大家好,前幾天檢查maillog時意外發現有人使用遠端的方式連到我的伺服器
但是SASL已經顯示登入錯誤,但是之後還是可以用別名發信
(a@xx.com,qq@xx.com,root@xx.com),一些不存在的帳號發信出去,
使用過clamav,RootKit Hunter也沒發現問題
下面是log,希望可以提供意見給我參考,感謝各位
Nov 2 06:32:07 mg postfix/smtpd[18759]: connect from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: lost connection after CONNECT from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: disconnect from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: connect from unknown[40.74.135.146]
Nov 2 06:32:08 mg postfix/smtpd[18759]: warning: unknown[40.74.135.146]: SASL login authentication failed: authentication failure
Nov 2 06:32:08 mg postfix/smtpd[18759]: 3EA111E7FB7: client=unknown[40.74.135.146]
Nov 2 06:32:08 mg postfix/cleanup[18798]: 3EA111E7FB7: message-id=<>
Nov 2 06:32:08 mg postfix/qmgr[26794]: 3EA111E7FB7: from=<root@xx.com>, size=341, nrcpt=1 (queue active)
Nov 2 06:32:13 mg postfix/smtpd[18802]: connect from localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/smtpd[18802]: 6C5A21E7FD0: client=localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/cleanup[18798]: 6C5A21E7FD0: message-id=<>
Nov 2 06:32:13 mg postfix/smtpd[18802]: disconnect from localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/qmgr[26794]: 6C5A21E7FD0: from=<root@xx.com>, size=777, nrcpt=1 (queue active)
Nov 2 06:32:13 mg amavis[18010]: (18010-09) Passed CLEAN {RelayedOpenRelay}, [40.74.135.146]:1033 [40.74.135.146] <root@xx.com> -> <sarrahtompson@gmail.com>
Nov 2 06:32:13 mg postfix/lmtp[18799]: 3EA111E7FB7: to=<sarrahtompson@gmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.3, delays=0.28/0/0/5, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6C5A21E7FD0)
Nov 2 06:32:13 mg postfix/qmgr[26794]: 3EA111E7FB7: removed
已邀請的邦友 {{ invite_list.length }}/5
建議先查看「 /etc/postfix/main.cf 」內「 smtpd_sender_restrictions 」的設定,是否有「 permit_sasl_authenticated 」?又擺放順序是否正確(有沒有被先放行,才檢查)?謝謝。
我是把認證放在recipient_restrictions
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
sender我並沒有放認證的
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain
********************************************
這是鳥哥網站的範例
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated, <==重點在這裡!注意順序!
********************************************
這是個人參考文章「 Postfix SASL Howto http://www.postfix.org/SASL_README.html 」 "Mail relay authorization" 所作的調整。不然請在「smtpd_relay_restrictions」做設定,謝謝。
建議做open relay測試,例如使用測試網頁「 http://www.mailradar.com/openrelay/ 」。不過請先確認您的郵件主機測試後,是否可以離線調整?謝謝。
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
我測試是有出現這兩段,
但是open relay測試網址有點跑不太出來
Port 25 is Closed at myip
Test aborted.
不知道這樣算是不是success
抱歉,請改用這個open relay測試網頁「 http://mxtoolbox.com/diagnostic.aspx 」。謝謝。
感謝,
OK - Not an open relay.看起來是正常的
真是奇怪第一次被擋掉,之後還是可以偽造寄信
如果有使用logwatch的話,請開啟詳細的紀錄模式,則會在「 SASL authenticated messages 」內顯示有哪些帳號透過SASL傳送多少封信件。可以參考是否有哪些帳號不應該傳送信件出去,針對這些帳號作變更密碼、封鎖帳號、...等的因應方式。謝謝。
Nov 29 18:36:25 www postfix/smtpd[10393]: warning: unknown[116.235.150.135]: SASL LOGIN authentication failed: authentication failure
如果你設定是正確的SASL,那就會看到上面的訊息在maillog。所以,你的設定是錯的,請參考網路上有正確架設sasl的文章。
iThome鐵人賽
看影片追技術