iT邦幫忙

0

我的Mail server是不是被內部人員狂發垃圾信?

ward88 2010-04-28 10:53:4916552 瀏覽

最近我的一部mail server一直出現以下的類似訊息,導致收發信都很慢:
Apr 28 10:51:22 mail postfix/error[29767]: 44F8BA7284: to=<fa113n@yahoo.com>, relay=none, delay=555960, delays=551130/4781/0/49, dsn=4.7.1, status=deferred (delivery temporarily suspended: host f.mx.mail.yahoo.com[98.137.54.237] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html)
Apr 28 10:51:22 mail postfix/error[28977]: D87386A69F3: to=<k3cra0ig@yahoo.com>, relay=none, delay=179190, delays=174361/4782/0/47, dsn=4.7.1, status=deferred (delivery temporarily suspended: host f.mx.mail.yahoo.com[98.137.54.237] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html)
Apr 28 10:51:22 mail postfix/error[29299]: 578A56B4BD2: to=<be_with_kk@yahoo.co.in>, relay=none, delay=503145, delays=498316/4797/0/32, dsn=4.7.1, status=deferred (delivery temporarily suspended: host in32.mxauth.yahoo.com[202.86.5.24] refused to talk to me: 421 4.7.1 [TS03] All messages from 218.241.81.77 will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/errors/421-ts03.html)

有哪位高手可以幫小弟解惑,是不是內部的同仁從內發垃圾信到外呢(都沒有from的address)?
謝謝解答

ayu iT邦好手 5 級 ‧ 2010-05-01 22:06:15 檢舉
真的講起來有好多細節需要觀察才好判斷, 很難一一詳列,
maillog的確可以看出線索, 但需要一些實務經驗基礎.
建議您首先認清公司的mail system架構/流程,
mail gateway/filter , mail server , smtp server 分別是哪台?
可以的話, 找高手就近實地幫你看, 因為我懷疑這不是單純的mail relay issue,
已經是資安層面的問題了, 特別是, 公司所有的server上是否有奇怪的登入或
程式在運作, 此即我所懷疑更麻煩的情況.
如果公司有架無線網路的話也要留意.

其它:
.77 當然檢測不出Open Relay, 因為對外界而言它沒有smtp回應,
但即使mail daemon未啟動, 本機仍然有寄信能力.

.74 有正常smtp回應, 也裝了OpenWebMail/pop3等,
感覺這似乎才是你們的 mail server .
ayu iT邦好手 5 級 ‧ 2010-05-01 22:07:45 檢舉
至於反解驗證, 就我的認知是, 對於來源IP先查其PTR Record,
然後再對 PTR Record 查其IP, 是否與來源IP吻合.
對照您的問題, 即使mail daemon設定無誤, 光是反解驗證這部份,
就足以造成很多別處的mail server拒絕連線, 如果他們有啟動正反解檢查的話.
前年某家ISP也曾經這樣, 只做了PTR Record, 卻沒有 PTR Record 的正解,
簡單講, 反解只做了一半, 造成的結果就是客戶的mail server很容易被拒絕掉!

雖然提這個跟你現在的議題無關, 但在伺服器的狀況排除後, 必須解決喔!
12
tombo
iT邦高手 1 級 ‧ 2010-04-28 15:32:10
最佳解答

這只是 Log 的一部份啦,

SMTP一定會有 From 的 IP,只是它沒有錯誤訊息,所以你不會想到跟它有關!
你貼出來的訊息只對方的SMTP拒收你的信件,所以SMTP Server留存的 Log

請你在 Log 裡面搜尋 44F8BA7284 , D87386A69F3 , 578A56B4BD2
這三組字串,你就可以找到成對的訊息(寄信時的 Log, SMTP 送信時的 Log)

看更多先前的回應...收起先前的回應...
ward88 iT邦新手 5 級 ‧ 2010-04-29 13:22:56 檢舉

有發現一堆的from訊息,這是不是表示我的mail server被人家當跳板發垃圾信呢?
Apr 28 11:21:02 mail postfix/qmgr[32043]: B8F6A6A7D59: from=<frank@libero.it>, size=1006, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 4042E6BBAC6: from=<fundinvestigation@live.com>, size=4126, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: D87386A69F3: from=<jay@yahoo.com>, size=1733, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: D9D29A72AD: from=<pay.inter@accountant.com>, size=1770, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 554AC6B50CB: from=<benedictocucchi@notarios.com>, size=1537, nrcpt=50 (queue active)
Apr 28 11:21:02 mail postfix/qmgr[32043]: 5DA6A6AE288: from=<fundinvestigation@live.com>, size=4162, nrcpt=50 (queue active)
可以給我一個方向找問題嗎?
謝謝!!

tombo iT邦高手 1 級 ‧ 2010-04-29 18:36:00 檢舉

ward88提到:
可以給我一個方向找問題嗎?

我認為應該是被當成跳板(Open Relay)了!

1.一開始的 Log , to 是給非貴公司的信
2.您接下來提供的 Log ,from 也非貴公司的網域

很明顯的,貴公司郵件主機被當成轉寄站 (Open Relay)
以下網址是我的部落格,裡面有介紹一些測試 Open Relay 的網站,
你可以去測試一下,應該不會有錯。
http://tomliu888.blogspot.com/2010/04/blog-post\_6760.html

至於 Postfix...嗯...我沒用過,我以前都是用 sendmail,我去找看看相關設定如何改正...

ayu iT邦好手 5 級 ‧ 2010-04-30 00:39:40 檢舉

確定是open relay, 且Yahoo方面無條件拒收.
樓主在北京工作嗎? DNS和mail server是很密切關聯的, 近期是否有異動?
一些異象, 最好徹底清楚到底怎麼回事, 說不定還有更麻煩的情況....
$ host 218.241.81.77
77.81.241.218.IN-ADDR.ARPA domain name pointer mail.nexcom.cn

$ host mail.nexcom.cn
mail.nexcom.cn has address 218.241.81.74

nexcom.cn 的 mail gateway指定給 mail.nexcom.cn , IP是218.241.81.74 ,
而 218.241.81.77 確也說自己是 mail.nexcom.cn

tombo iT邦高手 1 級 ‧ 2010-04-30 01:11:50 檢舉

方便的話,請將 master.cf & main.cf 貼出來看看吧
照理講,預設應該只有區網能夠 Relay ,一定是你哪裡設錯了...

另外,貼 Log 時,請記得把自己的 IP 改掉...小心為上

還有...貴公司的 IIS 網站恐怕也是兇多吉少...

ward88 iT邦新手 5 級 ‧ 2010-04-30 09:34:05 檢舉

感謝大大提醒,不過我也有到http://www.checkor.com/這裡測試過,都有Relay access denied,所以還是很納悶為何會這樣?會跟ayu大大講的有關嗎?因為218.241.81.77也說自己是mail.nexcom.cn的原因嗎?

12
amigoccs
iT邦研究生 4 級 ‧ 2010-04-28 11:50:06

由於 To 的部份不斷變換,又沒有 From,有可能是發垃圾信的行為,也可能是更嚴重的釣魚信件

發送的方式來看,不是標準的 Outlook or Lotus Notes,有可能是木馬或被植入轉寄垃圾信軟體

垃圾信攻擊法之一,是藉由在 From 中填寫實際上希望寄送的收件人,隨意填寫 To,讓信件被退回給寄件人時,就以正確的方式被送達,不過如果你的信件確定沒有 From,應該就不是這種攻擊

建議您可以利用設定要先核對使用者身分才可以寄信,這樣就可以避免。請利用 Google 搜尋 "postfix 寄信認證" 即可

接下來就是依照 Log,檢查哪台機器一直沒有通過寄件者認證,就有機會抓到是哪個端點的問題

2
nicklee0309
iT邦新手 5 級 ‧ 2010-04-30 13:53:49

218.241.81.77 和 218.241.81.74 這兩個只是有做反解而已
反解只是用來驗證的方式之一,和這個無關

會出現這種log ,就是你mail server 或是 以前別人使用的ip (218.241.81.77)寄廣告信寄太兇,才會被yahoo 拒絕...

另外,你丟的mail log 都不夠詳細,一個完整的mail log 應該如下
1.從那個ip 連上來
Apr 30 05:31:33 my-server postfix/smtpd[33383]: connect from hermes.books.com.tw[5
8.86.40.104]
2.連進來後,smtpd 的動作,給予編號:7491C33C20
Apr 30 05:31:33 my-server postfix/smtpd[33383]: 7491C33C20: client=hermes.books.co
m.tw[58.86.40.104]

3.轉message-id
Apr 30 05:31:33 my-server postfix/cleanup[33397]: 7491C33C20: message-id=<20100429
213133.7491C33C20@my-server>

4.確定收信進來
Apr 30 05:31:33 my-server postfix/qmgr[980]: 7491C33C20: from=<epaper@epaper.books
.com.tw>, size=18099, nrcpt=1 (queue active)

5.結束連線
Apr 30 05:31:33 my-server postfix/smtpd[33383]: disconnect from hermes.books.com.t
w[58.86.40.104]
6.內部server 動作
Apr 30 05:31:33 my-server postfix/local[33398]: 7491C33C20: to=<me@my-server>, relay=local, delay=0.41, delays=0.4/0.01/0/0, dsn=2.0.0, status=sent (delive
red to mailbox)

7.移除編號7491C33C20
Apr 30 05:31:33 my-server postfix/qmgr[980]: 7491C33C20: removed

建議你把你的mail.cf 設定檔丟出來,主要看一下這兩個欄位的設定為何...
smtpd_sender_restrictions =
smtpd_client_restrictions =

看更多先前的回應...收起先前的回應...
ward88 iT邦新手 5 級 ‧ 2010-04-30 14:43:51 檢舉

這是裡面的其中一段設定:
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
smtpd_sasl_path = smtpd
smtpd_sasl_local_domain= $myhostname
smtpd_recipient_restrictions = reject_unknown_sender_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unknown_recipient_domain
smtpd_sasl_security_options = noanonymous
smtpd_client_restrictions= reject_rbl_client sbl-xbl.spamhaus.org
smtpd_client_restrictions= check_client_access hash:/etc/postfix/access
smtpd_helo_required = yes
disable_vrfy_command = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554

tombo iT邦高手 1 級 ‧ 2010-04-30 16:37:33 檢舉
tombo iT邦高手 1 級 ‧ 2010-04-30 16:39:14 檢舉

nicklee0309提到:
smtpd_client_restrictions

http://www.postfix.org/postconf.5.html#smtpd\_client\_restrictions
用這個來允許區網免驗證

tombo iT邦高手 1 級 ‧ 2010-04-30 18:29:34 檢舉

請順便在 Log 中,查一下 PID 號碼相同的 Log

我要發表回答

立即登入回答