iT邦幫忙

0

POSTFIX 有辦法擋來自某mail server relay 來的連線嗎?

各位前輩,請教

這幾天突然湧入大量的 email 連線, 從 mailog 那邊看到類似如下:

Jul 27 12:41:22 ms1 postfix/smtpd[31947]: 5B15A23CF5: client=unknown[118.254.144.193]

Jul 27 12:41:22 ms1 postfix/cleanup[33348]: 5B15A23CF5: message-id=<86aa4c365b6bd522@ab9c0622773d23bd>

Jul 27 12:41:22 ms1 postfix/qmgr[31938]: 5B15A23CF5: from=<276945672@qq.com>, size=13414, nrcpt=1 (queue active)

Jul 27 12:41:23 ms1 amavis[33255]: (33255-09) Blocked SPAM {NoBounceInbound,Quarantined}, [118.254.144.193]:50318 [118.254.144.193] <276945672@qq.com> -> <aaa@bbb.com.tw>, quarantine: spam-ZYeZ9mxgKBQT.gz, Queue-ID: 5B15A23CF5, Message-ID: <86aa4c365b6bd522@ab9c0622773d23bd>, mail_id: ZYeZ9mxgKBQT, Hits: 14.83, size: 13412, 1191 ms

Jul 27 12:41:23 ms1 postfix/lmtp[33025]: 5B15A23CF5: to=<aaa@bbb.com.tw>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.7, delays=3.5/0/0/1.2, dsn=2.5.0, status=sent (250 2.5.0 Ok <aaa@bbb.com.tw>, DSN suppressed (554 5.7.0 Boun

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 5B15A23CF5: removed

Jul 27 12:41:23 ms1 postfix/cleanup[33259]: 594E323CF9: message-id=<20170728044123.594E323CF9@ms1.bbb.com.tw>

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 594E323CF9: from=<double-bounce@ms1.bbb.com.tw>, size=237, nrcpt=1 (queue active)

Jul 27 12:41:23 ms1 postfix/smtp[32319]: 594E323CF9: to=<2304159926@qq.com>, relay=mx3.qq.com[103.7.30.40]:25, delay=0.49, delays=0.01/0/0.27/0.21, dsn=2.0.0, status=deliverable (250 Ok)

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 594E323CF9: removed

從不同的email address, 一直寄到伺服器上某 email (aaa@bbb.com.tw), 但幾乎都有個 relay=mx3.qq.com, 那有辦法擋從這個 relay server 來的連線嗎?

這幾天的 maillog 暴增到原本的20倍,真苦惱。先謝謝了!
POSTFIX 版本是: 3.2.2

ayu iT邦好手 3 級 ‧ 2018-11-18 23:41:30 檢舉
都一周年了, 來雞婆一下.
是因為你的Amavisd-new+SpamAssassin在判定是SPAM時會退信, 退給*@qq.com時, MX Record就是mx1,mx2,mx3.qq.com, 且mx3.qq.com優先度最高, 所以你看到一大堆relay=mx3.qq.com ,
這是退/寄信的, 不是來信的!

建議你用 DNSBL 方式來擋, 例如
smtpd_recipient_restrictions =

reject_rbl_client psbl.surriel.com,
reject_rbl_client cbl.abuseat.org,
a8556008 iT邦新手 4 級 ‧ 2019-06-08 15:54:29 檢舉
不好意思,現在才看到,我曾經用過 reject_rlb_client , 但好像會產生寄信變的很慢,不知道是不是他都要連結到 外部 server 去檢查的關係。

2 個回答

0
msnman
iT邦研究生 2 級 ‧ 2017-07-28 13:22:35

直接用IPtables擋掉就好了。
這個九成是垃圾郵件,不處理掉你的server會被列入黑名單,到時候你的信就都寄不出去了。
建議安裝MailScanner+Spamassassin以過濾垃圾郵件。
最好再安裝smtp驗證功能,沒有開帳號就不能寄信。
http://blog.pmail.idv.tw/?p=599
這是前輩的這置設定。

看更多先前的回應...收起先前的回應...
a8556008 iT邦新手 4 級 ‧ 2017-07-28 13:37:15 檢舉

您好,
我有裝 Amavisd-new (似乎裡面已包含Spamassassin) 與 clamav, 我有使用 hosts.allow 去 deny 所有來自 那個 mx3.qq.com 的主機, 但似乎還是一直寄來? 想透過 smtpd_recipient_restrictions 去限制, 似乎沒有專門對 relay_access 的? 或許是我會錯意?

不過,我目前這樣有被當跳板嗎?

msnman iT邦研究生 2 級 ‧ 2017-07-28 14:05:59 檢舉

有relay就是被當跳板了!
你可以用防火牆iptables去擋IP或網域,你防垃圾有掃嗎?你確定有啟動嗎?你可以安裝mailwatch去檢查執行狀況。
如果貴公司沒有人員在公司外面寄信,那就關閉relay功能。
mynetworks = /etc/postfix/access
加入這一行,並設定access,加入需要relay的網段IP如本機:127.0.0.1 relay

a8556008 iT邦新手 4 級 ‧ 2017-07-28 14:36:46 檢舉

謝謝提醒
我有用以下這個去測試, 所有的項目都是 relay deined.
http://www.mailradar.com/openrelay/

我 mynetworks 目前是指定 127.0.0.0/8, server的真實ip與區域網段ip, 就沒了。

防制垃圾信,應該是有作用, 因為每封信都有加入分數,超過分數的會加 SPAM 到主旨裡,也有在 amavisd.conf 指定的 QUARANTINEDIR 裡看到堆積的 spam or virus.

不知道這樣是否還有遺漏?

msnman iT邦研究生 2 級 ‧ 2017-07-28 14:47:18 檢舉

http://mxtoolbox.com/SuperTool.aspx
用這個網站檢查看看

hon2006 iT邦大師 1 級 ‧ 2017-07-28 14:58:40 檢舉

你有去查 Amavisd-new 的 log 嗎?
你的outlook smtp需要設定帳密才能寄嗎?
建議把所有e-mail的密碼都改掉

msnman iT邦研究生 2 級 ‧ 2017-07-28 15:04:51 檢舉

Jul 27 12:41:23 ms1 postfix/lmtp[33025]: 5B15A23CF5: to=aaa@bbb.com.tw, relay=127.0.0.1[127.0.0.1]:10024, delay=4.7, delays=3.5/0/0/1.2, dsn=2.5.0, status=sent (250 2.5.0 Ok aaa@bbb.com.tw, DSN suppressed (554 5.7.0 Boun
從這條記錄看來,是你的防毒掃到垃圾郵件,然後,進行回覆給寄件者,所以,你應該察看一下你的設定。是不是設定自動回覆給被判定為垃圾郵件的寄件者。

這個做法滿好的,但是會浪費伺服器資源,所以,另一種做法是設一個spam帳號,讓所有被判定垃圾信都寄到這個帳號。然後,就需要人工審核,不然,客戶寄來都收不到也是滿麻煩的。

你只要擋掉118.254.144.193這個IP,他就寄不進來了!
除非他換IP。

a8556008 iT邦新手 4 級 ‧ 2017-07-28 15:21:17 檢舉

TO msnman:
經過剛那網站測試,結果如下:

SMTP Reverse DNS M	ismatch	OK - xxx.xxx.xxx.xxx resolves to ms1.bbb.com.tw, ms2.bbb.com.tw, ms3.bbb.com.tw, ms4.bbb.com.tw
SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
SMTP Banner Check	OK - Reverse DNS matches SMTP Banner
SMTP TLS		OK - Supports TLS.
SMTP Connection Time	1.175 seconds - Good on Connection time
SMTP Open Relay		OK - Not an open relay.
SMTP Transaction Time	3.679 seconds - Good on Transaction Time


Connecting to xxx.xxx.xxx.xxx

220 ms1.bbb.com.tw ESMTP "Version not available" [971 ms]
EHLO PWS3.mxtoolbox.com
250-ms1.bbb.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [773 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [773 ms]
RCPT TO:<test@example.com>
454 4.7.1 <test@example.com>: Relay access denied [786 ms]

PWS3v2 7046ms

看起來應該沒有,有點小放心一下。

他不是固定這個IP: 118.254.144.193 寄來的, 有很多 client ip 寄來, 只是都是從 mx3.qq.com relay 過來的。

a8556008 iT邦新手 4 級 ‧ 2017-07-28 15:23:25 檢舉

TO hon2006:
我們 Server 連線都得需要輸入帳號密碼,且使用 TLS/SSL, 通常內部使用居多,外部是透過mail server 上的 webmail (Roundcube) 連線,也都是在 https 之下。倒是 email 密碼都沒在改就是了,趕快請他們改一改看看。

msnman iT邦研究生 2 級 ‧ 2017-07-28 15:28:35 檢舉

我確定那不是被當跳板了,上面說了,是你的伺服器判定為垃圾信,所以,自動回覆給寄件者。避免寄信者不知道收信者沒收到信。所以,寄信的IP是127.0.0.1。

a8556008 iT邦新手 4 級 ‧ 2017-07-28 15:39:17 檢舉

TO msnman :
謝謝~後來查一下 Amavisd-new 的設定, 被判定 spam 的會被 D_BOUNCE 回去, 這是原本的設定。

我不知道,要在 POSTFIX 哪邊設定直接擋掉 mx3.qq.com relay 來的信,似乎沒有 check_relay_access 這樣的設定。

msnman iT邦研究生 2 級 ‧ 2017-07-28 15:41:06 檢舉

你這個是要設定是否垃圾郵件需要回覆。不回覆就沒有這個問題了。而且relay給寄件者是伺服器本身,所以是沒辦法擋的。

a8556008 iT邦新手 4 級 ‧ 2017-07-28 19:26:44 檢舉

瞭解了,THANK YOU!

0
realm
iT邦新手 5 級 ‧ 2017-11-17 10:19:03

我都想請教大大
有沒有Postfix3 的安裝方法

另外如果用iptable 封, 應該真正來自qq 的電郵都會封.

a8556008 iT邦新手 4 級 ‧ 2018-03-06 17:35:21 檢舉

因為我使用的是 FreeBSD, 所以用他內建的 Port install 很方便, 主要是設定 main.cf , master.cf 的技巧而已

ayu iT邦好手 3 級 ‧ 2018-11-18 23:48:01 檢舉

如果慣用套件管理(pkg yum aur..)來安裝的話, FreeBSD, ArchLinux 套件更新較快, 當然早就有Postfix-3.x
不然就要會用source code安裝, 但這很考驗個人技巧

板主的案例不是防火牆能擋的, postfix header_checks 可能還有勝算

我要發表回答

立即登入回答