как защитить мой почтовый сервер, используя спамер для отправки электронной почты и т. д. yahoomail, gmail и т. д.
мой почтовый сервер теперь заблокирован Gmail. уже настроен на блокировку всего этого, но все еще атакован спамерами
ниже журнала почты: -
Jun 24 03:29:26 abcd sendmail[13373]: q5NHV7Jm001938: to=<cornchopsunshady@yahoo.com>, ctladdr=<xxx@abcd.com> (525/528), delay=02:58:10, xdelay=00:00:02, mailer=esmtp, pri=3212216, relay=mta7.am0.yahoodns.net. [67.195.168.230], dsn=431, stat=Deferred: 452 Too many recipients
Я очень признателен за советы и помощь.
Отредактировано для почты журнала:
Jun 24 03:29:06 abcd sendmail[13371]: q5NKT6s1013371: from='<www-data@crazyhorse.abcd.com>', size=2340, class=0, nrcpts=0,proto=ESMTP, daemon=MTA, relay=myISP.com
jun 24 03:29:06 abcd sendmail[13372]:q5NKT6wz013372: <www-data@abcd.com>.. User unknown
Jun 24 03:29:06 abcd sendmail[13372]:q5NKT6wZ013372: from=<>, size=3324, class=0,nrcpts, proto=ESMTP, daemon=MTA, relay=myISP.com
jun 24 03:29:10 abcd sendmail[13373]: grew WorkList for /var/spool/mqueue to 2000
jun 24 03:29:12 abcd sendmail[13373]: grew Worklist for /var/spool/mqueue to 3000
jun 24 03:29:17 abcd sendmail[13375]:q5NKTFYr013375:<hrdqvqza@abcd.com>... user unknown
jun 24 03:29:18 abcd sendmail[13375]: q5NKTFYr013375: from=<escribikr@docomo.ne.jp>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=00l-4b7f8b4a.static.optonline.net [75.127.139.74]
jun 24 03:29:19 abcd sendmail[13373]: q5NHU5sL001777: to=<cha_010@yahoo.com>,<cha_cha3023@yahoo.com>,<cha_she69@yahoo.com>,<chaaldridge@yahoo.com>,<chaasper@yahoo.com>,ctladdr=<baak@abcd.com> (525/528), delay=02:59:06, xdelay=0 0:00:07, mailer=esmtp, pri=3212216,relay=mta7.am0.yahoodbs.net. [67.195.168.230], dsn=2.0.0, stat=sent (ok dirdel 4/1)
.. и так далее ...
Есть 3 варианта. Я перечислю их в порядке серьезности.
Ваш сервер настроен достаточно безопасно, но вы разрешаете известным аутентифицированным пользователям ретранслировать почту через этот сервер с внешних адресов, а пароли одной или нескольких учетных записей были взломаны. Вам необходимо получить контроль над этими учетными записями в краткосрочной перспективе и проверить, разрешаете ли вы аутентифицированным пользователям использовать вашу службу в долгосрочной перспективе и как это делать.
Ваш сервер настроен небезопасно, что позволяет ретранслировать анонимную электронную почту. Это действительно плохо, но исправить несложно.
Ваш сервер взломан. Это худший вариант. См. Ответ Лукаса.
Ответ на вопрос, какой из них является вашей проблемой, содержится в ваших журналах.
Если ваш сервер используется для рассылки спама, возможно, он был взломан или настроен небезопасно.
Вам нужно будет отформатировать систему и переустановить с нуля (если первое верно) И обезопасить ее! Так что узнайте, как они вошли. Если вы не можете сделать это самостоятельно, я предлагаю привлечь профессионала.
Ссылаться на: Как мне поступить с взломанным сервером?
Кажется, что этот вид спама, который отправляет ваш сервер, ретранслируется через веб-сервер, который вы запускаете на машине. Вы случайно не запускаете интерфейс веб-почты, такой как SquirrelMail? В таком случае вполне вероятно, что по крайней мере одна учетная запись взломана и используется для рассылки спама. В случае SquirrelMail я бы посмотрел на все * .conf файлы в данные/ каталог, в котором хранятся пользовательские настройки. Я буду:
grep -l escribikr@docomo.ne.jp *.pref
а затем найдите взломанные учетные записи. Для других систем веб-почты я бы проделал аналогичный поиск. Также я бы учился qtool.pl чтобы начать стирать спам из очереди.
Я обнаружил, что проблема связана с уязвимостями моего почтового сервера. Поэтому я перешел на zimbra и активировал все мыслимые функции. И теперь я могу спать спокойно.