我有一个运行sendmail的Linux服务器(2.6.22)。 有人正在成功地使用我的服务器,发送垃圾邮件。
真气。
我可以在/ var / log / secure中看到服务器的各种帐号不断暴力破解密码,所以我认为有人在某个时候获得了密钥对。 我已经更改了每个可以find的帐户的密码,讨厌不可知的事情。
我检查过,以确保sendmail不只是中继:相反,我看到/ var / spool / clientmqueue充满了大量的垃圾邮件。 有人确实说服我的服务器代表他们发送邮件。
所以,主要的问题是:我需要做些什么来阻止呢?
Bruteforcing是目前基本上任何向互联网开放的服务的标准操作程序。 我会build议安装fail2ban或类似的程序,并将其configuration为监视日志中不正确的密码尝试(至less对于SSH和您的邮件服务器)和黑名单IP(通过iptables),这些尝试在短时间内做了几次不好的尝试。 你会惊奇地发现有多less次IP被列入黑名单。 在移动到另一个主机并且有其他人来到之前,您不需要将其列入黑名单时间太长。
我已经放弃了20年前的sendmail,所以我不能确切的知道sendmail是如何工作的,但是我的postfix在日志中告诉我,谁(用户ID)将邮件添加到队列中。 如果您的垃圾邮件发送者仍然设法进行身份validation,您应该find这种方式使用的帐户。
您也可以查看垃圾邮件中的已Received邮件标题(仅查看您自己的服务器写入的已收到的邮件列表,其余可能是假的),以了解有关垃圾邮件发送者的更多信息,以及他如何欺骗您的sendmail接受垃圾邮件。 服务器上的其他头文件addes也可能有帮助。
如果你自己无法理解日志或标题行,请将它们添加到您的问题中,以便我们提供帮助。