Назад | Перейти на главную страницу

Ретрансляция спама через почтовый сервер Postfix

У меня есть почтовый сервер (cm.snowbarre.co.za) на Ubuntu 8.04 LTS, который перенаправляет весь SMTP-трафик на сервер защиты от спама cacti.snowbarre.co.za. Часто я вижу, что заголовки на сервере защиты от спама содержат адреса, не размещенные на почтовом сервере, и я проверил и подтвердил, что мой сервер не является сервером открытой ретрансляции. Как спамер может использовать мой сервер для ретрансляции спам-трафика? Как я могу это остановить?

Тест открытого реле:

paddington@paddington-MS-7387:~$ telnet cm 25
Trying 196.201.x.x...
Connected to cm.
Escape character is '^]'.
220 cm.snowbarre.co.za ESMTP Postfix (Ubuntu)
mail from:test@facebook.com
250 2.1.0 Ok
rcpt:paddington@yahoo.co.uk
221 2.7.0 Error: I can break rules, too. Goodbye.
Connection closed by foreign host.
paddington@paddington-MS-7387:~$ 

Типичные заголовки:

Received: from cm.snowbarre.co.za (cm.snowbarre.co.za[196.201.x.x])
     by cacti.snowbarre.co.za (Postfix) with ESMTPS id 00B601881AD;
     Mon, 27 Aug 2012 14:03:29 +0200 (SAST)
Received: from cm.snowbarre.co.za (localhost [127.0.0.1])
    by cm.snowbarre.co.za (Postfix) with ESMTP id 81627367E007;
    Mon, 27 Aug 2012 14:02:50 +0200 (SAST)
Received: from User (ml82.128.x.x.multilinksg.com [82.128.x.x])
    by cm.snowbarre.co.za (Postfix) with ESMTP;
    Mon, 27 Aug 2012 14:02:49 +0200 (SAST)
Reply-To: <amsnkeuri@ymail.com>
From: "Ms Nkeuri Aguiyi"<admin@jogor.net>
Subject: Your Unpaid Fund.
Date: Mon, 27 Aug 2012 05:03:22 -0700
MIME-Version: 1.0
Content-Type: text/html;  charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 120821-0, 08/21/2012), Outbound message
X-Antivirus-Status: Clean
Message-Id: <20120827120250.81627367E007@cm.snowbarre.co.za>
To: undisclosed-recipients:;*

Просто потому, что в заголовках есть строка, которая выглядит так, как будто ретранслируется SMTP-запрос от ml82.128.x.x.multilinksg.com - это не обязательно правда.

Если у вас есть открытый веб-прокси или у кого-то есть ssh-доступ к вашей сети, они могут легко ретранслировать эти электронные письма из другого места - единственная разница в том, что электронные письма не входящий ваша сеть через SMTP.

(здесь может быть не так, но проверка должна быть в верхней части вашего списка).