Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-01-07 22:20:27

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

czy ten serwer padł ofiarą spamerów?

witam
Mój serwer pocztowy ostatnio generuje duży ruch. Jest zabezpieczony i jest na nim uwierzytelnianie SASL. Na testach oferowanych przez różne portale pokazuje że nie jest open relayu, ale w logach /var/log/amavis.log mam setki tego typu wpisów:

Kod:

Passed, <webfgroup@clubpage.net> -> <kcassie@peoplepc.com>, 
Message-ID: <3816-22008117211818656@Falcon>, Hits: 1.866

Czy to oznacza że rozsyła mi spam?

Ostatnio edytowany przez markus78 (2008-01-09 20:14:41)

Offline

 

#2  2008-01-08 13:06:03

  Jan89 - Użytkownik

Jan89
Użytkownik
Zarejestrowany: 2008-01-06

Re: czy ten serwer padł ofiarą spamerów?

Hmmm sam sasl nie wystarczy... Masz odpowiednie restrykcje ustawione ? tzn smtp_sender_restricions itd ?
Bo sam konfigurowałem postfixa i owszem sasla dość szybko założyłem,ale z restrykcjami męczyłem się tydzień :/

Offline

 

#3  2008-01-08 13:30:54

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

to możesz podać jak masz ustawione te restrykcje, spróbuje tego użyć?
pozdr. Marcin

Offline

 

#4  2008-01-08 23:00:20

  Jan89 - Użytkownik

Jan89
Użytkownik
Zarejestrowany: 2008-01-06

Re: czy ten serwer padł ofiarą spamerów?

Są przetestowane na wszelkie możliwe sposoby. Nie da się wysłać listu bez autoryzacji, nie można też podszyć pod czyjego maila itd... Oczywiście ma Mynetworks mam tylko 127.0.0.1

Ale żeby nie można podszywać się pod czyiś adres musisz mieć w konfigu jeszcze to >>

Kod:

smtpd_sender_login_maps = mysql:/etc/postfix/mysql_virtual_login_maps.cf

(ja mam pod wirtualki skonfigurowane)

restrykcje:

Kod:

# Restrykcje - Sprawdzanie poczty na podstawie adresu nadawcy listu (RCPT TO):
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unknown_recipient_domain,
    reject_non_fqdn_recipient,


# Restrykcje - Sprawdzenie IP komputera, z którego wysyłana jest wiadomość:
smtpd_client_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unknown_client,
    reject_unauth_destination


# Restrykcje - Sprawdzanie poczty na podstawie adresu odbiorcy listu (MAIL FROM):
smtpd_sender_restrictions =
    permit_mynetworks,
    reject_unauth_destination,
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unknown_address,
    reject_sender_login_mismatch,

Ostatnio edytowany przez Jan89 (2008-01-08 23:03:39)

Offline

 

#5  2008-01-09 20:15:01

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

niestety nie pomogło :(

Offline

 

#6  2008-01-10 01:09:12

  Jan89 - Użytkownik

Jan89
Użytkownik
Zarejestrowany: 2008-01-06

Re: czy ten serwer padł ofiarą spamerów?

Zapodaj większy wycinek z logów. Nie możliwe by przy działającym saslu i tych restrykcjach przechodziło coś. Osobiście gnębiłem własny serwer na rózne sposoby i przy tych restrykcjach nie dał się ruszyć. No chyba że w reszcie konfiga masz coś zrąbane...

Offline

 

#7  2008-01-10 19:30:28

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

Poczte mam postfix + mysql + amavis + sasl i juz sam nie wiem co sie dziej. Walcze z tym ale nie moge go zamknąć bo to serwer w firmie i ludzie poczty nie będą mieli. W logach pełno tego:

Kod:

Jan 10 19:17:12 poczta.miastko.pl amavisd-new[2750]: (02750-03) Passed, <websterinc@America.Hm> -> <Stacie_scullion@hotmail.com>, Message-ID: <3817-22008141018173062@Falcon>, Hits: -4.953
Jan 10 19:17:15 poczta.miastko.pl amavisd-new[2738]: (02738-06) Passed, <websterinc@America.Hm> -> <tracy-keithplant@tiscali.co.uk>, Message-ID: <3818-220081410181733453@Falcon>, Hits: -4.939
Jan 10 19:17:18 poczta.miastko.pl amavisd-new[2749]: (02749-04) Passed, <websterinc@America.Hm> -> <Peter.norris@uk.abnamro.com>, Message-ID: <3819-220081410181736890@Falcon>, Hits: -4.946
Jan 10 19:17:25 poczta.miastko.pl amavisd-new[2763]: (02763-01) Passed, <websterinc@America.Hm> -> <potsy4406@yahoo.co.uk>, Message-ID: <3820-220081410181740296@Falcon>, Hits: -4.959
Jan 10 19:17:32 poczta.miastko.pl amavisd-new[2738]: (02738-07) Passed, <websterinc@America.Hm> -> <TomPC2002@hotmail.com>, Message-ID: <3821-220081410181750578@Falcon>, Hits: -4.939
Jan 10 19:17:41 poczta.miastko.pl amavisd-new[2749]: (02749-05) Passed, <websterinc@America.Hm> -> <tracey.good@dfdstransport.co.uk>, Message-ID: <3822-220081410181759125@Falcon>, Hits: -4.946
Jan 10 19:17:49 poczta.miastko.pl amavisd-new[2750]: (02750-04) Passed, <websterinc@America.Hm> -> <sharoncathersides@hotmail.com>, Message-ID: <3823-22008141018187625@Falcon>, Hits: -4.953
Jan 10 19:17:58 poczta.miastko.pl amavisd-new[2763]: (02763-02) Passed, <websterinc@America.Hm> -> <deeyiya21@yahoo.com>, Message-ID: <3824-220081410181816250@Falcon>, Hits: -4.959

Mój plik main.cf wygląda w całości tak (może w nim mam jakieś błędy):

Kod:

smtpd_banner = $myhostname

append_dot_mydomain = no

home_mailbox = Maildir/
myhostname = poczta.miastko.pl
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = poczta.miastko.pl, localhost, localhost.localdomain
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

virtual_alias_domains = 
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /mnt/scsi02/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous

maps_rbl_domains = relays.ordb.org, dun.dnsrbl.net, rhsbl.sorbs.net
smtpd_client_restrictions =
    reject_maps_rbl,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

smtpd_helo_restrictions =
    reject_unauth_pipelining,
    reject_invalid_hostname

smtpd_helo_required = yes
strict_rfc821_envelopes = yes
unknown_address_reject_code = 550
smtpd_reject_unlisted_recipient = yes

smtpd_sender_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unknown_address

header_checks = regexp:/etc/postfix/header_checks
body_checks = regexp:/etc/postfix/body_checks

smtpd_recipient_restrictions = 
    reject_non_fqdn_recipient,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_invalid_hostname,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    permit_auth_destination,
    check_sender_mx_access cidr:/etc/postfix/bogus_mx,
    reject_rbl_client dnsbl.sorbs.net,
    reject_rbl_client dynamic.dnsbl.rangers.eu.org,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client whois.rfc-ignorant.org,
    reject_rbl_client relays.ordb.org,
    reject_rbl_client relays.osirusoft.com


smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps

content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

czy ktoś wie czemu tak sieje?

Offline

 

#8  2008-01-11 14:59:18

  Jan89 - Użytkownik

Jan89
Użytkownik
Zarejestrowany: 2008-01-06

Re: czy ten serwer padł ofiarą spamerów?

Kurcze, ale to co dałeś to są logi samego Amavisa. Daj kawałek kompletnego logu, chodzi o logi Postfixa. Może tam będzie można wypatrzeć w jaki sposób włażą na serwer.... Port Amavisa masz zamknięty dla świata zewnętrznego ?

Ostatnio edytowany przez Jan89 (2008-01-11 14:59:37)

Offline

 

#9  2008-01-12 17:45:19

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

port amavista mam zamknięty na zewnątrz.

W /var/log/mail.log mam:

Kod:

Jan 12 17:31:50 poczta postfix/smtpd[5390]: lost connection after RCPT from host246-254-static.53-82-b.business.telecomitalia.it[82.53.254.246]
Jan 12 17:31:50 poczta postfix/smtpd[5390]: disconnect from host246-254-static.53-82-b.business.telecomitalia.it[82.53.254.246]
Jan 12 17:32:45 poczta courierpop3login: Connection, ip=[::ffff:193.19.212.191]
Jan 12 17:32:45 poczta courierpop3login: LOGIN, user=mateusz@miastko.pl, ip=[::ffff:193.19.212.191]
Jan 12 17:32:45 poczta courierpop3login: LOGOUT, user=mateusz@miastko.pl, ip=[::ffff:193.19.212.191], top=0, retr=0, time=0
Jan 12 17:32:45 poczta courierpop3login: Connection, ip=[::ffff:193.19.212.191]
Jan 12 17:32:45 poczta courierpop3login: LOGIN, user=media@miastko.pl, ip=[::ffff:193.19.212.191]
Jan 12 17:32:45 poczta courierpop3login: LOGOUT, user=media@miastko.pl, ip=[::ffff:193.19.212.191], top=0, retr=0, time=0
Jan 12 17:34:05 poczta postfix/smtpd[5402]: connect from 215-195.bayou.com[209.209.215.195]
Jan 12 17:34:06 poczta postfix/smtpd[5402]: warning: support for restriction "reject_maps_rbl" will be removed from Postfix; use "reject_rbl_client domain-name" instead
Jan 12 17:34:26 poczta postfix/smtpd[5402]: warning: 195.215.209.209.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.relays.ordb.org type=A: Host not found, try again
Jan 12 17:34:37 poczta postfix/smtpd[5402]: warning: 195.215.209.209.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.dun.dnsrbl.net type=A: Host not found, try again
Jan 12 17:34:37 poczta postfix/smtpd[5402]: 7898F4A339: client=215-195.bayou.com[209.209.215.195]
Jan 12 17:34:38 poczta postfix/cleanup[5407]: 7898F4A339: message-id=<001c01c85508$f2edffe2$9b2ee9ab@dxtffbu>
Jan 12 17:34:38 poczta postfix/qmgr[23409]: 7898F4A339: from=<vika@mail.zp.ua>, size=10996, nrcpt=1 (queue active)
Jan 12 17:34:39 poczta postfix/smtpd[5402]: disconnect from 215-195.bayou.com[209.209.215.195]
Jan 12 17:34:43 poczta postfix/smtp[5408]: 7898F4A339: to=<promocja@umig.miastko.pl>, relay=127.0.0.1[127.0.0.1], delay=37, status=bounced (host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, UBE, id=24536-05 (in reply to end of DATA command))
Jan 12 17:34:43 poczta postfix/cleanup[5407]: 3AF6A4A33F: message-id=<20080112163443.3AF6A4A33F@poczta.miastko.pl>
Jan 12 17:34:43 poczta postfix/qmgr[23409]: 3AF6A4A33F: from=<>, size=12850, nrcpt=1 (queue active)
Jan 12 17:34:43 poczta postfix/qmgr[23409]: 7898F4A339: removed
Jan 12 17:34:46 poczta postfix/smtp[5415]: 3AF6A4A33F: to=<vika@mail.zp.ua>, relay=relay1.mail.zp.ua[80.254.0.2], delay=3, status=deferred (host relay1.mail.zp.ua[80.254.0.2] said: 450 <vika@mail.zp.ua>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/mail.zp.ua.html (in reply to RCPT TO command))
Jan 12 17:36:01 poczta courierpop3login: Connection, ip=[::ffff:89.79.152.113]

natomiast w /var/log/mail.info mam tego typu wpisy:

Kod:

Jan 12 17:34:05 poczta postfix/smtpd[5402]: connect from 215-195.bayou.com[209.209.215.195]
Jan 12 17:34:06 poczta postfix/smtpd[5402]: warning: support for restriction "reject_maps_rbl" will be removed from Postfix; use "reject_rbl_client domain-name" instead
Jan 12 17:34:26 poczta postfix/smtpd[5402]: warning: 195.215.209.209.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.relays.ordb.org type=A: Host not found, try again
Jan 12 17:34:37 poczta postfix/smtpd[5402]: warning: 195.215.209.209.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.dun.dnsrbl.net type=A: Host not found, try again
Jan 12 17:34:37 poczta postfix/smtpd[5402]: 7898F4A339: client=215-195.bayou.com[209.209.215.195]
Jan 12 17:34:38 poczta postfix/cleanup[5407]: 7898F4A339: message-id=<001c01c85508$f2edffe2$9b2ee9ab@dxtffbu>
Jan 12 17:34:38 poczta postfix/qmgr[23409]: 7898F4A339: from=<vika@mail.zp.ua>, size=10996, nrcpt=1 (queue active)
Jan 12 17:34:39 poczta postfix/smtpd[5402]: disconnect from 215-195.bayou.com[209.209.215.195]
Jan 12 17:34:43 poczta postfix/smtp[5408]: 7898F4A339: to=<promocja@umig.miastko.pl>, relay=127.0.0.1[127.0.0.1], delay=37, status=bounced (host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, UBE, id=24536-05 (in reply to end of DATA command))
Jan 12 17:34:43 poczta postfix/cleanup[5407]: 3AF6A4A33F: message-id=<20080112163443.3AF6A4A33F@poczta.miastko.pl>
Jan 12 17:34:43 poczta postfix/qmgr[23409]: 3AF6A4A33F: from=<>, size=12850, nrcpt=1 (queue active)
Jan 12 17:34:43 poczta postfix/qmgr[23409]: 7898F4A339: removed
Jan 12 17:34:46 poczta postfix/smtp[5415]: 3AF6A4A33F: to=<vika@mail.zp.ua>, relay=relay1.mail.zp.ua[80.254.0.2], delay=3, status=deferred (host relay1.mail.zp.ua[80.254.0.2] said: 450 <vika@mail.zp.ua>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/mail.zp.ua.html (in reply to RCPT TO command))
Jan 12 17:36:03 poczta courierpop3login: LOGIN, user=Pablooo@miastko.eu, ip=[::ffff:89.79.152.113]
Jan 12 17:36:04 poczta postfix/smtpd[5402]: connect from 221.pool85-56-28.dynamic.orange.es[85.56.28.221]
Jan 12 17:36:05 poczta courierpop3login: LOGOUT, user=Pablooo@miastko.eu, ip=[::ffff:89.79.152.113], top=0, retr=0, time=2
Jan 12 17:36:25 poczta postfix/smtpd[5402]: warning: 221.28.56.85.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=221.28.56.85.relays.ordb.org type=A: Host not found, try again
Jan 12 17:36:33 poczta postfix/smtpd[5402]: warning: 221.28.56.85.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=221.28.56.85.dun.dnsrbl.net type=A: Host not found, try again
Jan 12 17:36:34 poczta postfix/smtpd[5402]: 9ACF54A33D: client=221.pool85-56-28.dynamic.orange.es[85.56.28.221]
Jan 12 17:36:34 poczta postfix/smtpd[5402]: lost connection after RCPT from 221.pool85-56-28.dynamic.orange.es[85.56.28.221]
Jan 12 17:36:34 poczta postfix/smtpd[5402]: disconnect from 221.pool85-56-28.dynamic.orange.es[85.56.28.221]

Offline

 

#10  2008-01-12 20:37:37

  Jan89 - Użytkownik

Jan89
Użytkownik
Zarejestrowany: 2008-01-06

Re: czy ten serwer padł ofiarą spamerów?

Hmmm ale ja tutaj nie widzę by ktoś przez Twój serwer wysyłał wiadomości. Jedynie widać że spamerzy mają adres ten  od promocji i próbują Ci coś na niego wysyłać (pewnie spam). Jedynie żeby Ci serwer nie zamulił to wyłącz odpowiadanie do spamera że jego mail został odrzucony... W tych logach nie widać by ta vika wysyłała wiadomości przez Twój serwer do kogoś innego...

A to że w logach widać że co chwilę ktoś się pcha na serwer top jest typowe. Ja mam pełno tego:

Kod:

connect from 122-120-0-10.dynamic.hinet.net[122.120.0.10]
Oct 16 03:19:43 jan postfix/smtpd[13294]: NOQUEUE: reject: RCPT from 122-120-0-10.dynamic.hinet.net[122.120.0.10]: 554 5.7.1 <candy59839@yahoo.com.tw>: Relay access denied; from=<michael78694@MyMainServer.com> to=<candy59839@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>
Oct 16 03:19:44 jan postfix/smtpd[13294]: lost connection after RCPT from 122-120-0-10.dynamic.hinet.net[122.120.0.10]
Oct 16 03:19:44 jan postfix/smtpd[13294]: disconnect from 122-120-0-10.dynamic.hinet.net[122.120.0.10]

I tutaj widać że spamer próbuje wykorzystać mój serwer do wysyłania spamu

Ostatnio edytowany przez Jan89 (2008-01-12 20:37:51)

Offline

 

#11  2008-01-13 18:59:23

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

a wpisy typu:

Kod:

Jan 10 19:17:58 poczta.miastko.pl amavisd-new[2763]: (02763-02) Passed, <websterinc@America.Hm> -> <deeyiya21@yahoo.com>, Message-ID: <3824-220081410181816250@Falcon>, Hits: -4.959

to nie jest wysyłanie spamu przez mój serwer?

I jeszcze jedno - jak wyłączyć odpowiadanie do spamera że jego mail został odrzucony?

pozdr. Marcin

Offline

 

#12  2008-01-13 22:44:53

  adam05 - Adamin

adam05
Adamin
Skąd: Warszawa
Zarejestrowany: 2005-12-15
Serwis

Re: czy ten serwer padł ofiarą spamerów?

Nie
To jest informacja że amavis dobrze przeskanował wiadomość i przesłał ją do postfixa, a ten ją odrzucił.

Pozdrawiam


Wszedzie dobrze, ale w 127.0.0.1 najlepiej...

Offline

 

#13  2008-01-14 17:48:43

  markus78 - Użytkownik

markus78
Użytkownik
Zarejestrowany: 2006-08-08

Re: czy ten serwer padł ofiarą spamerów?

A jak wyłączyć odpowiadanie do spamera że jego mail został odrzucony?

pozdr. Marcin

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)