Неизвестный адрес электронной почты, отправка электронной почты с моего хоста
У меня есть сервер CentOS 6 с DirectAdmin в качестве панели управления и Exim в качестве почтового сервера. В файлах каталога использования (/ etc / virtual / usage /) я вижу, что некоторые электронные письма были отправлены от пользователей, которых нет в моих почтовых пользователях. IP-адрес 114.222.66.5 не принадлежит серверу. Вот содержимое файла об отправке электронных писем:
716=type=email&email=beverlylau@domain.com&method=outgoing&id=1jYFCt-0000sT-OQ&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229565&message_size=716&local_part=janis.shampay&domain=reed.edu&path=/
677=type=email&email=andyfield@domain.com&method=outgoing&id=1jYFCw-0000sT-EC&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229566&message_size=677&local_part=hal&domain=miamihal.com&path=/
693=type=email&email=candyplk@domain.com&method=outgoing&id=1jYFCx-0000sT-CX&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229567&message_size=693&local_part=lohriner&domain=gmail.com&path=/
728=type=email&email=anwilknson@domain.com&method=outgoing&id=1jYFCy-0000sT-AD&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229569&message_size=728&local_part=donna.triboletti&domain=gmail.com&path=/
726=type=email&email=ccrosslnd@domain.com&method=outgoing&id=1jYFCz-0000sT-LF&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229570&message_size=726&local_part=jlljdy&domain=comcast.net&path=/
706=type=email&email=ccolbystreeter@domain.com&method=outgoing&id=1jYFD0-0000sT-I0&authenticated_id=realuser@domain.com&sender_host_address=114.222.66.5&log_time=1589229571&message_size=706&local_part=vocals1&domain=live.com&path=/
12840=type=email&email=alireza@domain.com&method=incoming&log_time=1589233327&id=1jYGBb-0002mm-Ai&path=/
15734=type=email&email=info@domain.ir&method=incoming&log_time=1589254173&id=1jYLbl-0003Ed-Jw&path=/
Кто-нибудь может сказать мне, что происходит и как я могу это предотвратить?
Похоже, что пароль realuser@domain.com просочился. Кто-то просто зашел на сервер и отправил электронное письмо. Заголовки электронного письма представляют собой обычный текст, поэтому Sender столбец (который, как я предполагаю, происходит от From: header) является произвольным и, следовательно, ненадежным. В Authentication столбец содержит аутентифицированного пользователя, поэтому этим пользователям нужно изменить их пароль.