Постфикс от = <> я был взломан спаммером?
mailq показывает набор тайм-аутов соединения в задержанной очереди к адресам тот странный взгляд.
D1115234D9 3037 Thu Feb 25 11:01:38 MAILER-DAEMON
(connect to mail.suchgt.top[63.143.32.55]:25: Connection timed out)
Yacht.Rentals.Specials@wqkuy.suchgt.top
D7E46234B6 2992 Thu Feb 25 15:16:42 MAILER-DAEMON
(connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Diabetes-Video@dhbnv.bravepb.top
F10E2230E3 3003 Thu Feb 25 06:55:39 MAILER-DAEMON
(connect to mail.refillu.top[199.115.97.43]:25: Connection timed out)
Rachael-Ray@qhjkk.refillu.top
F34F223661 3219 Thu Feb 25 12:03:30 MAILER-DAEMON
(connect to nlwe9u1qq.manorby.download[8.41.46.184]:25: Connection refused)
PrivateJetQuote@manorby.download
F3C0923133 3282 Thu Feb 25 06:55:14 MAILER-DAEMON
(lost connection with eschatological.gzgi.download[209.219.189.55] while receiving the initial server greeting)
Cloud_Solution_Providers@gzgi.download
-- 969 Kbytes in 266 Requests.
Когда я разыскиваю один из них идентификатор сообщения, чтобы попытаться видеть, кто отправляет сообщение, я добираюсь от = <>
grep "D7E46234B6" mail.log
Feb 25 15:16:42 c postfix/smtpd[11744]: D7E46234B6: client=localhost.localdomain[127.0.0.1]
Feb 25 15:16:42 c postfix/cleanup[11733]: D7E46234B6: message-id=<dovecot-1456431382-649365-0@c.me.go>
Feb 25 15:16:42 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:16:42 c amavis[11668]: (11668-01) Passed CLEAN {RelayedOpenRelay}, <> -> <Diabetes-Video@dhbnv.bravepb.top>, Message-ID: <dovecot-1456431382-649365-0@c.me.go>, mail_id: zbne-aplX4iS, Hits: 0.898, size: 2544, queued_as: D7E46234B6, 20276 ms
Feb 25 15:16:42 c postfix/smtp[11739]: A345D23687: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=127.0.0.1[127.0.0.1]:10024, delay=20, delays=0.01/0/0.06/20, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as D7E46234B6)
Feb 25 15:16:43 c postfix/smtp[11763]: D7E46234B6: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=none, delay=0.24, delays=0.02/0/0.21/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection refused)
Feb 25 15:26:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:26:58 c postfix/smtp[12339]: D7E46234B6: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=none, delay=615, delays=585/0.23/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 15:41:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:41:57 c postfix/smtp[12959]: D7E46234B6: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=none, delay=1515, delays=1484/0.12/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 16:11:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 16:11:58 c postfix/smtp[14279]: D7E46234B6: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=none, delay=3316, delays=3284/0.11/31/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 17:11:28 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 17:11:58 c postfix/smtp[16763]: D7E46234B6: to=<Diabetes-Video@dhbnv.bravepb.top>, relay=none, delay=6915, delays=6885/0.1/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Вопрос: существует ли способ сказать, кто пытается послать эти поддельные электронные письма, таким образом, я могу остановить их? Это нападение похоже на использование из сценария PHP, открытого реле, взломанного почтового ящика или другого?
После того, как мое исследование перестало работать, я не уверен, где повернуться для моего следующего диагностического шага.Спасибо за помощь.
1 ответ
Постфикс не имеет некоторого cheatsheet как Exim "exim-Mvh или exim-Mvb". Однако у них действительно есть что-то как http://www.postfix.org/BUILTIN_FILTER_README.html
, я верю тому, что у Вас есть просто опыт, "почтовый спуфинг". Для проверки ни один не авторизовывает, не может послать электронное письмо через домен, добавить Запись SPF на DNS и DKIM на сервере.