Назад | Перейти на главную страницу

Virtualmin с конфигурацией Postfix небезопасен

Я все еще изучаю Linux, так что терпите меня.

У меня есть установка на сервере Debian, где Virtualmin использует Postfix для почты.

Это просто стандартная установка Virtualmin, и все в основном работает так, как мне нужно.

Теперь, внезапно, я почувствовал, что размер моей почтовой очереди резко увеличился, заняв все мое дисковое пространство. К сожалению, кто-то использует мой сервер в качестве открытого почтового ретранслятора для рассылки спама в учетных записях Hotmail, Yahoo и подобных.

Моя проблема в том, что я понятия не имею, как это остановить или как они отправляют письма.

Я сделал postconf -n и вот что говорит моя конфигурация:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
allow_percent_hack = no
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
mailbox_size_limit = 0
mydestination = Debian-60-squeeze-64-minimal, digitalstorm.dk, localhost.dk, localhost
myhostname = digitalstorm.dk
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
readme_directory = no
recipient_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = permit_mynetworks permit_inet_interfaces reject_unknown_reverse_client_hostname permit_tls_all_clientcerts
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination reject_unknown_reverse_client_hostname
smtpd_sasl_auth_enable = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual

Я получаю такие записи mail.log:

Mar 11 14:50:06 www postfix/qmgr[5577]: 67B4E15E638: from=<catalystcode@digitalstorm.dk>, size=36335, nrcpt=1 (queue active)
Mar 11 14:50:06 www postfix/smtp[5609]: DA8DD1A58DF: host mailin-02.mx.aol.com[205.188.190.1] refused to talk to me: 421 mtain-de04.r1000.mx.aol.com Service unavailable - try again later
Mar 11 14:50:07 www postfix/error[5771]: 6A27810CB59: to=<rickblackstalker@yahoo.com>, relay=none, delay=4727, delays=4726/0.98/0/0.58, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mta6.am0.yahoodns.net[67.195.103.232] refused to talk to me: 421 4.7.0 [TS01] Messages from 78.47.152.115 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Mar 11 14:50:07 www postfix/qmgr[5577]: 68C8B16F079: from=<catalystcode@digitalstorm.dk>, size=43281, nrcpt=1 (queue active)

Я попытался отключить все свои виртуальные хосты, чтобы проверить, не вызвал ли это плохой скрипт PHP. Но нет, письма продолжали лететь.

Теперь я не знаю, где продолжить поиск или как закрыть эту дыру.

Может ли кто-нибудь указать мне правильное направление?

Наконец я обнаружил, что проблема не в моей конфигурации Postfix. У меня была взломанная учетная запись оболочки, которая позволяла злоумышленнику отправлять почту прямо из командной строки.