我们有一个最新的Centos 5.8与Apache,Postfix和Dovecot安装和运行没有问题。
有人或一些东西不断login到后缀/ dovecot作为Apache用户和垃圾邮件@ comcast.net的电子邮件地址。 日志条目如下所示:
Mar 13 13:33:34 postfix/smtpd[26456]: D05AE1A900BC: client=unknown[84.51.170.132], sasl_method=LOGIN, sasl_username=apache Mar 13 13:33:35 postfix/cleanup[26460]: D05AE1A900BC: message-id=<[email protected]> Mar 13 13:33:35 postfix/qmgr[2361]: D05AE1A900BC: from=<[email protected]>, size=3576, nrcpt=1 (queue active) Mar 13 13:33:36 postfix/smtp[27125]: D05AE1A900BC: to=<[email protected]>, relay=mta5.am0.yahoodns.net[209.191.88.254]:25, delay=1.9, delays=0.38/0/0.64/0.85, dsn=2.0.0, status=sent (250 ok dirdel) Mar 13 13:33:36 postfix/qmgr[2361]: D05AE1A900BC: removed --snip-- Mar 13 16:18:13 postfix/smtpd[13861]: E50DE1A90037: client=unknown[72.54.180.241], sasl_method=LOGIN, sasl_username=apache Mar 13 16:18:19 postfix/cleanup[13867]: E50DE1A90037: message-id=<[email protected]> Mar 13 16:18:19 postfix/qmgr[2361]: E50DE1A90037: from=<[email protected]>, size=3779, nrcpt=25 (queue active) Mar 13 16:18:20 postfix/smtp[13868]: E50DE1A90037: to=<[email protected]>, relay=none, delay=6.4, delays=6.4/0/0.02/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=comcast.con type=A: Host not found) Mar 13 16:18:22 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9, delays=6.4/0.01/1.1/1.5, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 Not our Customer (in reply to RCPT TO command)) Mar 13 16:18:23 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=9.9, delays=6.4/0.01/1.1/2.3, dsn=5.1.1, status=bounced (host mx2.comcast.net[76.96.30.116] said: 550 5.1.1 <[email protected]> Account not available (in reply to RCPT TO command)) --snip-- Mar 13 16:18:55 postfix/smtp[13869]: E50DE1A90037: to=<[email protected]>, relay=mx2.comcast.net[76.96.30.116]:25, delay=42, delays=6.4/0.01/1.1/35, dsn=2.0.0, status=sent (250 2.0.0 l4JL1i00l248zeQ0N4JMLQ mail accepted for delivery) Mar 13 16:18:55 postfix/bounce[13870]: E50DE1A90037: sender non-delivery notification: A96601A900C9 Mar 13 16:18:55 postfix/qmgr[2361]: E50DE1A90037: removed 这是最近发生的两次,而且这个人是一样的,他们发送的第一封电子邮件是[email protected]。 他们很小心只能在几分钟内发送一小部分电子邮件,这大概是为了避免检测,并确保我们的服务器不会被阻止作为垃圾邮件中继。
如何才能validation为Apache,我怎样才能阻止呢?
在此先感谢您的帮助
没有更多的细节,我们很难追查到。 例如,您不提到邮件服务器是否与Web服务器在同一台计算机上运行。 你也没有提到你如何使用Postfix来validation客户端(我们可以看到SASL在那里,但这是什么validation机制?PAM?一个单独的数据库?纯文件?)。
我会build议你的机器以某种方式受到损害。 通过这个日志的外观,有人可能已经改变了影子文件,以允许使用apache用户名(这是默认情况下禁用,除非你改变这个)login。 他们现在从不同的IP地址login,并使用后缀发送垃圾邮件。 看看在/etc/shadow在apache线,看看是否有!! 在第二栏中:
apache:!!:
无论是这个或你的Postfixconfiguration是作为一个开放的中继和login是apache实际上是失败的,但Postfix无论接受邮件。 默认的Postfixconfiguration不能作为一个中继,所以这一定是你在某个时候启用的。
你需要追踪可能发生的事情,并考虑清除机器并从已知的良好备份中恢复(你有备份不是吗?)。
您在那里的IP地址看起来像是来自受损机器,因为一个是宽带提供商,另一个是云主机(可能是受影响的networking服务器)。