Прежде всего позвольте мне сказать, что я не гуру электронной почты. Если вам нужна дополнительная информация, чтобы помочь мне, просто дайте мне знать.
На этой неделе с почтовым сервером возникли разные странные проблемы. На прошлой неделе он дублировал электронные письма, и даже не позволял мне подключиться к imap с помощью thunderbird, пока postfix не был перезапущен. Я так и не понял, почему это было. Во всяком случае, несколько ночей назад я искал в журнале почты, пытаясь найти ответ, почему это могло вызвать эти проблемы. Не имея реальных зацепок, я просто начал искать аномалии. При этом я наткнулся на тысячи сообщений электронной почты, которые маршрутизируются через почтовую систему. Насколько я могу судить, мой файл main.cf правильный, и postfix не должен действовать как открытое реле. Я не понимаю, как почта отправляется через систему. Кто-нибудь знает, как такое возможно?
Спам-сообщения, похоже, приходят с сотен разных доменов со всего мира. Большинство из них, похоже, указывают на серверы CentOS, на которых работают apache, mail и ssh. Единственное, что на них настроено, - это тестовая страница apache, которая поставляется с CentOS. Письма, которые отправляются через нашу систему, в основном отправляются на cornerstone-valuation.com (небольшой веб-сайт с формой отправки электронной почты, в которой нет кода ввода), хотя некоторые из них отправляются с [EMAIL CUSTOMER EMAIL] на одноразовую службу электронной почты (10minutemail.com), а остальное - с [УДАЛЕНО] @ cfm-valuation.com. Это наводит меня на мысль, что эти машины на самом деле являются частью ботнета, и что наша машина тоже.
Оттуда все становится еще более безумным. IP-адреса, которые рассылают спам через нашу систему на [УДАЛЕНО] @ cornerstone-valuation.com и drdrb.net, также рассылают спам многим нашим клиентам, использующим нашу систему. Может быть, все они, я не уверен. Это означает, что люди, делающие это, имеют доступ ко всем учетным записям электронной почты наших клиентов, которые расположены в / var / vmail / vmail1 (которые даже нельзя просмотреть, кроме как root), и распространили эту информацию по всему Интернету. Кто-нибудь здесь знает, как спамер получил эту информацию?
Вот примеры файлов журналов и огромный список доменов, которые, вероятно, указывают на капот серверов CentOS. Просто перейдите по ссылке ниже.
http://pastebin.com/raw.php?i=cJzjTZ46
Изменить: Другая проблема заключается в том, что A много сообщений, которые отправляются обратно на сервер, изначально не исходят от сервера. Они приходят с внешних серверов, которые используют [НАШ ПОЧТОВЫЙ ДОМЕН] в операторах EHLO.
Святая корова ... Никаких оскорблений не имелось в виду, но ЕДИНСТВЕННОЕ подходящее решение для этого - найти поставщика ИТ-услуг, который поможет вам, потому что, как вы сказали, вы не являетесь экспертом по почте, и ваш сервер действительно кажется скомпрометированным.
Для начала вы должны отключить пароль root от SSH (root не должен иметь права входить через SSH по паролю).
Я не знаю точной настройки и статуса обновления вашего сервера, но, возможно, в прошлом у вас была дыра в безопасности (возможно, Heartbleed?), Которая привела к этому.
Серьезно, не спрашивайте здесь и не пытайтесь исправить это самостоятельно, если вы действительно не знаете, что делаете. Найдите кого-нибудь, кто сможет вам помочь, так как это может нанести большой финансовый и репутационный ущерб вашей компании.
Хотя для начала было бы неплохо настроить ваш main.cf.
P.S .: Извините, что опубликовал это как ответ, у меня пока нет 50 репутации, чтобы комментировать.