Вопросы Теги

Постфиксный Почтовый сервер. Кто-то отправляет Письма от моего сервера

Я получаю Письма от своего собственного почтового сервера от пользователя, который принадлежит моему домену, но не перечислен в моем почтовом пользовательском дб. Вот журналы:

    4679 Mar 28 15:54:13 Bumblebee postfix/smtpd[29350]: connect from unknown[45.127.40.218]
4680 Mar 28 15:54:13 Bumblebee postfix/smtpd[29350]: C7B8A3FCB1EC: client=unknown[45.127.40.218]
4681 Mar 28 15:54:14 Bumblebee postfix/cleanup[29353]: C7B8A3FCB1EC: message-id=<aefdede6748149d6e1f3@mydomain.com>
4682 Mar 28 15:54:14 Bumblebee postfix/qmgr[14800]: C7B8A3FCB1EC: from=<nadiam1pa@mydomain.com>, size=5170, nrcpt=1 (queue active)
4683 Mar 28 15:54:14 Bumblebee postfix/smtpd[29350]: disconnect from unknown[45.127.40.218]
4684 Mar 28 15:54:15 Bumblebee postfix/smtp[29349]: connect to example.com[2606:2800:220:1:248:1893:25c8:1946]:25: Connection timed out
4685 Mar 28 15:54:15 Bumblebee postfix/smtpd[29363]: connect from localhost[127.0.0.1]
4686 Mar 28 15:54:15 Bumblebee postfix/smtpd[29363]: 875153FCB201: client=localhost[127.0.0.1]
4687 Mar 28 15:54:15 Bumblebee postfix/cleanup[29353]: 875153FCB201: message-id=<aefdede6748149d6e1f3@mydomain.com>
4688 Mar 28 15:54:15 Bumblebee postfix/smtpd[29363]: disconnect from localhost[127.0.0.1]
4689 Mar 28 15:54:15 Bumblebee postfix/qmgr[14800]: 875153FCB201: from=<nadiam1pa@mydomain.com>, size=5957, nrcpt=1 (queue active)
4690 Mar 28 15:54:15 Bumblebee amavis[28484]: (28484-11) Passed CLEAN {RelayedInbound}, [45.127.40.218]:54919 [45.127.40.218] <nadiam1pa@mydomain.com> -> <admin@mydomain.com>, Queue-ID: C7B8A3FCB1EC, Message-ID: <aefdede6748149d6e1f3@mydomain.com>, mail_id: 0r59-HfxT3Vu, Hits     : 5.282, size: 5170, queued_as: 875153FCB201, 1437 ms
4691 Mar 28 15:54:15 Bumblebee postfix/smtp[29355]: C7B8A3FCB1EC: to=<admin@mydomain.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.8, delays=0.36/0/0/1.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 875153FCB201)
4692 Mar 28 15:54:15 Bumblebee postfix/qmgr[14800]: C7B8A3FCB1EC: removed
4693 Mar 28 15:54:15 Bumblebee postfix/lmtp[29364]: 875153FCB201: to=<admin@mydomain.com>, relay=mydomain.com[private/dovecot-lmtp], delay=0.17, delays=0.06/0/0/0.1, dsn=2.0.0, status=sent (250 2.0.0 <admin@mydomain.com> 2Hz6JIc3+Va1cgAA4FbCCg Saved)
4694 Mar 28 15:54:15 Bumblebee postfix/qmgr[14800]: 875153FCB201: removed

Нет никакого "nadiam1pa" пользователя, я несколько раз проверял, но так или иначе этот парень использует мой почтовый сервер для поставки писем с подозрительными вложениями другим почтовым пользователям на моем сервере. Я не знаю, где запустить в, для фиксации этой проблемы безопасности. Кто-то может выручить меня с этим?

//редактирование: Вот почтовый заголовок:

X-Spam-Level: *****
Return-Path: <nadiam1pa@mydomain.com>
Mime-Version: 1.0
Thread-Index: AdCh6FNHn/LWax1JSTSc7XL2c2t2TQ==
X-Virus-Scanned: Debian amavisd-new at mydomain.com
Message-Id: <aefdede6748149d6e1f3@mydomain.com>
X-Mailer: Microsoft Outlook 14.0
X-Spam-Score: 5.282
X-Spam-Flag: NO
X-Spam-Status: No, score=5.282 tagged_above=2 required=6.31 tests=[BAYES_20=-0.001, DOS_OUTLOOK_TO_MX=2.845, HELO_MISC_IP=0.25, PYZOR_CHECK=1.392, RDNS_NONE=0.793, SPF_FAIL=0.001, TO_EQ_FM_DOM_SPF_FAIL=0.001, TVD_SPACE_RATIO=0.001] autolearn=no autolearn_force=no
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0042_01D0A1F9.171F24B0"
Delivered-To: <admin@mydomain.com>
Content-Language: en-US
Received: from mydomain.com by Ubuntu-1310-saucy-64-minimal (Dovecot) with LMTP id 2Hz6JIc3+Va1cgAA4FbCCg for <admin@mydomain.com>; Mon, 28 Mar 2016 15:54:15 +0200
Received: from localhost (localhost [127.0.0.1]) by mydomain.com (Postfix) with ESMTP id 875153FCB201 for <admin@mydomain.com>; Mon, 28 Mar 2016 15:54:15 +0200 (CEST)
Received: from mydomain.com ([127.0.0.1]) by localhost (mail.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 0r59-HfxT3Vu for <admin@mydomain.com>; Mon, 28 Mar 2016 15:54:14 +0200 (CEST)
Received: from [45.127.40.218] (unknown [45.127.40.218]) by mydomain.com (Postfix) with ESMTP id C7B8A3FCB1EC for <admin@mydomain.com>; Mon, 28 Mar 2016 15:54:13 +0200 (CEST)
Document (1).pdf
2
задан 29 March 2016 в 16:15

2 ответа

Ваш почтовый сервер ничего не отправляет. Тот адрес имитируется. При проверке заголовков из одного из подозрительных сообщений Вы будете видеть IP-адрес отправителя. Возможности являются каждым сообщением, которое Вы получили, будет иметь отличающийся IP-адрес все же.

2
ответ дан 2 December 2019 в 04:58

У меня была та же проблема. Существует имитация, которая посылает электронное письмо с именем владельца учетной записи с вложением, которое содержит вредоносное программное обеспечение (файл сценария Java), который программируется, чтобы дешифровать данные или повредить положение, большая часть антивируса не обнаруживает вирус,

Решение

, решение состоит в том, чтобы защитить исходящую почту с DKIM

-1
ответ дан 2 December 2019 в 04:58

Другие вопросы по тегам:

Похожие вопросы: