Назад | Перейти на главную страницу

Кто-то отправляет электронную почту через мой Postfix / Dove

ответы на этот вопрос можно было найти много раз. Но я не могу найти тот, который подходит для моих задач, поэтому начнем:

Я без проблем запускал почтовый сервер на своей машине centos более четырех месяцев, но мне пришлось удалить и переустановить postfix / dovecot, стирая их конфигурации. Теперь, после настройки, я получаю в среднем 43 сообщения Неизвестного отправителя, которые каждый час сбрасывают в мой почтовый ящик. Каждый из них содержит сообщения о мошенничестве / сексе с возможными вирусными нагрузками в определенном количестве. Прежде чем добавлять какие-либо конфигурации и т. Д., Может ли кто-нибудь дать общее представление о том, в чем проблема? Я не использую открытое реле, по крайней мере, я думаю, что не использую его. Проверено через mxtoolbox.com и т. Д. У меня есть Clamav на машине с тех пор, как я его получил, поэтому я с уверенностью исключаю любой компромисс системы. Но меня беспокоит то, что я получаю сотни таких сообщений в моем файле / var / log / maillog каждую минуту:

Кто-нибудь имеет хоть какое-то представление о том, что может быть причиной этого?

  1. если электронные письма отправляются законным пользователем / учетными записями, некоторые из них могли стать жертвами вредоносного ПО, которое использует их почтовые клиенты для отправки этих сообщений, есть ли у вас какой-либо способ узнать их текущую ОС / почтовый клиент? Журналы могут помочь вам в этом
  2. Если вы не используете SSL / TLS для своих IMAP-соединений, учетные данные IMAP могли быть захвачены многими возможными способами (анализ Wi-Fi, локальное вредоносное ПО, анализ сети у вашего VPS-провайдера и т. д.) кем-то, и они повторно используются для их отправки нежелательная исходящая электронная почта
  3. Clamav проверяет только содержимое входящей / исходящей электронной почты, но не выполняет никаких проверок на сервере на наличие руткитов или троянов, что тоже может быть причиной, ваш сервер может быть взломан, и оттуда может происходить что угодно.

Рекомендуется смягчение:

  • настроить новый почтовый сервер с поддержкой SSL / TLS для вашего IMAP
  • перенести только самые важные аккаунты
  • изменить учетные данные пароля для учетных записей, где у вас были проблемы
  • перенести домены и указатели DNS, где вы используете почту (уведомить пользователей?)
  • включить почтовые службы с более высоким уровнем ведения журнала для того, что вы используете сейчас, и внимательно следите за отправкой нежелательной почты

скорее всего у вас открытый почтовый сервер с ретрансляцией, вы можете проверить здесь http://mxtoolbox.com/diagnostic.aspx

открытый ретранслятор означает, что любой может беспрепятственно использовать ваш почтовый обмен. вам нужно будет посмотреть документацию по защите вашего почтового сервера.