Мой почтовый сервер, похоже, рассылает спам, и я пытаюсь найти причину

801
Jinx13

У меня есть почтовый сервер, на котором размещены Amazon AWS.

Я устанавливаю сервер на Ubuntu 14.04 с postfix & dovecot.

Я продолжаю получать письма от системы доставки почты, в которых говорится, что письма возвращаются отправителю, которого я не отправлял.

У меня есть настройка 2fa на моем провайдере домена и на моем сервере ec2, и для входа в систему у меня есть только ssh-порт, настроенный для открытия определенного IP-адреса. Также у меня есть настройка входа в систему на основе ключей, так что только владелец ключа может получить доступ к серверу, если он зарегистрирован по определенному IP-адресу и входит только с одним именем пользователя, которое не является стандартным.

Глядя на мой системный журнал, я вынул небольшой раздел, который касается меня

Dec 7 21:25:16 ip-myip postfix/smtpd[14438]: Anonymous TLS connection established from dazzle.jagoanhosting.com[103.27.206.196]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Dec 7 21:25:17 ip-myip postfix/smtp[14490]: connect to mx1.comcast.net[96.114.157.80]:25: Connection timed out Dec 7 21:25:17 ip-ip-myip postfix/smtp[14490]: connect to mx1.comcast.net[2001:558:fe16:1b::15]:25: Network is unreachable Dec 7 21:25:18 ip-ip-myip postfix/smtpd[14438]: 0E5EB2614C: client=dazzle.jagoanhosting.com[103.27.206.196], sasl_method=LOGIN, sasl_username=support@myserver.com Dec 7 21:25:18 ip-ip-myip postfix/cleanup[14441]: 0E5EB2614C: message-id=<81233e02b1004e7178eab89587879deb@www.thamesjakarta.com> Dec 7 21:25:18 ip-ip-myip postfix/qmgr[1176]: 0E5EB2614C: from=<support@phoneunlockserver.com>, size=1734, nrcpt=1 (queue active) Dec 7 21:25:19 ip-ip-myip postfix/smtpd[14438]: disconnect from dazzle.jagoanhosting.com[103.27.206.196] Dec 7 21:25:22 ip-ip-myip postfix/smtp[14444]: connect to mta7.am0.yahoodns.net[98.136.216.25]:25: Connection timed out Dec 7 21:25:22 ip-ip-myip postfix/smtp[14444]: 443D526141: to=<malston73@yahoo.com>, relay=none, delay=151, delays=0.68/0/150/0, dsn=4.4.1, status=deferred (connect to mta7.am0.yahoodns.net[98.136.216.25]:25: Connection timed out) 

Как я уже сказал, это небольшой раздел, и есть множество строк, просто так

То, что меня сначала смутило, это то, что на все возвращенные электронные письма я получал ссылки на электронные адреса, с которых я когда-то получал почту, и я не могу поверить, что это совпадение.

Мне интересно, есть ли кто-нибудь, кто может помочь мне разобраться в проблеме или, по крайней мере, указать мне правильное направление

Обновить..

Последнее возвращенное письмо, которое я имею, говорит

From: Mail Delivery System Mailer-Daemon@server13.larsa-hosting.com To: support@myserver.com Subject: Mail delivery failed: returning message to sender Body: This message was created automatically by mail delivery software.   A message that you sent could not be delivered to one or more of its  recipients. This is a permanent error. The following address(es) failed:     TomTom-GB@email.tomtommailer.com      Domain larsa.nl has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.    seomega01@gmail.com      Domain larsa.nl has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.    codes@gsmfather.com      Domain larsa.nl has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.    ramya.a@zohocorp.com      Domain larsa.nl has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.    announcements-bounces@owncloud.org      Domain larsa.nl has exceeded the max defers and failures per hour (5/5 (100%)) allowed. Message discarded.  

Теперь с адреса from, который предположил бы, что в этом нет ничего плохого, и письмо фактически не отправляется с моего сервера, но отправленные по почте адреса довольно специфичны для почтовых адресов, с которых я бы получил. Это довольно случайно, что кто-то сможет угадать по крайней мере 4 из них адресов случайным образом

РЕДАКТИРОВАТЬ 2

Я только что проверил postqueue -p и вернул это. Я включил только те из последнего дня, но там есть много

ECE6A2EBD6 1449 Sun Dec 11 17:16:39 support@myserver.com (connect to mx.ono.com[62.42.230.22]:25: Connection timed out) pacofj@ono.com  E9A7E2CDBC 1625 Sun Dec 11 04:40:35 support@myserver.com (connect to mx01.1and1.es[217.72.192.67]:25: Connection timed out) moncho@ventairdistribucion.com  EE2532CF3A 1604 Sun Dec 11 00:00:10 support@myserver.com (delivery temporarily suspended: connect to mx3.hotmail.com[65.55.37.104]:25: Connection timed out) abobaker1212@hotmail.com  EE15D2C1B6 1474 Sat Dec 10 02:57:23 support@myserver.com (delivery temporarily suspended: connect to mx3.hotmail.com[104.44.194.235]:25: Connection timed out) roguerito@hotmail.com  -- 67941 Kbytes in 27611 Requests. 

Может ли это быть реальная электронная почта, отправляемая с моего сервера?

Я удалил всю почту из почтовой очереди, используя postsuper -d ALL

Спасибо

1
Я не вижу доказательств того, что кто-то вошел в вашу систему. Соединение было установлено и отключено в течение 3 секунд, это соединение, в течение этих 3 секунд не происходила аутентификация пользователя. Убедитесь, что вы используете текущую версию всех пакетов. Ramhound 7 лет назад 1
Могу ли я проверить что-нибудь еще, чтобы посылать спам другим способом? Jinx13 7 лет назад 0
Это произойдет, если кто-то отправляет поддельные электронные письма * с другого почтового сервера *, на котором ваш почтовый сервер находится в адресе от. Andrew Morton 7 лет назад 0
Спасибо, есть ли способ остановить это или убедиться, что это действительно так? Jinx13 7 лет назад 0
@ Jinx13 Вы не можете остановить это, если не сможете найти ответственных лиц и с предубеждением объяснить, что не цените их поведение / не сообщите об этом в какой-либо орган власти в своей стране. Все, что нужно для того, чтобы кто-то получил адреса электронной почты, - это купить их список в каком-то другом презренном наряде или просто случайным образом создать много адресов электронной почты. * Другие ответы могут быть более полными и точными. * Andrew Morton 7 лет назад 0

0 ответов на вопрос

Похожие вопросы