在过去一天中,我们使用我们的服务器发现了来自中国的人发送垃圾邮件。 他很可能使用弱用户名/密码来访问我们的SMTP服务器,但问题是他似乎在使用base64编码来阻止我们找出他正在使用的帐户。 这里有一个来自maillog的例子:
May 5 05:52:15 195396-app3 smtp_auth: SMTP connect from (null)@193.14.55.59.broad.gz.jx.dynamic.163data.com.cn [59.55.14.193] May 5 05:52:15 195396-app3 smtp_auth: smtp_auth: SMTP user info : logged in from (null)@193.14.55.59.broad.gz.jx.dynamic.163data.com.cn [59.55.14.193] 有什么方法可以检测到他正在使用哪个帐户?
如果我是你,我会看SASL日志(如果这是你正在使用的),看看哪些用户同时login。 如果你没有SASL日志,你可以随时查看MySQL / LDAPsearch日志。
考虑到他login为空,我会检查我的数据库,以确保我没有格式不正确的条目或类似的东西。
Base64编码是SMTPauthentication的标准,所以这是正常的。 有MD5摘要,但如果他有“有效”的凭据将无济于事。
临时解决scheme是阻止他的IP或整个IP块。
你也可以尝试增加postfix的详细程度,以-v参数开始(google说它应该在master.cf中,我不是postfix专家)。
/etc/postfix/master.cf: smtp inet n - n - - smtpd -v
如果这不起作用,总是有核选项,tcpdump / wireshark。