我正在浏览日志,我注意到不需要的邮件通过我的服务器发送。 如何防止这一点?
日志
Jun 24 18:29:31 mail postfix/pickup[13853]: 6BD3D17012CB: uid=65534 from= [email protected]> Jun 24 18:29:31 mail postfix/cleanup[13901]: 6BD3D17012CB: message-id=<[email protected]> Jun 24 18:29:31 mail postfix/qmgr[13854]: 6BD3D17012CB: from=<[email protected]>, size=1145, nrcpt=1 (queue active) Jun 24 18:29:33 mail postfix/smtp[13906]: 6BD3D17012CB: to=<[email protected]>, relay=mx.sidi.istruzione.it[89.97.132.171]:25, delay=2.5, delays=0.14/0/0.14/2.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as CB89D50096) Jun 24 18:29:33 mail postfix/qmgr[13854]: 6BD3D17012CB: removed main.cf
smtpd_sender_restrictions = hash:/etc/postfix/access, permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, permit smtpd_client_restrictions = check_client_access hash:/etc/postfix/access smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access, check_sender_access hash:/etc/postfix/access, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, reject_non_fqdn_sender, reject_unknown_sender_domain reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unknown_recipient_domain, # check_policy_service inet:127.0.0.1:10023, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net,
您的邮件服务器已被破解。 注意日志中的“拾取”服务? 这意味着消息已经被本地注入(通过uid 65534),并没有通过tcp / 25 SMTPD端口接收,所以没有任何SMTPD限制会有任何影响。
您可以禁用master.cf中的取件服务,但是会禁用所有本地客户端发送邮件,攻击者可以通过连接到localhost:25来绕过它。 然后,你也必须禁止从本地主机中继所有的邮件(通过从main.cf中的mynetwork中删除与主机匹配的所有条目 – 任何以“127”或“[:: 1]”开头的含义为本地主机的东西作为与你的主机相匹配的任何其他IP /主机名)
(真正的答案是修复攻击者获得访问系统的bug,并删除任何后门)