最近我的一部mail server一直出現以下的類似訊息,導致收發信都很慢:
Apr 28 10:51:22 mail postfix/error[29767]: 44F8BA7284: to=<fa113n@yahoo.com>, relay=none, delay=555960, delays=551130/4781/0/49, dsn=4.7.1, status=deferred (delivery temporarily suspended: host f.mx.mail.yahoo.com[98.137.54.237] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html)
Apr 28 10:51:22 mail postfix/error[28977]: D87386A69F3: to=<k3cra0ig@yahoo.com>, relay=none, delay=179190, delays=174361/4782/0/47, dsn=4.7.1, status=deferred (delivery temporarily suspended: host f.mx.mail.yahoo.com[98.137.54.237] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html)
Apr 28 10:51:22 mail postfix/error[29299]: 578A56B4BD2: to=<be_with_kk@yahoo.co.in>, relay=none, delay=503145, delays=498316/4797/0/32, dsn=4.7.1, status=deferred (delivery temporarily suspended: host in32.mxauth.yahoo.com[202.86.5.24] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)
有哪位高手可以幫小弟解惑,是不是內部的同仁從內發垃圾信到外呢(都沒有from的address)?
謝謝解答
已邀請的邦友 {{ invite_list.length }}/5
這只是 Log 的一部份啦,
SMTP一定會有 From 的 IP,只是它沒有錯誤訊息,所以你不會想到跟它有關!
你貼出來的訊息只對方的SMTP拒收你的信件,所以SMTP Server留存的 Log
請你在 Log 裡面搜尋 44F8BA7284 , D87386A69F3 , 578A56B4BD2
這三組字串,你就可以找到成對的訊息(寄信時的 Log, SMTP 送信時的 Log)
有發現一堆的from訊息,這是不是表示我的mail server被人家當跳板發垃圾信呢?
Apr 28 11:21:02 mail postfix/qmgr[32043]: B8F6A6A7D59: from=<frank@libero.it>, size=1006, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 4042E6BBAC6: from=<fundinvestigation@live.com>, size=4126, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: D87386A69F3: from=<jay@yahoo.com>, size=1733, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: D9D29A72AD: from=<pay.inter@accountant.com>, size=1770, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 554AC6B50CB: from=<benedictocucchi@notarios.com>, size=1537, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 5DA6A6AE288: from=<fundinvestigation@live.com>, size=4162, nrcpt=50 (queue active)
可以給我一個方向找問題嗎?
謝謝!!
ward88提到:
可以給我一個方向找問題嗎?
我認為應該是被當成跳板(Open Relay)了!
1.一開始的 Log , to 是給非貴公司的信
2.您接下來提供的 Log ,from 也非貴公司的網域
很明顯的,貴公司郵件主機被當成轉寄站 (Open Relay)
以下網址是我的部落格,裡面有介紹一些測試 Open Relay 的網站,
你可以去測試一下,應該不會有錯。
http://tomliu888.blogspot.com/2010/04/blog-post_6760.html
至於 Postfix...嗯...我沒用過,我以前都是用 sendmail,我去找看看相關設定如何改正...
確定是open relay, 且Yahoo方面無條件拒收.
樓主在北京工作嗎? DNS和mail server是很密切關聯的, 近期是否有異動?
一些異象, 最好徹底清楚到底怎麼回事, 說不定還有更麻煩的情況....
$ host 218.241.81.77
77.81.241.218.IN-ADDR.ARPA domain name pointer mail.nexcom.cn
$ host mail.nexcom.cn
mail.nexcom.cn has address 218.241.81.74
nexcom.cn 的 mail gateway指定給 mail.nexcom.cn , IP是218.241.81.74 ,
而 218.241.81.77 確也說自己是 mail.nexcom.cn
方便的話,請將 master.cf & main.cf 貼出來看看吧
照理講,預設應該只有區網能夠 Relay ,一定是你哪裡設錯了...
另外,貼 Log 時,請記得把自己的 IP 改掉...小心為上
還有...貴公司的 IIS 網站恐怕也是兇多吉少...
感謝大大提醒,不過我也有到http://www.checkor.com/這裡測試過,都有Relay access denied,所以還是很納悶為何會這樣?會跟ayu大大講的有關嗎?因為218.241.81.77也說自己是mail.nexcom.cn的原因嗎?
由於 To 的部份不斷變換,又沒有 From,有可能是發垃圾信的行為,也可能是更嚴重的釣魚信件
發送的方式來看,不是標準的 Outlook or Lotus Notes,有可能是木馬或被植入轉寄垃圾信軟體
垃圾信攻擊法之一,是藉由在 From 中填寫實際上希望寄送的收件人,隨意填寫 To,讓信件被退回給寄件人時,就以正確的方式被送達,不過如果你的信件確定沒有 From,應該就不是這種攻擊
建議您可以利用設定要先核對使用者身分才可以寄信,這樣就可以避免。請利用 Google 搜尋 "postfix 寄信認證" 即可
接下來就是依照 Log,檢查哪台機器一直沒有通過寄件者認證,就有機會抓到是哪個端點的問題
218.241.81.77 和 218.241.81.74 這兩個只是有做反解而已
反解只是用來驗證的方式之一,和這個無關
會出現這種log ,就是你mail server 或是 以前別人使用的ip (218.241.81.77)寄廣告信寄太兇,才會被yahoo 拒絕...
另外,你丟的mail log 都不夠詳細,一個完整的mail log 應該如下
1.從那個ip 連上來
Apr 30 05:31:33 my-server postfix/smtpd[33383]: connect from hermes.books.com.tw[5
8.86.40.104]
2.連進來後,smtpd 的動作,給予編號:7491C33C20
Apr 30 05:31:33 my-server postfix/smtpd[33383]: 7491C33C20: client=hermes.books.co
m.tw[58.86.40.104]
3.轉message-id
Apr 30 05:31:33 my-server postfix/cleanup[33397]: 7491C33C20: message-id=<20100429
213133.7491C33C20@my-server>
4.確定收信進來
Apr 30 05:31:33 my-server postfix/qmgr[980]: 7491C33C20: from=<epaper@epaper.books
.com.tw>, size=18099, nrcpt=1 (queue active)
5.結束連線
Apr 30 05:31:33 my-server postfix/smtpd[33383]: disconnect from hermes.books.com.t
w[58.86.40.104]
6.內部server 動作
Apr 30 05:31:33 my-server postfix/local[33398]: 7491C33C20: to=<me@my-server>, relay=local, delay=0.41, delays=0.4/0.01/0/0, dsn=2.0.0, status=sent (delive
red to mailbox)
7.移除編號7491C33C20
Apr 30 05:31:33 my-server postfix/qmgr[980]: 7491C33C20: removed
建議你把你的mail.cf 設定檔丟出來,主要看一下這兩個欄位的設定為何...
smtpd_sender_restrictions =
smtpd_client_restrictions =
這是裡面的其中一段設定:
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
smtpd_sasl_path = smtpd
smtpd_sasl_local_domain= $myhostname
smtpd_recipient_restrictions = reject_unknown_sender_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unknown_recipient_domain
smtpd_sasl_security_options = noanonymous
smtpd_client_restrictions= reject_rbl_client sbl-xbl.spamhaus.org
smtpd_client_restrictions= check_client_access hash:/etc/postfix/access
smtpd_helo_required = yes
disable_vrfy_command = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
nicklee0309提到:
smtpd_client_restrictions
http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
用這個來允許區網免驗證
請順便在 Log 中,查一下 PID 號碼相同的 Log
iThome鐵人賽
看影片追技術