後置オープンリレー
ご挨拶、
Googleによると、IPから発信するメールが多すぎます。私はこのSMTPを使用して電子メールを発信することは決してないので、postfixが多少誤って構成されていると思われ、オープンリレーがあります
google LOG entry:
Oct 8 06:29:29 domU-12-31-39-00-C1-66 postfix/smtp[15217]: 79B661A0CC: to=<[email protected]>, relay=alt1.gmail-smtp-in.l.google.com[209.85.219.30]:25, delay=423271, delays=423209/0.03/31/31, dsn=4.7.0, status=deferred (Host alt1.gmail-smtp-in.l.google.com[209.85.219.30] said: 421-4.7.0 [174.129.96.42] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 6si2037492ewy.56 (in reply to end of DATA command))
Postfixからの電子メールの発信を許可しないようにpostfixを構成することは可能ですか?ポジティブなら、どうやって?それ以外の場合、オープンリレーの問題に関するポストフィックス構成を修正するにはどうすればよいですか?
postconf -o出力:
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
header_checks = regexp:/etc/postfix/header_checks
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command =
mailbox_size_limit = 0
mydestination = fairlogic.com, legitima.com, bastos.org, sidon.com, localhost
myhostname = fairlogic.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_recipient_restrictions = reject_unauth_destination,permit_sasl_authenticated,permit_mynetworks
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
見つけた!
少しグーグルした後、私は問題を理解しました:
1)猫/var/log/mail.log | grep "smtp [" |尾
Oct 8 11:47:00 domU-12-31-39-00-C1-66 postfix/smtp[24599]: 4C9521A0A4: to=<[email protected]>, relay=alt1.gmail-smtp-in.l.google.com[74.125.79.27]:25, delay=23543, delays=23481/0.01/31/31, dsn=4.7.0, status=deferred (Host alt1.gmail-smtp-in.l.google.com[74.125.79.27] said: 421-4.7.0 [174.129.96.42] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 blocked. Please visit http://www.google.com/mail/help/bulk_mail.html 421 4.7.0 to review our Bulk Email Senders Guidelines. 5si273044eyh.4 (in reply to end of DATA command))
メッセージID(この場合は4C9521A0A4)に基づいて、メッセージ本文を取得できます。
find /var/spool/postfix/defer* -name 4C9521A0A4
/var/spool/postfix/defer/4/4C9521A0A4
/var/spool/postfix/deferred/4/4C9521A0A4
その内容に基づいて、誰かが私をスパムしていることがわかりました-そしてpostfixは送信者に返信しようとしました(「未配信のメールが送信者に返されました」と言っています)。それがエクスプロイトでもpostixの設定ミスでもないように。ここで、この接尾辞の通知を無効にします。これで問題は解決しました。
「permit_mynetworks」が設定されていて、「my_networks」が正しく設定されているように見えるため、postfixはオープンリレーではないようです。ハッキングされたWebサービスなど、電子メールを送信するシステム上の何かを探します。
メールが実際に接尾辞を介して送信されている場合は、/ var/log /mail.logに表示されます。 Webサービスを介して送信されている場合は、/ var/log/Apache2 /access.logで疑わしいエントリを探します。そうでなければ、あなたはただ根ざしているかもしれません。
更新: http://www.spamhelp.org/shopenrelay/shopenrelaytest.php などを使用して、オープンリレーかどうかをテストすることもできます。
ポート25を追跡するまで、ポート25への発信要求をブロックできますか?たとえば、Linuxでiptablesを使用する場合
iptables -A OUTPUT -p tcp --dport 25 -j REJECT
Postfixにはsendmailのpromiscuous_relayのような特定の機能はないようですが、mynetworksに0.0.0.0を追加すると、誰でも中継できるようになります。
オープンリレー( ウィキペディアリンク )は必要ありません。 mydestination および smtpd_recipient_restrictions を構成する必要があります。
howtoforge にいくつかの構成サンプルがあります。
オープンリレーが必要な場合は、空白のままにしてください smtpd_recipient_restrictions および smtpd_client_restrictions 変数。サーバーがオープンリレーであるかどうかをテストできます ここ 。
NATを使用している場合、IPの背後にあるボックスが感染してスパムを送信する可能性があります。