[3369]: 044991528995: removed
Jun 26 23:23:33 mycustomernumber postfix/smtp[29980]: 0A1FA1528A21: to=<merle.rehmsen@hotmail.com>, orig_to=<someuser@myserver.com>, relay=mx3.hotmail.com[65.54.188.110]:25, delay=1.2, delays=0.15/0.02/0.51/0.55, dsn=2.0.0, status=sent (250 <receipt-478991526@m.webstyle.ru> Queued mail for delivery)
Jun 26 23:23:33 mycustomernumber postfix/qmgr[3369]: 0A1FA1528A21: removed
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection rate 1/60s for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max connection count 1 for (smtp:195.144.251.97) at Jun 26 23:23:28
Jun 26 23:26:49 mycustomernumber postfix/anvil[29972]: statistics: max cache size 1 at Jun 26 23:23:28
Я могу предоставить дополнительную информацию, если вы скажете мне, что вам нужно знать. Спасибо за помощь!
Звучит как обратное рассеяние (и этот журнал выглядит довольно невинно, конечно, без ретрансляции), что означает, что сообщения не будут отправляться вашим сервером, но адрес в вашем домене будет использоваться в качестве подделки From: адрес.
Включает ли какое-либо из сообщений с отчетом о недоставке исходный заголовок сообщения? Если это так, вы сможете убедиться, что сообщения не передаются через вашу систему.
К сожалению, контролировать обратное рассеяние довольно сложно, если оно постоянно. По моему опыту, они обычно отказываются от использования поддельного адреса через несколько дней или недель, но очень сложно заблокировать сообщения, не блокируя законные сообщения о недоставке.
Вы искали свой ip в черных списках? Например, вы можете сделать это здесь http://www.mxtoolbox.com/blacklists.aspx Также вирус из локальной сети может отправить smap мимо вашего сервера. Кроме того, вы можете заблокировать целевой TCP-порт 25 из локальной сети на своем брандмауэре, а затем посмотреть в журнале, кто отправил на порт 25