В настоящее время кажется, что кто-то каким-то образом использует мой сервер для рассылки спама, поскольку я вижу сотни писем с отказами от других почтовых служб (таких как gmail), в которых говорится, что сообщение не может быть доставлено «вернуться отправителю» и отправлено на mydomain.com.
После расследования эти электронные письма приходят через RELAY с удаленного IP, а не с самого сервера (например, вирус и т. Д.)
Могу ли я что-нибудь сделать, чтобы предотвратить использование моего почтового сервера (exim) для ретрансляции?
У меня есть LFD на моем сервере, который отслеживает электронные письма, отправленные реле, и отправляет мне следующее предупреждение. У меня LFD настроен на блокировку отправителя, если с этого адреса приходит более 200.
Пример предупреждения LFD:
Subject: lfd on tent.myotherdomain.com: RELAY Alert for 187.23.175.140 (BR/Brazil/bb17af8c.virtua.com.br)
To: root@myotherdomain.com
Time: Wed Dec 5 14:25:46 2012 +0000
Type: RELAY, Remote IP - 187.23.175.140 (BR/Brazil/bb17af8c.virtua.com.br)
Count: 203 emails relayed
Blocked: Temporary Block
Sample of the first 10 emails:
2012-12-05 14:08:44 1TgFeV-0006I1-7b <= tenf@mydomain.com H=(Smkt) [187.23.175.140] P=esmtp S=339 T="smtp.mydomain.com:25" from <tenf@mydomain.com> for teste_pop3@hotmail.com
2012-12-05 14:08:44 1TgFeV-0006I2-Kn <= zbcvyj@mydomain.com H=(Smkt) [187.23.175.140] P=esmtp S=343 T="mail.mydomain.com:25" from <zbcvyj@mydomain.com> for teste_pop3@hotmail.com
2012-12-05 14:08:46 1TgFeX-0006I1-DR <= uwvdfg0s@mydomain.com H=(Smkt) [187.23.175.140] P=esmtp S=351 T="smtp.mydomain.com:25" from <uwvdfg0s@mydomain.com> for teste1.pop3@yahoo.com.br
2012-12-05 14:08:46 1TgFeX-0006I2-Lo <= qstxd1@mydomain.com H=(Smkt) [187.23.175.140] P=esmtp S=347 T="mail.mydomain.com:25" from <qstxd1@mydomain.com> for teste1.pop3@yahoo.com.br
etc...
Пример отправляемого сообщения: (похоже, отправлено с моего личного домена)
Return-path: <hhfart6p@mydomain.com>
Received: from [187.23.175.140] (helo=Smkt)
by tent.myotherdomain.com with esmtp (Exim 4.72)
(envelope-from <hhfart6p@mydomain.com>)
id 1TgFut-0006k5-1K; Wed, 05 Dec 2012 14:25:40 +0000
From: "TV Digital no PC" <hhfart6p@mydomain.com>
Subject: CANAIS ADULTOS em HD, FILMES, FUTEBOL
To: matoselias@terra.com.br
Content-Type: text/plain
Reply-To: fabiana_dietrich1001@yahoo.com.br
Date: Wed, 5 Dec 2012 12:25:36 -0200
Olá!
Já imaginou assistir em seu computador, notebook, tablet, etc... a inúmeros canais de televisão, inclusive os fechados?
Isso tudo usando apenas a Internet? E o melhor: Sem pagar assinatura Mensal!!!
Algumas vantagens:
- Com conexão banda larga, você pode assistir de qualquer computador;
- Não precisa instalar nenhum programa;
- Você assiste a canais de TV e Rádio do mundo todo;
- Filmes, Séries, Esportes, Jogos de Futebol que só passam na TV fechada, e muito mais!
Пример отправки отклонения: (в мой личный домен)
---------- Forwarded message ----------
From: Mail Delivery System
Date: Wednesday, December 5, 2012
Subject: Mail delivery failed: returning message to sender
To: hhfart6p@mydomain.com
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
someone@gmail.com
SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.67.26]:
550-5.7.1 [78.129.132.155 7] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked. Please visit
550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for
550 5.7.1 more information. d60si3060066wej.11
someoneelse@gmail.com
SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.67.26]:
550-5.7.1 [78.129.132.155 7] Our system has detected that this message is
550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
550-5.7.1 this message has been blocked. Please visit
550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for
550 5.7.1 more information. d60si3060066wej.11
-
Exim Conf
addresslist whitelist_senders = lsearch;/etc/virtual/whitelist_senders
addresslist blacklist_senders = lsearch;/etc/virtual/blacklist_senders
domainlist blacklist_domains = lsearch;/etc/virtual/blacklist_domains
domainlist whitelist_domains = lsearch;/etc/virtual/whitelist_domains
domainlist local_domains = lsearch;/etc/virtual/domains
domainlist relay_domains = lsearch;/etc/virtual/domains : localhost
domainlist use_rbl_domains = lsearch;/etc/virtual/use_rbl_domains
hostlist auth_relay_hosts = *
hostlist bad_sender_hosts = lsearch;/etc/virtual/bad_sender_hosts
hostlist bad_sender_hosts_ip = net-lsearch;/etc/virtual/bad_sender_hosts
hostlist relay_hosts = net-lsearch;/etc/virtual/pophosts
hostlist whitelist_hosts = lsearch;/etc/virtual/whitelist_hosts
hostlist whitelist_hosts_ip = net-lsearch;/etc/virtual/whitelist_hosts
Пожалуйста, откройте ваш файл конфигурации Exim (скорее всего, это /etc/exim/exim.conf) и найдите следующую директиву:
hostlist relay_from_hosts = 127.0.0.1
Он должен быть установлен на 127.0.0.1, чтобы ваш почтовый сервер не пересылал электронные письма с других хостов. Возможно, у вас там есть внешний IP-адрес.