我在有多个域的ubuntu 10.04 LTS上运行postfix安装。 中继访问需要使用STARTTLS进行身份validation。 今天早晨,其中一个用户帐户login并发送了数百封垃圾邮件,正如我从日志中看到的那样。 该帐户的实际所有者通知我接收多个DSN邮件。 日志没有显示任何密码暴力破解的迹象,所以我猜只剩下两个选项:
a)用户密码被盗(我已经改变了,从此没有进一步的危害)b)authentication机制有问题。
有没有人有进一步的build议如何调查这样的话题?
以下是日志的一个片段,当身份validation发生时:
Apr 28 09:17:44 vs1909 postfix/smtpd[13325]: connect from unknown[217.76.201.194] Apr 28 09:17:45 vs1909 postfix/smtpd[13325]: 1458F1409A: client=unknown[217.76.201.194], sasl_method=PLAIN, [email protected] 我很清楚[email protected]的密码已被盗用,并且有人使用此帐户和密码在您的后缀上进行了身份validation。
例如,您可以使用postfix中的anvil进程限制用户发送的消息数量,例如:
smtpd_client_message_rate_limit=100
在main.cf中使用此选项,可以在给定的时间内限制100个消息/每个客户端。 检查铁砧Postfix文档有关过程的详细信息。
还有一件事要考虑,但是与问题本身无关,authentication似乎是在没有任何encryption机制(如TLS或SSL)的情况下完成的。