私のWeb /メールサーバー(centos 6.4)は数日間スパムを送信していますが、postfixサービスを停止しなければスパムを終了できません。
SMPTは、ユーザー名/パスワードを使用してSSLを介した接続のみを許可するように設定されています。 (疑わしい)破損したメールアカウントのパスワードを変更しました。
電子メールはiRedMail経由で設定されます。
この問題を特定して停止するのに役立つ場合は、いつでも歓迎します。
追加: いくつかのログの抜粋:
Mar 23 05:01:52 MyServer postfix/smtp[9494]: 4E81026038: to=<[email protected]>, relay=mail.suddenlinkmail.com[208.180.40.132]:25, delay=3, delays=0.07/0/2.4/0.5, dsn=2.0.0, status=sent (250 Message received: [email protected])
Mar 23 05:02:01 MyServer postfix/smtp[9577]: 209BA26067: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=14, delays=12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B654226078)
Mar 23 05:02:01 MyServer postfix/smtp[9495]: 8278726077: to=<[email protected]>, relay=mx-biz.mail.am0.yahoodns.net[98.139.171.245]:25, delay=0.88, delays=0.25/0/0.47/0.14, dsn=4.7.1, status=deferred (host mx-biz.mail.am0.yahoodns.net[98.139.171.245] said: 421 4.7.1 [TS03] All messages from [IPADDRESS] will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html (in reply to MAIL FROM command))
配信できないレポートEメールの件名:
Return-Path: <MAILER-DAEMON>
Delivered-To: [email protected]
Received: from localhost (icantinternet.org [127.0.0.1])
by icantinternet.org (Postfix) with ESMTP id 4669E25D9D
for <[email protected]>; Mon, 24 Mar 2014 14:20:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at icantinternet.org
X-Spam-Flag: YES
X-Spam-Score: 9.501
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.501 tagged_above=2 required=6.2
tests=[BAYES_99=3.5, BAYES_999=0.2, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793,
URIBL_BLACK=1.7] autolearn=no
Received: from icantinternet.org ([127.0.0.1])
by localhost (icantinternet.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id FOrkYnmugXGk for <[email protected]>;
Mon, 24 Mar 2014 14:20:13 +0100 (CET)
Received: from spamfilter2.webreus.nl (unknown [46.235.46.231])
by icantinternet.org (Postfix) with ESMTP id D15BA25D14
for <[email protected]>; Mon, 24 Mar 2014 14:20:12 +0100 (CET)
Received: from spamfilter2.webreus.nl (localhost [127.0.0.1])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 7FB2EE78EFF
for <[email protected]>; Mon, 24 Mar 2014 14:20:13 +0100 (CET)
X-Virus-Scanned: by SpamTitan at webreus.nl
Received: from mx-in-2.webreus.nl (mx-in-2.webreus.nl [46.235.44.240])
by spamfilter2.webreus.nl (Postfix) with ESMTP id 3D793E78E5A
for <[email protected]>; Mon, 24 Mar 2014 14:20:09 +0100 (CET)
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=pra;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=mailfrom;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received-SPF: None (mx-in-2.webreus.nl: no sender authenticity
information available from domain of
[email protected]) identity=helo;
client-ip=62.146.106.25; receiver=mx-in-2.webreus.nl;
envelope-from=""; x-sender="[email protected]";
x-conformance=sidf_compatible
Received: from athosian.udag.de ([62.146.106.25])
by mx-in-2.webreus.nl with ESMTP; 24 Mar 2014 14:20:03 +0100
Received: by athosian.udag.de (Postfix)
id 3B16E54807C; Mon, 24 Mar 2014 14:19:59 +0100 (CET)
Date: Mon, 24 Mar 2014 14:19:59 +0100 (CET)
From: [email protected] (Mail Delivery System)
Subject: ***Spam*** Undelivered Mail Returned to Sender
To: [email protected]
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="36D9C5488E5.1395667199/athosian.udag.de"
Content-Transfer-Encoding: 7bit
Message-Id: <[email protected]>
答え1
Pravinはいくつかの良い一般的なポイントを提供しますが、実際にそれらのどれも詳細に説明したり、可能な質問に答えたりしません。実際質問。
まず、postfixがこれらのメッセージをどのように受け取るかとメッセージを伝える理由を知っておく必要があります(これら2つの質問は関連している可能性が最も高いです)。
最善の方法は、特定のメッセージのメッセージIDを確認してから、ファイル内の関連mail.log
するすべてのログエントリを見つけることです。これは、少なくともメッセージがどこから来たのか、メッセージが管理を離れて世界に移るまで、どのポストフィックスがメッセージに影響を与えたかを伝えます。以下は(編集された)抜粋の例です。
Mar 26 00:51:13 vigil postfix/smtpd[9120]: 3B7085E038D: client=foo.bar.com[1.2.3.4]
Mar 26 00:51:13 vigil postfix/cleanup[9159]: 3B7085E038D: message-id=<------------@someserver>
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: from=<[email protected]>, size=456346, nrcpt=2 (queue active)
Mar 26 00:51:13 vigil postfix/lmtp[9160]: 3B7085E038D: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.11/0/0/0.19, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=04611-19, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6EA115E038F)
Mar 26 00:51:13 vigil postfix/qmgr[5366]: 3B7085E038D: removed
これは私に次のことを伝えます。
- このメッセージは、IPアドレスが1.2.3.4で、自分をfoo.bar.comと呼ぶサーバーであるfoo.bar.comからのものです。
- (警告の不足のために暗示されます)アドレスは、順方向と逆方向のDNSに応じて名前と一致します。
- メッセージは、
[email protected]
サーバーが受け入れ可能な宛先アドレスと見なす名前のユーザーに送信されます。 - 構成に応じて、メールサーバーは
127.0.0.1:10024
さらに処理するためにスパム/ウイルスフィルタを介してメッセージを中継します。 - フィルタは「わかりました。これをID 6EA115E038Fのメッセージとしてキューに追加し、そこで処理します」と言います。
- この承認を受けると、マスターは完了を宣言し、キューから元のメッセージを削除します。
メッセージがシステムにどのように入力されたかがわかったら、問題の識別を開始できます。
別の場所から来て、まったく別の場所に渡されると、postfixは現在オープンリレーとして機能します。これは非常に悪い現象であるため、
smtpd_recipient_restrictions
設定smtpd_client_restrictions
を強化する必要があります/etc/postfix/main.cf
。から来ると、
localhost
Webホスティングユーザーの1人が要求時にスパムを送信するPHPスクリプトによって破損している可能性があります。このfind
コマンドを使用して、最近追加または変更された.phpファイルを見つけて、疑わしい名前を詳しく見てください。
より具体的な内容は上記の調査結果に大きく左右されるため、詳しく説明する必要はありません。少なくとも、インストールと構成に関するより一般的な警告を提供します。背面グレーできるだけ早く機会をつかみましょう。
答え2
PHPがインターネットまたはWebホスティングホストを介さずにローカルのpostfixインストールを介してメールを送信できるようにします。
電子メールを実行するPHPスクリプトがあることを確認してください。
メールサーバーが正しいFQDNでHELO(EHLO)を送信するようにします。
サーバーをオープンリレーとして構成しないでください。
送信メールにDKIM署名を実装する
あなたのサーバーがあなたのドメインの正当な発信者ホストであることを示すあなたのドメインのSPFレコードを投稿してください。
DNSWL.ORGにサーバーを追加します。