qmail-сервер, уведомления о сбоях. Скомпрометирован ли сервер?

2189
exussum

Я принимаю свою электронную почту уже много лет, и только недавно я начал получать уведомления об ошибках, которые я не отправлял. Ниже приведен пример заголовка

Hi. This is the qmail-send program at MYSERVER.co.uk. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out.  <bao-01@msn.com>: User and password not set, continuing without authentication. 65.55.92.184 does not like recipient. Remote host said: 550 Requested action not taken: mailbox unavailable Giving up on 65.55.92.184.  <karanisthegasman@hotmail.com>: User and password not set, continuing without authentication. 65.55.92.168 does not like recipient. Remote host said: 550 Requested action not taken: mailbox unavailable Giving up on 65.55.92.168.  <x0laurensays@aim.com>: User and password not set, continuing without authentication. 64.12.138.161 does not like recipient. Remote host said: 550 5.1.1 <x0laurensays@aim.com>: Recipient address rejected: aim.com Giving up on 64.12.138.161.  <shortstuff128@cs.com>: User and password not set, continuing without authentication. 64.12.91.196 does not like recipient. Remote host said: 550 5.1.1 <shortstuff128@cs.com>: Recipient address rejected: cs.com Giving up on 64.12.91.196.  <zerin3@aol.com>: User and password not set, continuing without authentication. 64.12.91.195 does not like recipient. Remote host said: 550 5.1.1 <zerin3@aol.com>: Recipient address rejected: aol.com Giving up on 64.12.91.195.  <apps+opee1eef@facebookmail.com>: User and password not set, continuing without authentication. <apps+opee1eef@facebookmail.com> 173.252.79.16 failed after I sent the message. Remote host said: 554 5.7.1 POL-P8 http://postmaster.facebook.com/response_codes?ip=MYIP#pol-m Message refused  --- Below this line is a copy of the message.  Return-Path: <me@MYSERVER.co.uk> Received: (qmail 31378 invoked by uid 0); 19 Feb 2014 17:27:42 -0000 Received: from 212.156.182.55.static.turktelekom.com.tr (HELO mycomputer) (me@MYSERVER.co.uk@212.156.182.55) by MYSERVER.co.uk with ESMTPA; 19 Feb 2014 17:27:41 -0000 From: "=?ISO-8859-1?Q?frostix28=40aol.com?=" <frostix28@aol.com> To: "=?ISO-8859-1?Q?micayla12=40aol.com?=" <micayla12@aol.com>, "=?ISO-8859-1?Q?bao-01=40msn.com?=" <bao-01@msn.com>, "=?ISO-8859-1?Q?yourkissistorture=40yahoo.com?=" <yourkissistorture@yahoo.com>, "=?ISO-8859-1?Q?karanisthegasman=40hotmail.com?=" <karanisthegasman@hotmail.com>, "=?ISO-8859-1?Q?jman5510=40yahoo.com?=" <jman5510@yahoo.com>, "=?ISO-8859-1?Q?x0laurensays=40aim.com?=" <x0laurensays@aim.com>, "=?ISO-8859-1?Q?zerin3=40aol.com?=" <zerin3@aol.com>, "=?ISO-8859-1?Q?shortstuff128=40cs.com?=" <shortstuff128@cs.com>, "=?ISO-8859-1?Q?apps+opee1eef=40facebookmail.com?=" <apps+opee1eef@facebookmail.com>, "=?ISO-8859-1?Q?registration=40ebay.com?=" <registration@ebay.com>, "=?ISO-8859-1?Q?frostix28=40aol.com?=" <frostix28@aol.com> Subject: =?ISO-8859-1?Q?frostix28=40aol.com?= Date: Tue, 19 Feb 2014 06:27:39 +0100 MIME-Version: 1.0 X-mailer: Microsoft Office Outlook, Build 11.0.5510 Reply-To: frostix28@aol.com Content-type: Multipart/mixed; boundary="4A2C4E38_686FF402_boundary" Content-Description: Multipart message  --4A2C4E38_686FF402_boundary Content-type: text/html; charset=UTF-8 Content-Transfer-Encoding: Quoted-printable Content-Disposition: inline Content-Description: HTML text  =EF=BB=BF<html><head><meta http-equiv=3D"content-type" content: text/html;= charset=3DUTF-8></head><body><a href= =3D"http://contactaviators.com/bx/hga.html">http://contactaviators.com/bx/hga.= html</a></body></html> --4A2C4E38_686FF402_boundary-- 

Я изменил адрес моего сервера на MYSERVER.co.uk, а мой IP на MYIP. Остальная часть сообщения остается без изменений,

Из того, что я вижу в заголовке, электронное письмо пришло не с моего сервера, а с 212.156.182.55, но затем само сообщение вернулось на мой сервер.

Это нормально ? Я проверил наличие открытых реле и т. Д., И все онлайн-сканеры предполагают, что почтовый сервер работает правильно.

Должен ли я рассматривать это как спам или это что-то хуже?

Редактировать:

С тех пор, как это начало происходить, я пристально следил за файлами журналов.

Одна из строк досталась мне

xinetd[892]: START: smtp pid=22325 from=205.201.134.23 

Этот ip, когда whois'ed для mailchimp. Я не уверен, почему mailchip соединяются со мной, но они, кажется, (их соединение длилось только 1 секунду, хотя согласно журналам

0
почтовый клиент, которым я пользуюсь - это Thunderbird, я подключаюсь к mail.MYSERVER.co.uk. который имеет запись для IP. Нет реле используются только 1 сервер с 1 мкс записи exussum 10 лет назад 0
mxtoolbox.com использовался для проверки почтового сервера. все испытания пройдены exussum 10 лет назад 0
Я не менял настройки с октября 2011 года, и я не пересматриваю никаких писем в списке, кроме `registration @ ebay.com`, но это общее. IP-адрес, который я думаю, послал это был 212.156.182.55, который находится в Турции. Мой сервер находится в Манчестере, Великобритания exussum 10 лет назад 0
В этом случае он предполагает, что вы используете ретранслятор, несмотря на тестирование ... какой сервис вы использовали для его тестирования? http://www.mailradar.com/openrelay/ Я предполагаю, что на сервере нет вирусов и т. д., и это не сценарий на реальном сервере, отправляющем его? Dave 10 лет назад 0
Все проверено завершено! Реле не принимается удаленным хостом! является результатом этого. Сервер, насколько мне известно, и с этого сервера не отправляются автоматические электронные письма exussum 10 лет назад 0
Интересно тогда, если они используют какой-то псевдоним ... Они отправляют с IP-адреса xxx5, но используют псевдоним, чтобы он появился у вас, поэтому в случае неудачи ответное сообщение отправляется вам, а не источнику. Dave 10 лет назад 0
И снова я предполагаю, что отправитель `frostix28 @ aol.com` не так ли? Dave 10 лет назад 0
Это правильно, я не видел / не слышал этот адрес до того, как это письмо `me @ MYSERVER.co.uk` будет моим адресом электронной почты в журнале выше. exussum 10 лет назад 0
Основная причина, по которой я сменил адреса, - в том случае, если это была настоящая проблема. exussum 10 лет назад 0
Какова цель этого почтового сервера? Это ваше собственное, или кто-то может «присоединиться» и использовать ваши услуги и т. Д. (Вы предлагаете хостинг электронной почты, например)? Dave 10 лет назад 0
Мой собственный. Там около 20 пользователей. Почтовые аккаунты могут быть созданы только мной exussum 10 лет назад 0
Я борюсь здесь. У меня такая же настройка с моим собственным почтовым сервером, и я никогда не сталкивался с этим ... Это беспокоит, если получатель считает, что ваш сервер отправляет электронную почту (черный список) ... Кроме проверки планировщика задач (чтобы убедиться, что там нет чего-то запущенного, о чем вы не знаете), полного сканирования на вирусы и вредоносные программы. Dave 10 лет назад 0
У меня были настройки в течение многих лет. Вчера я получил 3 из этих писем, все с разных IP, но с похожими сообщениями. Я дважды проверю все задания cron и убедимся, что все обновлено. Спасибо за ваши предложения exussum 10 лет назад 0
Как часто это происходит? Dave 10 лет назад 0
Всего 3, 8:18, 17:27, 17:28 все 19 февраля. exussum 10 лет назад 0
Это VPS или выделенный? Dave 10 лет назад 0
VPS работает CentOS 6 exussum 10 лет назад 0
@DaveRook Только что было еще 8, все в течение 2 минут :( Есть ли способ настроить ведение журнала для регистрации каждой отправленной почты? exussum 10 лет назад 0
Я не использую тот же почтовый клиент (я использую hMailServer), но * должен * быть способ включить ведение журнала. Надеюсь, вы увидите шаблон (чтобы увидеть, если что-то отправлено от вас, или если оно только вам)! Dave 10 лет назад 0
Пожалуйста, продолжайте обсуждение или устранение неполадок в [чат]. slhck 10 лет назад 0

1 ответ на вопрос

0
exussum

Причиной отправления спам-писем была утечка / прослушивание пароля. Смена пароля остановила отправку спам-писем.

Кажется, что большинство вещей, связанных с безопасностью, выбранный пользователем пароль является слабым местом. Я даже не подумал, пока не осталось ничего, чтобы попробовать

Похожие вопросы