iT邦幫忙

0

linux Undelivered Mail Returned to Sender?

一直收到如下的訊息
公司有裝郵件守門員,看起來是郵件守門員說我的寄信有毒拒收?

大都如下的信件,而且大部份都是系統帳號info,httpd等等的在寄信
我中毒了嗎?

This is the Symantec Mail Security program at host sms8360-029.securemail.hinet.net.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The Symantec Mail Security program

<info@8888.com.tw>: host 10.10.25.199[10.10.25.199] said: 550 5.1.1 unknown or
illegal alias: info@8888.com.tw (in reply to RCPT TO command)

--
This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.

退回的細節信件
Reporting-MTA: dns; sms8360-029.securemail.hinet.net
X-Symantec-Mail-Security-Queue-ID: 812B8520113
X-Symantec-Mail-Security-Sender: rfc822; info@8888.com.tw
Arrival-Date: Fri, 30 Jul 2010 07:08:19 +0800 (CST)

Final-Recipient: rfc822; info@8888.com.tw
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Symantec-Mail-Security; host 10.10.25.199[10.10.25.199]
said: 550 5.1.1 unknown or illegal alias: info@8888.com.tw (in reply to RCPT
TO command)

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

12
Ray
iT邦大神 1 級 ‧ 2010-08-03 11:00:24
最佳解答

def123452002提到:
<info@8888.com.tw>: host 10.10.25.199[10.10.25.199] said: 550 5.1.1 unknown or illegal alias: info@8888.com.tw (in reply to RCPT TO command...(恕刪)

問題是出在上面這裡:
您的系統內沒有 info@8888.com.tw 這個收件人, 所以被判定成偽造信件....

您可以試著將這個帳號, 加進 SMS 的 White List 裡面試試看....

看更多先前的回應...收起先前的回應...

您好,又和您見面啦~簽名

mis人員真不是人幹的處理完一個事情又有一個~Orz

有的,收到的退信看起來都是一些系統預設的帳號

bin ,named ,http等等
他們都是自己寄信給自己垃圾信和廣告信,暈

Ray iT邦大神 1 級 ‧ 2010-08-03 21:14:19 檢舉

喔, 那是我誤會了....您的意思是說: 這些信其實都不是你公司寄出去的, 但被退回到公司的 Server 上?

若是這樣的話, 其實可以不用理會, 這是常見的垃圾信手法, 只要您的守門員攔得住就沒事....

您好如何判斷是正常的呢?

就是怕主機有問題(個人勉強把之前和您請教那台主機上線了)

怕會不會是不會設定.導致系統預設的帳號一直在對外發垃圾信暈

從LOG裡看的出來嗎?

Ray iT邦大神 1 級 ‧ 2010-08-04 00:05:56 檢舉

我個人認為沒有甚麼大礙, 而且你前面還有守門員擋著, 應該不至於出問題.

Log 當然也可以研究看看: /var/log/maillog

上次得知您的系統上線, 也讓我鬆了一口氣....

&lt;pre class="c" name="code">Aug  4 02:20:39 8888x milter-greylist: o73IKdDZ018566: addr 210.242.46.192 from &lt;> rcpt &lt;named@8888.com.tw>: autowhitelisted for more 72:00:00

Aug  4 02:20:39 8888x sendmail[18566]: o73IKdDZ018566: from=&lt;>, size=3370, class=0, nrcpts=1, msgid=&lt;20100803182245.A6977520526@sms8360-029.securemail.hinet.net>, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=210-242-46-192.HINET-IP.hinet.net [210.242.46.192] (may be forged)

Aug  4 02:20:39 8888x sendmail[18566]: o73IKdDZ018566: Milter add: header: X-Greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-3.0 (mail.8888.com.tw [192.168.1.17]); Wed, 04 Aug 2010 02:20:39 +0800 (CST)

您好/var/log/maillog裡確實有這named的信件記錄
不過我看不太懂,可否請您幫忙確認一下是否有問題

我有在一個網站上看到說建議刪除沒有用的系統預建帳號
這樣真的好嗎?

1.刪除系統特殊的的用戶帳號:
禁止所有默認的被操作系統本身啟動的且不需要的帳號,當你第一次裝上系統時就應該做此檢查,Linux提供了各種帳號,你可能不需要,如果你不需要這個帳號,就移走它,你有的帳號越多,就越容易受到攻擊。
================================================== ====================
#為刪除你係統上的用戶,用下面的命令:
[root@c1gstudio]# userdel username
#批量刪除方式
#這裡刪除"adm lp sync shutdown halt mail news uucp operator games gopher ftp "賬號
#如果你開著ftp等服務可以把ftp賬號保留下來。
for i in adm lp sync shutdown halt mail news uucp ope
rator games gopher ftp ;do userdel $i ;done
================================================== ====================
2.刪除系統特殊的組帳號
[root@c1gstudio]# groupdel groupname
#批量刪除方式
for i in adm lp mail news uucp games dip pppusers pop
users slipusers ;do groupdel $i ;done
================================================== ====================
3.用戶密碼設置
安裝linux時默認的密碼最小長度是5個字節,但這並不夠,要把它設為8個字節。修改最短密碼長度需要編輯login.defs文件#vi /etc/login.defs
PASS_MAX_DAYS 99999 [...]

Ray iT邦大神 1 級 ‧ 2010-08-04 14:17:53 檢舉

def123452002提到:
您好/var/log/maillog裡確實有這named的信件記錄
不過我看不太懂,可否請您幫忙確認一下是否有問題

看起來應該是沒有影響, 如果沒猜錯的話, 這些信應該都被守門員的灰名單機制攔下來了....

Ray iT邦大神 1 級 ‧ 2010-08-04 14:20:24 檢舉

def123452002提到:
我有在一個網站上看到說建議刪除沒有用的系統預建帳號
這樣真的好嗎?

我是很少這麼做, 不過前提是防護措施要足夠...

我最後一次被駭客用系統帳號入侵 Linux, 是在 1995 年左右, 此後都被我攔阻, 沒有入侵成功的紀錄.

您好其實我看了還是不懂log裡在說什麼,

可以請您大概解釋一下流程嗎?

還有上面的轉貼文章,把系統的預設帳號砍了可以嗎

我說的流程是指
您可否稍解釋一下我的maillog
named到底在做些什麼事?

而我的目前收到Undelivered Mail Returned to Sender
的原因是為什麼呢~

雖然您說沒問題,但是我沒把為何會發生的原因弄懂,這樣心裡感覺總是怪怪的,謝謝您了

Ray iT邦大神 1 級 ‧ 2010-08-04 16:49:38 檢舉

def123452002提到:
而我的目前收到Undelivered Mail Returned to Sender
的原因是為什麼呢~

這個 Log 顯示的過程很單純:

  1. 有人從 210.242.46.192 想要寄一封信給你的 named@8888.com.tw
  2. sendmail 收下這封信
  3. milter-greylist 自動在該信標頭加上標示.

如果你的系統內沒有這個人的話, 信會自動被退回; 但現在 sendmail 會收下來, 代表系統內有這個人存在. 不過, 如果此帳號其實是個系統帳號, 平時不可能會收信的話, 您可以直接將此帳號設定為 sendmail 的黑名單, 以後就不會再寄進來了.

我判定沒有影響, 是因為此帳號不會去收信, 所以不論信裡面夾了甚麼訊息或木馬, 對該帳號都沒有作用.

感謝~這個mail server 未來還可能有一些問題,還要請您多幫忙了,謝謝

6
plums
iT邦高手 1 級 ‧ 2010-08-03 23:15:08

那些都是linux的系統帳號,有可能是裡面的某一個user的密碼被知道(或是空白),導致被外部駭客連進來拼命寄廣告信,也不排除內部的電腦中毒所致,可以看一下系統每日的連線log,在root的信箱裡可以看得到,或是直接看mail的log,在/var/log/maillog(會有很多個),查一下有大量的連線的ip就知道了,以上這二個都是系統預設的

您好,我的USER帳號都設成nologin了,希望不是這個問題

至於查看每日連線的log在root信箱裡這句話我應如何做呢?

plums iT邦高手 1 級 ‧ 2010-08-03 23:47:34 檢舉

def123452002提到:
查看每日連線的log在root信箱裡

我對linux的text mode不熟,我都是用webmin這套web化的遠端圖形介面去查看linux的所有設定,很適合輕量的linux管理者,建議您使用,http://www.webmin.com/

用這套管理工具,我可以在web上直接開啟上述的log mail,或是將root下的mail移至管理者帳號後以pop3收取再細看

這套管理工具安裝設定不難,當初也是sun的工程師建議我用的,基本上可以用在所有的unix或linux系統上,使用也有九年的時間了,強力推薦之

我要發表回答

立即登入回答