iT邦幫忙

0

centos6 postfix登入認證SASL沒過卻可以發信

  • 分享至 

  • xImage

大家好,前幾天檢查maillog時意外發現有人使用遠端的方式連到我的伺服器
但是SASL已經顯示登入錯誤,但是之後還是可以用別名發信
(a@xx.com,qq@xx.com,root@xx.com),一些不存在的帳號發信出去,
使用過clamav,RootKit Hunter也沒發現問題
下面是log,希望可以提供意見給我參考,感謝各位
Nov 2 06:32:07 mg postfix/smtpd[18759]: connect from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: lost connection after CONNECT from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: disconnect from unknown[40.74.135.146]
Nov 2 06:32:07 mg postfix/smtpd[18759]: connect from unknown[40.74.135.146]
Nov 2 06:32:08 mg postfix/smtpd[18759]: warning: unknown[40.74.135.146]: SASL login authentication failed: authentication failure
Nov 2 06:32:08 mg postfix/smtpd[18759]: 3EA111E7FB7: client=unknown[40.74.135.146]
Nov 2 06:32:08 mg postfix/cleanup[18798]: 3EA111E7FB7: message-id=<>
Nov 2 06:32:08 mg postfix/qmgr[26794]: 3EA111E7FB7: from=<root@xx.com>, size=341, nrcpt=1 (queue active)
Nov 2 06:32:13 mg postfix/smtpd[18802]: connect from localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/smtpd[18802]: 6C5A21E7FD0: client=localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/cleanup[18798]: 6C5A21E7FD0: message-id=<>
Nov 2 06:32:13 mg postfix/smtpd[18802]: disconnect from localhost[127.0.0.1]
Nov 2 06:32:13 mg postfix/qmgr[26794]: 6C5A21E7FD0: from=<root@xx.com>, size=777, nrcpt=1 (queue active)
Nov 2 06:32:13 mg amavis[18010]: (18010-09) Passed CLEAN {RelayedOpenRelay}, [40.74.135.146]:1033 [40.74.135.146] <root@xx.com> -> <sarrahtompson@gmail.com>
Nov 2 06:32:13 mg postfix/lmtp[18799]: 3EA111E7FB7: to=<sarrahtompson@gmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.3, delays=0.28/0/0/5, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6C5A21E7FD0)
Nov 2 06:32:13 mg postfix/qmgr[26794]: 3EA111E7FB7: removed

看更多先前的討論...收起先前的討論...
ayu iT邦好手 2 級 ‧ 2015-11-09 19:16:47 檢舉
MG 是指 mail gateway 嗎? 是收信的還是寄信的? 還是兩者皆是?
40.74.135.146 是微軟網段內的IP, 可能有跑HDInsight
可以考慮先從本機防火牆拒絕掉 40.74.119.124 和 40.74.135.146 .
參考 http://ipaddresser.com/

40.74.119.124
11.1.2015 6:13PM
admin
Looking for open SMTP relay. sarrahtompson@gmail.com is the destination email address

40.74.135.146
11.1.2015 6:12PM
admin
Looking for open SMTP relay. sarrahtompson@gmail.com is the destination email address
qooevo iT邦新手 5 級 ‧ 2015-11-12 09:50:36 檢舉
感謝你的回覆
MG 是DNS紀錄MX的主機,是收信用之橫relay給mail主機,發信則是用mail主機
只是覺得奇怪為什麼會不認證就可以發信,但他後面的@domain的確是我的
不知道是不是偽造@domain之後再做relay
ayu iT邦好手 2 級 ‧ 2015-11-12 17:04:55 檢舉
可能MG那台的某個帳號已被破解, 在通過sasl認證後可改換為任何身份去寄信,
總之請多花時間調閱記錄, 找出是哪個帳號通過了SASL認證, 並予適當處理.
當然也可能是 mwu4大 提到的順序錯了.
那個 40.74.135.146 仍然持續著try帳號密碼的動作, 故留下記錄.

OK, 那 MG 就是收信的mail gateway, 通常是做 virus/spam 的filter,
這台應該沒幾個能登入的帳號, 至少自家user的帳號不該在這, 對吧?
(該不會你真的把user帳號也放這了??)
所以, 以 MG 的立場而言, 寄/轉信的目標只有一個, 就是自家的mail server,
就是說, 只允許本機可以relay, 除此之外的 smtp 動作都不該存在.
既然不允許任何人登入寄信, 那原則上也不需要SASL認證了啊.
(permit_sasl_authenticated應該是幫user送信的mail主機才必須的)

相對地, 任何smtp/pop/imap..登入帳號的動作, 則可視為惡意來源,
(cracker只知道目標開了哪些ports,並不知道用途,有時可利用當陷阱)
可以考慮用 fail2ban 把這些惡意來源封鎖.

有沒有引用DNSBL? 一兩個常見的就好, 它可幫忙先擋掉許多惡意來源.
qooevo iT邦新手 5 級 ‧ 2015-11-23 16:21:24 檢舉
有使用fail2ban 現在是有使用過DNSBL之類的網站排除掉一些ip
但是都是某些IP先出現登入失敗,下一行就是登入失敗的IP做發信
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

WilliamHuang
iT邦研究生 1 級 ‧ 2015-11-09 17:07:26
【**此則訊息已被站方移除**】
0
mwu4
iT邦新手 2 級 ‧ 2015-11-10 13:48:23

建議先查看「 /etc/postfix/main.cf 」內「 smtpd_sender_restrictions 」的設定,是否有「 permit_sasl_authenticated 」?又擺放順序是否正確(有沒有被先放行,才檢查)?謝謝。

看更多先前的回應...收起先前的回應...
qooevo iT邦新手 5 級 ‧ 2015-11-11 09:50:13 檢舉

我是把認證放在recipient_restrictions
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
sender我並沒有放認證的
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain
********************************************
這是鳥哥網站的範例

然後找到跟 relay 有關的設定項目,增加一段允許 SMTP 認證的字樣:

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated, <==重點在這裡!注意順序!
********************************************

mwu4 iT邦新手 2 級 ‧ 2015-11-11 16:45:36 檢舉

這是個人參考文章「 Postfix SASL Howto http://www.postfix.org/SASL_README.html 」 "Mail relay authorization" 所作的調整。不然請在「smtpd_relay_restrictions」做設定,謝謝。

mwu4 iT邦新手 2 級 ‧ 2015-11-11 17:09:48 檢舉

建議做open relay測試,例如使用測試網頁「 http://www.mailradar.com/openrelay/ 」。不過請先確認您的郵件主機測試後,是否可以離線調整?謝謝。

qooevo iT邦新手 5 級 ‧ 2015-11-12 10:59:41 檢舉

250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
我測試是有出現這兩段,
但是open relay測試網址有點跑不太出來
Port 25 is Closed at myip
Test aborted.
不知道這樣算是不是success

mwu4 iT邦新手 2 級 ‧ 2015-11-12 11:38:11 檢舉

抱歉,請改用這個open relay測試網頁「 http://mxtoolbox.com/diagnostic.aspx 」。謝謝。

qooevo iT邦新手 5 級 ‧ 2015-11-12 16:23:14 檢舉

感謝,
OK - Not an open relay.看起來是正常的
真是奇怪第一次被擋掉,之後還是可以偽造寄信

mwu4 iT邦新手 2 級 ‧ 2015-11-13 15:59:15 檢舉

如果有使用logwatch的話,請開啟詳細的紀錄模式,則會在「 SASL authenticated messages 」內顯示有哪些帳號透過SASL傳送多少封信件。可以參考是否有哪些帳號不應該傳送信件出去,針對這些帳號作變更密碼、封鎖帳號、...等的因應方式。謝謝。

0
msnman
iT邦研究生 1 級 ‧ 2015-12-09 17:24:00

Nov 29 18:36:25 www postfix/smtpd[10393]: warning: unknown[116.235.150.135]: SASL LOGIN authentication failed: authentication failure
如果你設定是正確的SASL,那就會看到上面的訊息在maillog。所以,你的設定是錯的,請參考網路上有正確架設sasl的文章。

我要發表回答

立即登入回答