Назад | Перейти на главную страницу

Mac-сервер заражен спам-агентом

У нас огромная проблема :( .. Наш Mac-сервер рассылает спам. Наш IP уже занесен в черный список примерно на десятке серверов (проверено с помощью http://mxtoolbox.com/). У нас есть другие компьютеры в тех же сетях, включая ПК. Что я уже сделал и обнаружил:

  1. Я обнаружил спам в «Приложение администратора сервера» -> Почта-> Обслуживание-> Очередь почты (прикрепленное изображение).
  2. Мне удалось получить одно из этих писем от / var / spool / postfix / папка. Вот ссылка - простой HTML-файл (http://www.sendspace.com/file/wbyjov).
  3. Я искал вредоносное ПО с помощью ClamXav на сервере - без помощи
  4. Я перепроверил компьютеры с помощью антивируса - без помощи

Кроме того, тот факт, что эти письма появляются в «Очереди писем», означает, что сервер Mac OS отправляет их сам, верно? Или возможно, что другой компьютер в той же сети отправит их?

Заранее спасибо за ответы !!!!

* Добавлены два скриншота журналов сервера: журналы SMTP и журналы IMAP *

* Добавлен скриншот журналов доступа. Я точно знаю, что учетную запись «fitkit.medicine» в настоящее время использовать нельзя. Означает ли это, что какое-то вредоносное ПО взломало несколько учетных записей на сервере? *

Спам-сообщения в очереди постфиксных сообщений могут означать несколько вещей:

  • Ваш почтовый сервер действует как открытый ретранслятор. Открытый ретранслятор означает, что ваш сервер принимает сообщения от любого клиента в Интернете и ретранслирует их дальше. Открытые ретрансляторы быстро обнаруживаются спамерами и помещаются в черный список. Чтобы узнать, действует ли ваш почтовый сервер как открытый ретранслятор, вы можете использовать этот сайт:

    http://www.unlocktheinbox.com/openrelaytest/

    Для обсуждения сервера OS X и открытых реле см. Также:

    https://discussions.apple.com/message/8036841#8036841

    Глядя на сообщение из очереди сообщений postfix, я вижу, что адрес клиента (IP-адрес SMTP-клиента, отправившего сообщение электронной почты для доставки) находится в диапазоне IP 31.129.xxx.xxx. Если этот диапазон IP-адресов принадлежит вам, это что-то в вашей сети.

  • В вашей сети есть компьютер, который был взломан и теперь действует как клиент ботнета для спама. В этом случае вам нужно определить, какой именно компьютер отправляет все эти сообщения, и выключить этот компьютер. Поскольку IP-адрес клиента является общедоступным, я предполагаю, что это не так.

  • Кто-то взломал учетную запись на вашем почтовом сервере (если вам требуется аутентификация SMTP) и использует эту учетную запись для отправки сообщений. Из прикрепленного вами сообщения я вижу, что спам-бот использует аутентификацию (sasl_username = test, sasl_method = LOGIN). Есть ли вероятность, что у вас есть «тестовая» учетная запись без пароля на этом сервере? Если это так, установите на него пароль или отключите учетную запись.

В OSX Server встроен реальный почтовый сервер. Вы должны видеть в журналах, с каких клиентов письма отправляются на сервер. Вот база знаний Apple, где находятся журналы.

https://support.apple.com/kb/PH8771

Очевидный ответ: если вы не используете почтовый сервер, выключите его.