Назад | Перейти на главную страницу

Брутфорс Postfix отправляет электронную почту из несуществующего почтового ящика

Вот уже несколько дней я борюсь с массовой отправкой писем с моего сервера на внешние письма.

Я решил получать сообщения об ошибках в своем Gmail и заметил в спаме, что на меня вторгаются электронные письма с заголовками «Недоставленное письмо, возвращенное отправителю» и «Постоянная ошибка доставки».

Анализируя содержание электронных писем «Недоставленные письма возвращены», которые встречаются чаще всего, около 400 в день, я обнаружил:

Сожалею, что вынужден сообщить вам, что ваше сообщение не может быть доставлено одному или нескольким получателям. Он прикреплен ниже.

Для дальнейшей помощи, пожалуйста отправьте письмо в почтувую службу.

Если вы это сделаете, включите этот отчет о проблеме. Вы можете удалить свой собственный текст из прикрепленного возвращенного сообщения.

Почтовая система

: host mx-eu.mail.am0.yahoodns.net [188.125.72.73] сказал: 421 4.7.0 [TSS04] Сообщения от 209.97.135.69 временно отложены из-за жалоб пользователей - 4.16.55.1; видеть https://help.yahoo.com/kb/postmaster/SLN3434.html (в ответ на команду MAIL FROM)

: host mx-eu.mail.am0.yahoodns.net [188.125.72.73] сказал: 421 4.7.0 [TSS04] Сообщения от 209.97.135.69 временно отложены из-за жалоб пользователей - 4.16.55.1; видеть https://help.yahoo.com/kb/postmaster/SLN3434.html (в ответ на команду MAIL FROM)

Проблема в том, что я заметил, что они отправляют электронные письма с адреса staff@mydomain.it, проблема в том, что у меня нет электронной почты под названием Staff! Ты хоть представляешь, как я могу остановить эту (я полагаю) атаку методом грубой силы? получают ли пользователи эти спам-сообщения, даже если почтовый ящик не существует?

У меня есть VPS Digitalocean с Plesk Obsidian 18.0.24, и я уже настроил Fail2Ban с Jail plesk-postfix и postfix-sasl.

У меня действительно закончились идеи ...

Просмотрите журналы своего почтового сервера, чтобы узнать, можете ли вы найти какие-либо исходящие сообщения, приходящие с «служебного» адреса электронной почты. Вы упомянули, что видите отказы, но видите ли вы какие-либо исходящие сообщения в своих журналах?

Если нет, то, возможно, кто-то подделывает ваш сервер, поэтому электронное письмо, пришедшее «от» staff@mydomain.it, на самом деле приходит с другого сервера. Если вы еще этого не сделали, убедитесь, что у вашего домена есть действующая запись SPF. Вы также можете изучить возможность включения DKIM.

Во-вторых, убедитесь, что ваш сервер не настроен как Открытое реле. В Plesk вы можете проверить это, зайдя в панель администратора, затем Инструменты и настройки> Настройки почтового сервера и проверив настройку ретрансляции в настройках почты на уровне сервера. Следует установить, что требуется авторизация. (См. Предыдущую ссылку).

В-третьих, возможно, сообщения с «служебного» адреса электронной почты на самом деле отправляются с веб-сайта, размещенного на сервере Plesk? Возможно, кто-то / что-то (бот) снова и снова отправляет сообщения через контактную форму веб-сайта.

Удачи.