我有一个在家里的小型服务器,安装了后缀。 这只是用于将cronjobs的结果和电子邮件从外部返回给其他一些脚本。 我使用ISP的邮件服务器作为中继主机。 最近我注意到邮件服务器是作为一个开放的中继。 我通过closures路由器上的传入端口25并重新configurationpostfix来只接受来自服务器的传出邮件来解决这个问题。 我已经从局域网外部检查了nmap,并尝试了各种开放中继工具,一切似乎都很好。
问题是,我仍然收到邮件试图发送。 我已经临时设置了中继主机到127.0.0.3(不存在),以阻止事情发送出去,并在我的服务器上设置了iptable防火墙规则,以防止出站端口25,所以没有什么实际上出去。
我以为队列可能还是满的,所以我做了:
sudo postsuper -d ALL deferred sudo postsuper -d ALL 但是,邮件不断出现以下日志消息:
Dec 1 12:04:56 server postfix / pickup [3267]:E18411FA4:uid = 33 from =
Dec 1 12:04:56 server postfix / cleanup [3274]:E18411FA4:message-id = <20111201120456.E18411FA4@server>
Dec 1 12:04:56 server postfix / qmgr [3268]:E18411FA4:from =,size = 15619,nrcpt = 1(队列激活)
Dec 1 12:04:57 server postfix / error [3304]:E18411FA4:to =,relay = none,delay = 0.17,delay = 0.1 / 0/0 / 0.08,dsn = 4.4.1,status = deferred暂停:连接到127.0.0.3 [127.0.0.3]:25:连接超时)
所以我的问题是:
uid 33默认是Debian中的www-data ,由Apache使用。 你碰巧运行一个Web服务器和一些PHP应用程序吗? 也许有一个邮件表单或其他可用于垃圾邮件的东西? 如果出现这种情况,请参阅Apache访问日志中的客户端IP,但是可能您正在受到一个随机的僵尸networking的攻击,因此阻止个人IP将无济于事。
你不一定被黑客入侵,很可能只是一个脆弱的PHP脚本,可以用来发送垃圾邮件。 当然最好谨慎一点,并检查其他可疑活动的各个angular落,但这是我的猜测。
更新该Web应用程序,删除它或限制访问它应该可以解决您的问题。 你可能也想看看mod_security ,虽然它可能太重,不便于使用。
Dec 1 12:04:56 server postfix/pickup[3267]: E18411FA4: uid=33 from=<[email protected]>
这是一个本地提交,即通过后缀的机器上的帐户。
它的UID是33; 请参阅/ etc / passwd来找出这是哪个帐户。
您可以通过在main.cf中configurationauthorized_submit_users来控制本地提交。
除了显而易见的(断开与互联网的连接,断开日志和tmp目录的快照,并离线调查)之外,还会一次性搞乱太多的variables – 例如closures路由器上的端口25和禁用端口在postfix中提交25是不必要的,只能在以后混淆你。
尝试限制自己一次做一个更改,彻底testing,然后撤消它并尝试另一个更改。