iT邦幫忙

0

sendmail大量發垃圾信

公司mail在大量發垃圾信
在webmin有一段log讓我覺得是被當轉信站
以下是log
Jul 26 11:39:31 mail sendmail[11080]: p6Q3bh7k011080: from=<carlos@jknet.com.br>,
size=5203, class=0, nrcpts=50,
msgid=<201107260338.p6Q3bh7k011080@mail.domain>, proto=ESMTP, daemon=MTA,
relay=ml82.128.12.226.multilinks.com [82.128.12.226]
Jul 27 23:50:27 mail sendmail[19614]: p6Q3bh7k011080:
to=<candy23315978@yahoo.com>,<candyce_s@yahoo.com>,<candygirl602003@yahoo.com>,<candyjimmyjames@yahoo.com>,<candymudd@yahoo.com>,<candyronnie1963@yahoo.com>,<candys51@yahoo.com>,<caneshathompson2007@yahoo.com>,<canniebstopped@yahoo.com>,<cano6923@yahoo.com>,<cantaloci@yahoo.com>,<cantrice1217@yahoo.com>,<capiral_chris@yahoo.com>,<capresa1@yahoo.com>,<capri_1996@yahoo.com>,<caprice158@yahoo.com>,<capt325305@yahoo.com>,<captinoftheloveboat@yahoo.com>,
delay=1+12:12:24, xdelay=00:00:00, mailer=esmtp, pri=3935203,
relay=i.mx.mail.yahoo.com., dsn=4.0.0, stat=Deferred
access裡面的relay設定也正常
只設定幾個ip可以用...
請問各位先進有什麼建議,給我個方向去處理...

8
stonecode
iT邦研究生 5 級 ‧ 2011-07-29 00:35:02
最佳解答

這帳號有極大的可能被使用bruteforce破解或是被猜中密碼, 而作為跳板, 以下建議 :

  1. 請先修改可能被當作跳板帳號之密碼, 並用tail -f /var/log/maillog 持續觀察
  2. 使用類似wireshark等可以抓網路封包的工具, 於mail server端抓取封包, 針對不正常記錄之封包或產生error之封包作解讀是何問題
ehawk iT邦研究生 1 級 ‧ 2011-07-30 00:10:16 檢舉

工作有分先後,一、二樓所建議是首要工作。
可到此站看看:http://spam.gsnmm.gov.tw/

10
逮丸逮丸
iT邦大師 1 級 ‧ 2011-07-28 16:47:33

你的 sendmail 的版本為何?
建議換到最新。

過去也有這樣的經驗:
自己從那不被允的ip來測,
所以覺得設得沒問題,
但就是不明原因被 relay,
只能推測是:
有人try出來 sendmail 的一些我自己所不知的漏洞,
而可以利用來 relay。
只要換成最新版,
這個所不知的漏洞也就不存在了。

rickyasdf iT邦新手 5 級 ‧ 2011-07-28 17:30:59 檢舉

我的版本是Sendmail 8.13.8
請問先進 最新版本是??

wiseguy iT邦超人 1 級 ‧ 2011-07-28 17:58:28 檢舉

最新版本,這種連一下官方站就能知道的事,就不用問了吧?
請洽http://www.sendmail.com/sm/open\_source/download/

rickyasdf iT邦新手 5 級 ‧ 2011-07-28 18:17:46 檢舉

tks 所學不多

10
mwu4
iT邦新手 2 級 ‧ 2011-07-28 20:55:33

除了您所提的紀錄外,請問大量發垃圾信是有其他單位反應,還是有其他狀況?另可試利用下列網頁去測試是否有open relay:
http://www.checkor.com/
http://spam.gsnmm.gov.tw/cgi-bin/relayall.cgi
謝謝。

4
門神JanusLin
iT邦大師 1 級 ‧ 2011-08-03 08:31:47
rickyasdf iT邦新手 5 級 ‧ 2011-08-04 19:23:47 檢舉

這軟體我裝好了,有一個問題想請教...我SMTP在防火牆設好,郵件進來會經過這系統,
但是在寄出的時候沒辦法,我有去查過資料要改MX,能否告訴我正確的改法及路徑,
我是在/var/named/chroot/var/named/domain.com.tw.hosts做修改?
感謝各位先進!

Firewall SMTP 先轉給他就可以了 , 當對方發信時 , 帳號就可以抓出來了

再提供另一個方法

http://www.ublink.org/index.php/component/content/article/10-ubs-switch/245-ubs-5008-8-port-giga-switchport-mirrormail-serverrelay.html

Linux sendmail 的Webmin --> Sendmail options -->
Send outgoing mail via host

我要發表回答

立即登入回答