我在maillog中发现了一大堆(在我的网站由于资源过度使用而停止使用后):
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected] Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: [email protected] Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: hook_dir = '/var/qmail//handlers/before-queue' Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: recipient[3] = '[email protected]' Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]' Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: starter: submitter[24525] exited normally 这看起来像有人正在使用我的系统发送垃圾邮件。 你们有什么想法,你们将如何去追踪他们的切入点和/或阻止他们?
也许你的电子邮件软件configuration为允许中继 – 这是一个开放的中继?
http://www.palomine.net/qmail/relaying.html
中继允许任何人在互联网上的任何地方发送电子邮件与任何“从”电子邮件地址到您的服务器,并让您的服务器交付给任何地方的任何收件人在互联网上的任何“收件人”的地址。
你应该真的限制这个拒绝所有的邮件,而不是两种不同的模式:
来自外部的电子邮件,包含您的域名的“到”地址,以及符号前面的部分与您组织内定义的人员相匹配的地址。 在networking服务器的情况下,如果networking服务器不需要接收传入的电子邮件,这可能是没有人的。 通常一个组织将有单独的电子邮件服务器来处理其成员的电子邮件。
来自已validation用户的邮件地址,其中包含您的域名。 在这种情况下,地址可以是任何东西。 发件人通常从本地networking的IP地址发送,但让信任的人使用您的电子邮件服务器可能是有用的 – 在这种情况下,他们必须在允许电子邮件传输之前进行身份validation。
如果你这样做,你不会为垃圾邮件传播者(可能会被列入黑名单)传播垃圾邮件,但它不会对你的合法活动产生影响。
在更改电子邮件服务器的configuration之前和之后,对其进行testing。 使用不相关的互联网接入点(3G,网吧,家庭)尝试通过您的邮件服务器发送电子邮件,尝试各种地址和地址的组合,例如
From To Expect genuine@mydomain [email protected] allowed [email protected] [email protected] rejected fakester@mydomain [email protected] rejected genuine@mydomain [email protected] allowed only if authenticated
但是大多数Web服务器不需要在服务器外部发送邮件,除了网站站长/pipe理员以外。 所以他们可以locking更紧。
就像RedGrittyBrick的回应,这听起来像一个开放的接力,但我不知道。
你可以做的一件事是尝试一个像这样的公共中继testing服务: http : //www.abuse.net/relay.html
他们会自动运行各种邮件发送testing,并实时告诉你结果。 如果你的SMTP服务器接受邮件发送,那么你应该看看configuration。
另一个理论是,一些黑客安装了后门程序,或者利用已经安装的任何软件利用漏洞利用脚本发送邮件。 其中,由于脚本在服务器上,因为邮件来自服务器而不是来自互联网,所以它们将能够绕过中继限制。 你可以尝试的是杀死Web服务器服务,看看它是否还在发送邮件,这样你就会知道它是否真的是一个脚本后门或其他更恶意的东西。