Я думаю, что наш почтовый сервер был взломан. Сегодня утром, когда я проверил, было 1298 отклоненных писем от Yahoo. с этим сообщением Messages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Письма доставляются в Gmail. Я новичок в этом, может ли кто-нибудь предложить мне, с чего мне начать поиск? Мы используем Postfix и dovecot на Ubuntu Server 10.04. И я следил за этим руководством здесь https://help.ubuntu.com/community/MailServer
ПЕРВЫЙ - проверьте свою систему на наличие признаков руткита как задокументировано здесь, Вот или Вот. Лично мне нравится chkrootkit как быстрая проверка.
1298 неудачных сообщений может быть много, в зависимости от вашего обычного объема. Вы должны проверить сообщения о недоставке, чтобы увидеть, выглядят ли они как обычные сообщения из вашей среды. Если они не знакомы, значит, вы были скомпрометированы.
Убирайся! Если это означает перестройку, отслеживание сбойных процессов, восстановление из резервной копии и т. Д. Вам нужно будет исправить ситуацию, вызвавшую блокировку.
Я бы также рекомендовал делать именно то, что говорится в сообщении об ошибке. Оттуда перейдите к:
http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html
Yahoo заявляет:
Когда вы видите это сообщение об ошибке в журналах SMTP (где x.x.x.x - ваш IP-адрес), это связано с одной из следующих причин: мы наблюдаем необычный трафик с вашего IP-адреса. Электронная почта с вашего почтового сервера вызывает жалобы от Yahoo! Почтовые пользователи. Обратите внимание, что это обычно временная ситуация, и мы рекомендуем вам повторить попытку отправки электронной почты на наши серверы примерно через четыре часа после появления этого сообщения об ошибке. Если вы видите эту ошибку постоянно в течение 48 часов, заполните эта форма чтобы предоставить нам достаточно информации, чтобы мы могли активно заниматься проблемой.
Посетить форма, указанная в предупреждении и работайте над разблокировкой.
Тем не менее, установите ожидания для своих пользователей. Это может занять некоторое время.
Я бы начал смотреть ваши журналы postfix. Ищите увеличенный поток почты, превышающий то, что вы видите в своих журналах в прошлом. Я бы специально искал почту, идущую на Yahoo, на случай, если это может быть что-то конкретное для них.
Если вы действительно видите увеличение потока почты, просмотрите журналы, чтобы узнать, что это за увеличение. Это тонны писем одному пользователю (например, запускающий сценарий, отправляющий автоматические сообщения) или большому количеству людей (спам)? Как только вы обнаружите ненормальную почту, просто отследите ее и найдите, откуда она пришла.
Вы также можете запустить qshape deferred чтобы узнать, есть ли у вас почта в очереди для Yahoo (что вам и нужно, поскольку вы получаете код ответа 4xx). Если вы это сделаете, вы можете просматривать сообщения в / var / spool / postfix / deferred (используйте postcat для просмотра сообщений).
Также возможно, что это могло быть просто ничто. Если ваш почтовый сервер с самого начала не отправляет много сообщений, то даже небольшое, но вполне обоснованное увеличение могло бы привести к снижению спам-порогов yahoo.
Предоставленное вами сообщение о блокировке обычно исчезает через несколько часов, если проблема, из-за которой вы были заблокированы, была решена.
Может быть, вы были скомпрометированы. Однако перед этим предположением несколько вопросов:
1) Вы отправляете массовые рассылки с этого сервера? Если да, то получатели Yahoo могли пометить вас как спам и поэтому вам отказывают.
2) Вы настроены как открытое реле? Другими словами, можете ли вы ретранслировать почту SMTP в домены, отличные от вашего, с машин вне вашей сети? (Тестировать, используйте эти инструкции для отправки почты на учетную запись Gmail или что-то подобное). Если вы используете открытый ретранслятор, возможно, спамеры пересылают почту через ваш сервер, и вы получаете жалобы на спам от Yahoo.
У меня была аналогичная проблема с Trend Micro. Может ваш публичный адрес в черном списке? Если ваш пользователь пользуется Интернетом через этот IP-адрес, возможно, некоторые из них используют торрент или другое программное обеспечение p2p.