Я использую ubuntu с postfix / dovecot для электронной почты. Теперь у меня проблема, что письма отправляются неавторизованным пользователем, несмотря на то, что у меня нет открытого реле.
Мой mail.log содержит такие строки:
Mar 9 14:12:00 my-host postfix/pickup[10204]: 670148A00C6: uid=10002 from=<spam@sender.com>
Mar 9 14:12:00 my-host postfix/cleanup[12610]: 670148A00C6: message-id=<c94dd1e890114811b2f62c221380c5da@my-host.com>
Mar 9 14:12:00 my-host postfix/qmgr[9110]: 670148A00C6: from=<spam@sender.com>, size=780, nrcpt=1 (queue active)
Mar 9 14:12:01 my-host postfix/smtp[12594]: 670148A00C6: to=<victim@mail.ch>, relay=mx1.data.ch[212.212.212.212]:25, delay=1.1, delays=0.1/0/0.55/0.49, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 6F6A0200C0)
Mar 9 14:12:01 my-host postfix/qmgr[9110]: 670148A00C6: removed
Я думал, что моя установка постфикса верна:
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org
Откуда приходит почта? Я не вижу логина от спамера, значит, это должен быть какой-то скрипт на хосте. Я действительно хотел бы найти источник, но не знаю как.
В пикап (8) демон ожидает намеков на то, что новое письмо было отправлено в maildrop каталог и подает его в уборка (8) демон. Файлы с неправильным форматированием удаляются без уведомления создателя.
Сообщения, отправленные через Postfix sendmail (1) команда, но еще не внесенная в основную очередь Postfix пикап (8) службы, ожидают обработки в очереди "maildrop".
Следовательно, первая строка сообщает, что почта приходит из локального источника через Sendmail:
Mar 9 14:12:00 my-host postfix/pickup[10204]: 670148A00C6: uid=10002 from=<spam@sender.com>
Это также говорит о том, что исходный пользователь имеет UID 10002. Найдите скрипты, запущенные от имени этого пользователя. Сначала я бы сравнил журналы веб-сервера для пользователя, то есть VirtualHosts, связанные с этой учетной записью - при и непосредственно перед Mar 9 14:12:00. Это может выявить HTTP-запрос (скорее всего, POST request), который использовался для отправки этого электронного письма.