linux Undelivered Mail Returned to Sender?

linux centos 寄信黑名單退信

def123452002 2010-08-03 10:30:01 ‧ 14100 瀏覽

分享至

一直收到如下的訊息
公司有裝郵件守門員,看起來是郵件守門員說我的寄信有毒拒收?

大都如下的信件,而且大部份都是系統帳號info,httpd等等的在寄信
我中毒了嗎?

This is the Symantec Mail Security program at host sms8360-029.securemail.hinet.net.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The Symantec Mail Security program

<info@8888.com.tw>: host 10.10.25.199[10.10.25.199] said: 550 5.1.1 unknown or
illegal alias: info@8888.com.tw (in reply to RCPT TO command)

--
This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.

退回的細節信件
Reporting-MTA: dns; sms8360-029.securemail.hinet.net
X-Symantec-Mail-Security-Queue-ID: 812B8520113
X-Symantec-Mail-Security-Sender: rfc822; info@8888.com.tw
Arrival-Date: Fri, 30 Jul 2010 07:08:19 +0800 (CST)

Final-Recipient: rfc822; info@8888.com.tw
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Symantec-Mail-Security; host 10.10.25.199[10.10.25.199]
said: 550 5.1.1 unknown or illegal alias: info@8888.com.tw (in reply to RCPT
TO command)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2010-08-03 11:00:24

最佳解答

def123452002提到：
<info@8888.com.tw>: host 10.10.25.199[10.10.25.199] said: 550 5.1.1 unknown or illegal alias: info@8888.com.tw (in reply to RCPT TO command...(恕刪)

問題是出在上面這裡:
您的系統內沒有 info@8888.com.tw 這個收件人, 所以被判定成偽造信件....

您可以試著將這個帳號, 加進 SMS 的 White List 裡面試試看....

回應 12
分享
檢舉

看更多先前的回應...收起先前的回應...

def123452002 iT邦新手 5 級 ‧ 2010-08-03 11:08:39 檢舉

您好,又和您見面啦~

mis人員真不是人幹的處理完一個事情又有一個~

有的,收到的退信看起來都是一些系統預設的帳號

bin ,named ,http等等
他們都是自己寄信給自己垃圾信和廣告信,

Ray iT邦大神 1 級 ‧ 2010-08-03 21:14:19 檢舉

喔, 那是我誤會了....您的意思是說: 這些信其實都不是你公司寄出去的, 但被退回到公司的 Server 上?

若是這樣的話, 其實可以不用理會, 這是常見的垃圾信手法, 只要您的守門員攔得住就沒事....

def123452002 iT邦新手 5 級 ‧ 2010-08-03 22:45:45 檢舉

您好如何判斷是正常的呢?

就是怕主機有問題(個人勉強把之前和您請教那台主機上線了)

怕會不會是不會設定.導致系統預設的帳號一直在對外發垃圾信

從LOG裡看的出來嗎?

Ray iT邦大神 1 級 ‧ 2010-08-04 00:05:56 檢舉

我個人認為沒有甚麼大礙, 而且你前面還有守門員擋著, 應該不至於出問題.

Log 當然也可以研究看看: /var/log/maillog

上次得知您的系統上線, 也讓我鬆了一口氣....

def123452002 iT邦新手 5 級 ‧ 2010-08-04 13:21:36 檢舉

&lt;pre class="c" name="code">Aug  4 02:20:39 8888x milter-greylist: o73IKdDZ018566: addr 210.242.46.192 from &lt;> rcpt &lt;named@8888.com.tw>: autowhitelisted for more 72:00:00

Aug  4 02:20:39 8888x sendmail[18566]: o73IKdDZ018566: from=&lt;>, size=3370, class=0, nrcpts=1, msgid=&lt;20100803182245.A6977520526@sms8360-029.securemail.hinet.net>, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=210-242-46-192.HINET-IP.hinet.net [210.242.46.192] (may be forged)

Aug  4 02:20:39 8888x sendmail[18566]: o73IKdDZ018566: Milter add: header: X-Greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-3.0 (mail.8888.com.tw [192.168.1.17]); Wed, 04 Aug 2010 02:20:39 +0800 (CST)

您好/var/log/maillog裡確實有這named的信件記錄
不過我看不太懂,可否請您幫忙確認一下是否有問題

def123452002 iT邦新手 5 級 ‧ 2010-08-04 13:43:34 檢舉

我有在一個網站上看到說建議刪除沒有用的系統預建帳號
這樣真的好嗎?

1.刪除系統特殊的的用戶帳號：
禁止所有默認的被操作系統本身啟動的且不需要的帳號，當你第一次裝上系統時就應該做此檢查，Linux提供了各種帳號，你可能不需要，如果你不需要這個帳號，就移走它，你有的帳號越多，就越容易受到攻擊。
================================================== ====================
#為刪除你係統上的用戶，用下面的命令：
[root@c1gstudio]# userdel username
#批量刪除方式
#這裡刪除"adm lp sync shutdown halt mail news uucp operator games gopher ftp "賬號
#如果你開著ftp等服務可以把ftp賬號保留下來。
for i in adm lp sync shutdown halt mail news uucp ope
rator games gopher ftp ;do userdel $i ;done
================================================== ====================
2.刪除系統特殊的組帳號
[root@c1gstudio]# groupdel groupname
#批量刪除方式
for i in adm lp mail news uucp games dip pppusers pop
users slipusers ;do groupdel $i ;done
================================================== ====================
3.用戶密碼設置
安裝linux時默認的密碼最小長度是5個字節，但這並不夠，要把它設為8個字節。修改最短密碼長度需要編輯login.defs文件#vi /etc/login.defs
PASS_MAX_DAYS 99999 [...]

Ray iT邦大神 1 級 ‧ 2010-08-04 14:17:53 檢舉

def123452002提到：
您好/var/log/maillog裡確實有這named的信件記錄
不過我看不太懂,可否請您幫忙確認一下是否有問題

看起來應該是沒有影響, 如果沒猜錯的話, 這些信應該都被守門員的灰名單機制攔下來了....

Ray iT邦大神 1 級 ‧ 2010-08-04 14:20:24 檢舉

def123452002提到：
我有在一個網站上看到說建議刪除沒有用的系統預建帳號
這樣真的好嗎?

我是很少這麼做, 不過前提是防護措施要足夠...

我最後一次被駭客用系統帳號入侵 Linux, 是在 1995 年左右, 此後都被我攔阻, 沒有入侵成功的紀錄.

def123452002 iT邦新手 5 級 ‧ 2010-08-04 14:21:20 檢舉

您好其實我看了還是不懂log裡在說什麼,

可以請您大概解釋一下流程嗎?

還有上面的轉貼文章,把系統的預設帳號砍了可以嗎

def123452002 iT邦新手 5 級 ‧ 2010-08-04 14:23:58 檢舉

我說的流程是指
您可否稍解釋一下我的maillog
named到底在做些什麼事?

而我的目前收到Undelivered Mail Returned to Sender
的原因是為什麼呢~

雖然您說沒問題,但是我沒把為何會發生的原因弄懂,這樣心裡感覺總是怪怪的,謝謝您了

Ray iT邦大神 1 級 ‧ 2010-08-04 16:49:38 檢舉

def123452002提到：
而我的目前收到Undelivered Mail Returned to Sender
的原因是為什麼呢~

這個 Log 顯示的過程很單純:

有人從 210.242.46.192 想要寄一封信給你的 named@8888.com.tw
sendmail 收下這封信
milter-greylist 自動在該信標頭加上標示.

如果你的系統內沒有這個人的話, 信會自動被退回; 但現在 sendmail 會收下來, 代表系統內有這個人存在. 不過, 如果此帳號其實是個系統帳號, 平時不可能會收信的話, 您可以直接將此帳號設定為 sendmail 的黑名單, 以後就不會再寄進來了.

我判定沒有影響, 是因為此帳號不會去收信, 所以不論信裡面夾了甚麼訊息或木馬, 對該帳號都沒有作用.

def123452002 iT邦新手 5 級 ‧ 2010-08-04 19:08:13 檢舉

感謝~這個mail server 未來還可能有一些問題,還要請您多幫忙了,謝謝

登入發表回應

plums

iT邦高手 1 級 ‧ 2010-08-03 23:15:08

那些都是linux的系統帳號，有可能是裡面的某一個user的密碼被知道（或是空白），導致被外部駭客連進來拼命寄廣告信，也不排除內部的電腦中毒所致，可以看一下系統每日的連線log，在root的信箱裡可以看得到，或是直接看mail的log，在/var/log/maillog（會有很多個），查一下有大量的連線的ip就知道了，以上這二個都是系統預設的

回應 2
分享
檢舉

def123452002 iT邦新手 5 級 ‧ 2010-08-03 23:20:50 檢舉

您好,我的USER帳號都設成nologin了,希望不是這個問題

至於查看每日連線的log在root信箱裡這句話我應如何做呢?

plums iT邦高手 1 級 ‧ 2010-08-03 23:47:34 檢舉

def123452002提到：
查看每日連線的log在root信箱裡

我對linux的text mode不熟，我都是用webmin這套web化的遠端圖形介面去查看linux的所有設定，很適合輕量的linux管理者，建議您使用，http://www.webmin.com/

用這套管理工具，我可以在web上直接開啟上述的log mail，或是將root下的mail移至管理者帳號後以pop3收取再細看

這套管理工具安裝設定不難，當初也是sun的工程師建議我用的，基本上可以用在所有的unix或linux系統上，使用也有九年的時間了，強力推薦之

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙