iT邦幫忙

0

求救 我的mail server好像被當中繼

小弟我的mail server 一直被人拉黑名單 疑似被人當中繼
目前我有裝fail2ban 感覺沒啥效果 請問我要怎麼做設定呢?
小弟我的架構大概是 MailScanner + spamassassin + postfix + clamav架構

Feb 3 04:04:21 xx update.phishing.sites: Delaying cron job up to 600 seconds
Feb 3 04:05:36 xx postfix/smtpd[15697]: connect from mail-pa0-f45.google.com[209.85.220.45]
Feb 3 04:05:37 xx postfix/smtpd[15697]: B9E29356A1: client=mail-pa0-f45.google.com[209.85.220.45]
Feb 3 04:05:38 xx postfix/cleanup[15699]: B9E29356A1: hold: header Received: from mail-pa0-f45.google.com (mail-pa0-f45.google.com [209.85.220.45])??by xx.xx.com.tw (Mail) with ESMTPS id B9E29356A1??for <xx@xx.com.tw>; Tue, 3 Feb 2015 04:05:37 +0800 ( from mail-pa0-f45.google.com[209.85.220.45]; from=<frankkhmetals@gmail.com> to=<xx@xx.tw> proto=ESMTP helo=<mail-pa0-f45.google.com>
Feb 3 04:05:38 xx postfix/cleanup[15699]: B9E29356A1: message-id=<002c01d03f23$a982c7f0$fc8857d0$@gmail.com>
Feb 3 04:05:38 xx postfix/smtpd[15697]: disconnect from mail-pa0-f45.google.com[209.85.220.45]
Feb 3 04:05:39 xx MailScanner[14567]: New Batch: Scanning 1 messages, 4899 bytes
Feb 3 04:05:39 xx MailScanner[14567]: Virus and Content Scanning: Starting
Feb 3 04:05:52 xx MailScanner[14567]: Requeue: B9E29356A1.ADEB2 to C9A0B356A2
Feb 3 04:05:52 xx MailScanner[14567]: Uninfected: Delivered 1 messages
Feb 3 04:05:52 xx postfix/qmgr[8286]: C9A0B356A2: from=<frankkhmetals@gmail.com>, size=4225, nrcpt=1 (queue active)

0
johnson324
iT邦新手 4 級 ‧ 2015-02-05 08:40:18
最佳解答
  1. 請確認寄信時需要密碼的功能有打開.

  2. 附件是我的fail2ban的設定, 請參考, jail.conf中 ignore ip請改為您的內網ip以及可信任的外網ip

https://drive.google.com/file/d/0BwnA-GkiR68vZGxGdi0yZTFxdUE/view?usp=sharing

0

先從Firewall
block掉這個IP(209.85.220.45)到您的Mail Server連線
然後
vi /etc/mail/access
寫上
209.85.220.45 DROP

但這只是治標

loke0204 iT邦新手 3 級 ‧ 2015-02-03 13:52:11 檢舉

我想問一下喔 對方好像也可以用root寄給root 或寄給Postmaster 或寄給yahoo

loke0204 iT邦新手 3 級 ‧ 2015-02-03 13:53:04 檢舉

請問大大您知道對方是用什麼手法去連進mail主機嗎@@? 我root改passwd也一樣無效

0
yesongow
iT邦大師 1 級 ‧ 2015-02-03 14:46:37

這信?
看來,不就是有人使用gmail信箱,寄給您的主機呀!

loke0204提到:
from=<frankkhmetals@gmail.com> to=<xx@xx.tw>

反查該IP(209.85.220.45),名稱是mail-pa0-f45.google.com

除非您不想收gmail寄來的信,不然您擋一個IP有啥意義?

209.85.220.45 DROP
不如改為
gmail.com DROP

loke0204 iT邦新手 3 級 ‧ 2015-02-03 16:12:40 檢舉

gmail寄來的 會是 XX@gmail.com 吧@@
Domain name應該是 googlemail.l.com
ip 是74開頭的

2
mwu4
iT邦新手 2 級 ‧ 2015-02-03 15:30:08

就如同yesongow所言,從提供的log來看,是一封單純的mail寄送過程;除非收件者不屬於內部受管理的成員。如果真的發生郵件伺服器變成外界的中繼,建議請參考鳥哥的文章「 http://linux.vbird.org/linux\_server/0380mail.php 」和英文文章「 http://www.postfix.org/SMTPD\_ACCESS\_README.html#danger 」,對設定檔「 main.cf 」做適當的調整。

至於root發送系統管理信件亦很正常,可以在「 /etc/aliases 」內設定將傳送給root的信件轉給管理帳號;再從管理帳號收信,去瞭解這些信件內容。記得更動過「 /etc/aliases 」後,要執行指令「 newaliases 」,才會有作用。

以上,謝謝。

2
ganymede
iT邦好手 1 級 ‧ 2015-02-03 15:32:54

先別自己嚇自己, 先測試看看是否真的為 open relay ?
網路上有一堆網站可幫你測試, 如下列:

http://spam.gsnmm.gov.tw/cgi-bin/relayall.cgi

再來說是檢查系統的相關設定, 如 aliases access 等等...

看更多先前的回應...收起先前的回應...
loke0204 iT邦新手 3 級 ‧ 2015-02-03 16:13:45 檢舉
loke0204 iT邦新手 3 級 ‧ 2015-02-03 16:14:07 檢舉
loke0204 iT邦新手 3 級 ‧ 2015-02-03 16:15:09 檢舉

圖片上傳不了
我直接po-- 48 Kbytes in 2 Requests.
[root@xx spamassassin]# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
433CD356A1! 490 Tue Feb 3 16:01:06 root
postmaster

-- 0 Kbytes in 1 Request.
[root@xx spamassassin]# mailq
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
433CD356A1! 490 Tue Feb 3 16:01:06 root
postmaster

ayu iT邦好手 3 級 ‧ 2015-02-03 18:25:49 檢舉

gmail寄來的 會是 XX@gmail.com 吧@@
如果是企業使用gmail郵件代管, 這說法就不成立了.
您提供的maillog訊息, 如前幾位大大所言, 沒有異常.

你先查一下mail server IP有沒被列入黑名單,
http://www.dnsbl.info/
還有, 如果真的被當成open-relay, 主機負載應該明顯暴增,
top就可以察覺, maillog也會暴增.

至於fail2ban跟spamassassin, 我從不認為安裝完就好了,
必須再實際觀察相關log後再做調整,
甚至有需要的話再加自訂規則.
要知道, unix/linux有這麼多版本, mail daemon也有很多種,
fail2ban怎麼可能一體適用所有情況而不需調整呢.
畢竟這可不是Windows OS/AP.

0
lions4917
iT邦新手 4 級 ‧ 2015-02-04 13:29:37

先搞清楚問題
上RBLSPAM等網站 , 看一下Mail IP被封鎖狀況
再去測試openrelay狀況 , 關掉openrelay
刪除mailq暫存
檢測Mail流量或session有無降下來 , 若沒有 , 改root密碼再觀察mailq
通常是某個user密碼太簡單中鏢
最後建議你 , 若公司用 , 請採企業級mail server , 例 Mail2000
若你在台北 , 撥我手機0939500340 , 我派工程師免費去瞧瞧

0
riches88
iT邦研究生 4 級 ‧ 2015-02-04 14:07:17

首先:
了解是否是主機或是其他PC發送,在防火牆觀察SMTP LOG
不觀察也OK,應該關閉對外SMTP只有mail server,這樣以後問題釐清容易
也可以管理在公司,就使用企業郵件對外溝通
第二:
郵件主機應該設定盜用帳號警示與管理等,並可以設定單日發送量等安全機制
這在郵件主機都可以做到這樣設定

最後,建議可以參考瑞鑫資訊 MX MAIL,這些應用功能都是內建基本功能外
純軟體應用,擴充強,免費永久更新服務,還可以有郵件稽核等功能
可以去參考他們官方網站

我要發表回答

立即登入回答