Назад | Перейти на главную страницу

Exim Email взломан или Backscatter атака

Я использовал Exim Server для клиента, сегодня утром я проснулся и получил около 100 откатов от Hotmail со следующим:

Undelivered Mail Returned to Sender

Поиск в Google. У меня возникли проблемы с обратным рассеянием, однако я не уверен, почему мой почтовый сервер будет отображать электронную почту в исходящей очереди, если это так.

[root@vesta msglog]# exim -bp
71m  2.5K 1ZC6Ap-0005KE-Un <hello@stevedomain.com>
          MariseYFaria@
        D heliogalvao@
        D paulakunath@
        D eve_junkera@
        D fabiobt@
        D leidegis@
        D jarbasbueno@
        D heluquisa2004@
        D guig.soares@
        D fhr1980@
        D sirnagovino@

Тема письма выглядит как спам для вредоносных сайтов.

Заголовки следующие:

 [root@vesta msglog]# exim -Mvh 1ZC6Ap-0005KE-Un
    1ZC6Ap-0005KE-Un-H
    exim 93 93
    <hello@stevedomain.com>
    1436188263 0
    -helo_name stevedomain.com
    -host_address 46.177.21.185.51075
    -host_name ppp046177021185.access.hol.gr
    -host_auth dovecot_plain
    -interface_address 109.X.X.X.69.587
    -received_protocol esmtpa
    -body_linecount 41
    -max_received_linelength 86
    -auth_id hello@stevedomain.com
    YY heliogalvao@
    YY fabiobt@
    NN eve_junkera@
    YN guig.soares@
    NN fhr1980@
    YY paulakunath@
    YY jarbasbueno@
    NN heluquisa2004@
    NN leidegis@
    NN sirnagovino@
    11
    MariseYFaria@
    heliogalvao@
    paulakunath@
    eve_junkera@
    fabiobt@
    leidegis@
    jarbasbueno@
    heluquisa2004@
    guig.soares@
    fhr1980@
    sirnagovino@

    226P Received: from ppp046177021185.access.hol.gr ([46.177.21.185] helo=stevedomain.com)
            by vesta.slidomain.co.uk with esmtpa (Exim 4.72)
            (envelope-from <hello@stevedomain.com>)
            id 1ZC6Ap-0005KE-Un; Mon, 06 Jul 2015 14:11:04 +0100
    063I Message-ID: <A2D09F0BC1593F1EE577FBA5B2869F3B@stevedomain.com>
    044F From: "veribenassi" <hello@stevedomain.com>
    471T To: "Marise Yaine" <MariseYFaria@>,
     "Helinho" <heliogalvao@>,
     "Kunath" <paulakunath@>, "Evelyn" <eve_junkera@>,
     "Fabio Junqueira" <fabiobt@uol.com.br>, "Gisleide" <leidegis@>,
     "Jarbas" <jarbasbueno@>,
     "iso 8859 1 B SGVs9A" <heluquisa2004@>,
     "Guilherme gmail" <guig.soares@>,
     "Fernando Henrique" <fhr1980@>,
     "Janaina Sirna Govino" <sirnagovino@>
    055  Subject: =?ISO-8859-1?Q?6=2F26=2F2015_2=3A10=3A57_PM?=
    038  Date: Thu, 26 Jun 2015 02:10:57 +0000
    018  MIME-Version: 1.0
    091  Content-Type: multipart/alternative;
     boundary="----=_NextPart_000_5B24_83A7AFF1.337DC5C4"
    014  X-Priority: 3
    026  X-MSMail-Priority: Normal
    019  Importance: Normal
    052  X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
    056  X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110

Как я могу узнать, что происходит с моим почтовым сервером? Я не вижу никакой записи в поле, кроме обычного brute force ssh, который блокирует Fail2Ban.