Я запускаю постфиксную установку на ubuntu 10.04 LTS с несколькими доменами. Релейный доступ требует аутентификации с помощью STARTTLS. Сегодня утром одна из учетных записей пользователей вошла в систему и отправила сотни спам-писем, как я вижу из журнала. Фактический владелец этой учетной записи сообщил мне о получении нескольких сообщений DSN. Журналы не показывают никаких признаков атаки грубой силы для пароля, поэтому я предполагаю, что осталось только 2 варианта:
а) Пароль пользователя был украден (я уже изменил его, и с тех пор никаких изменений не происходило) б) Что-то не так с механизмом аутентификации.
Есть ли у кого-нибудь дополнительные предложения о том, как исследовать такую тему?
Вот фрагмент журнала, когда произошла аутентификация:
Apr 28 09:17:44 vs1909 postfix/smtpd[13325]: connect from unknown[217.76.201.194]
Apr 28 09:17:45 vs1909 postfix/smtpd[13325]: 1458F1409A: client=unknown[217.76.201.194], sasl_method=PLAIN, sasl_username=mail@xxxxxx.tld
Мне ясно, что пароль от mail@xxxxxx.tld был украден, и кто-то аутентифицировался на вашем постфиксе, используя эту учетную запись и пароль.
Вы можете ограничить количество сообщений, отправляемых от пользователя, используя процесс наковальни из postfix, например:
smtpd_client_message_rate_limit=100
С помощью этой опции в main.cf вы можете ограничить 100 сообщений на одного клиента в заданное время. Обратитесь к документации по наковальне Postfix для получения подробной информации о процедуре.
Еще одна вещь, которую следует учитывать, но это не имеет отношения к самой проблеме, поскольку аутентификация, похоже, выполняется без какого-либо криптографического механизма, такого как TLS или SSL.