Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
witam
Mój serwer pocztowy ostatnio generuje duży ruch. Jest zabezpieczony i jest na nim uwierzytelnianie SASL. Na testach oferowanych przez różne portale pokazuje że nie jest open relayu, ale w logach /var/log/amavis.log mam setki tego typu wpisów:
Passed, <webfgroup@clubpage.net> -> <kcassie@peoplepc.com>, Message-ID: <3816-22008117211818656@Falcon>, Hits: 1.866
Czy to oznacza że rozsyła mi spam?
Ostatnio edytowany przez markus78 (2008-01-09 20:14:41)
Offline
Hmmm sam sasl nie wystarczy... Masz odpowiednie restrykcje ustawione ? tzn smtp_sender_restricions itd ?
Bo sam konfigurowałem postfixa i owszem sasla dość szybko założyłem,ale z restrykcjami męczyłem się tydzień :/
Offline
to możesz podać jak masz ustawione te restrykcje, spróbuje tego użyć?
pozdr. Marcin
Offline
Są przetestowane na wszelkie możliwe sposoby. Nie da się wysłać listu bez autoryzacji, nie można też podszyć pod czyjego maila itd... Oczywiście ma Mynetworks mam tylko 127.0.0.1
Ale żeby nie można podszywać się pod czyiś adres musisz mieć w konfigu jeszcze to >>
smtpd_sender_login_maps = mysql:/etc/postfix/mysql_virtual_login_maps.cf
(ja mam pod wirtualki skonfigurowane)
restrykcje:
# Restrykcje - Sprawdzanie poczty na podstawie adresu nadawcy listu (RCPT TO): smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain, reject_non_fqdn_recipient, # Restrykcje - Sprawdzenie IP komputera, z którego wysyłana jest wiadomość: smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client, reject_unauth_destination # Restrykcje - Sprawdzanie poczty na podstawie adresu odbiorcy listu (MAIL FROM): smtpd_sender_restrictions = permit_mynetworks, reject_unauth_destination, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_address, reject_sender_login_mismatch,
Ostatnio edytowany przez Jan89 (2008-01-08 23:03:39)
Offline
niestety nie pomogło :(
Offline
Zapodaj większy wycinek z logów. Nie możliwe by przy działającym saslu i tych restrykcjach przechodziło coś. Osobiście gnębiłem własny serwer na rózne sposoby i przy tych restrykcjach nie dał się ruszyć. No chyba że w reszcie konfiga masz coś zrąbane...
Offline
Poczte mam postfix + mysql + amavis + sasl i juz sam nie wiem co sie dziej. Walcze z tym ale nie moge go zamknąć bo to serwer w firmie i ludzie poczty nie będą mieli. W logach pełno tego:
Jan 10 19:17:12 poczta.miastko.pl amavisd-new[2750]: (02750-03) Passed, <websterinc@America.Hm> -> <Stacie_scullion@hotmail.com>, Message-ID: <3817-22008141018173062@Falcon>, Hits: -4.953 Jan 10 19:17:15 poczta.miastko.pl amavisd-new[2738]: (02738-06) Passed, <websterinc@America.Hm> -> <tracy-keithplant@tiscali.co.uk>, Message-ID: <3818-220081410181733453@Falcon>, Hits: -4.939 Jan 10 19:17:18 poczta.miastko.pl amavisd-new[2749]: (02749-04) Passed, <websterinc@America.Hm> -> <Peter.norris@uk.abnamro.com>, Message-ID: <3819-220081410181736890@Falcon>, Hits: -4.946 Jan 10 19:17:25 poczta.miastko.pl amavisd-new[2763]: (02763-01) Passed, <websterinc@America.Hm> -> <potsy4406@yahoo.co.uk>, Message-ID: <3820-220081410181740296@Falcon>, Hits: -4.959 Jan 10 19:17:32 poczta.miastko.pl amavisd-new[2738]: (02738-07) Passed, <websterinc@America.Hm> -> <TomPC2002@hotmail.com>, Message-ID: <3821-220081410181750578@Falcon>, Hits: -4.939 Jan 10 19:17:41 poczta.miastko.pl amavisd-new[2749]: (02749-05) Passed, <websterinc@America.Hm> -> <tracey.good@dfdstransport.co.uk>, Message-ID: <3822-220081410181759125@Falcon>, Hits: -4.946 Jan 10 19:17:49 poczta.miastko.pl amavisd-new[2750]: (02750-04) Passed, <websterinc@America.Hm> -> <sharoncathersides@hotmail.com>, Message-ID: <3823-22008141018187625@Falcon>, Hits: -4.953 Jan 10 19:17:58 poczta.miastko.pl amavisd-new[2763]: (02763-02) Passed, <websterinc@America.Hm> -> <deeyiya21@yahoo.com>, Message-ID: <3824-220081410181816250@Falcon>, Hits: -4.959
Mój plik main.cf wygląda w całości tak (może w nim mam jakieś błędy):
smtpd_banner = $myhostname append_dot_mydomain = no home_mailbox = Maildir/ myhostname = poczta.miastko.pl alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = poczta.miastko.pl, localhost, localhost.localdomain mynetworks = 127.0.0.0/8 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all virtual_alias_domains = virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf virtual_mailbox_base = /mnt/scsi02/vmail virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_security_options = noanonymous maps_rbl_domains = relays.ordb.org, dun.dnsrbl.net, rhsbl.sorbs.net smtpd_client_restrictions = reject_maps_rbl, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_helo_restrictions = reject_unauth_pipelining, reject_invalid_hostname smtpd_helo_required = yes strict_rfc821_envelopes = yes unknown_address_reject_code = 550 smtpd_reject_unlisted_recipient = yes smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_address header_checks = regexp:/etc/postfix/header_checks body_checks = regexp:/etc/postfix/body_checks smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit_auth_destination, check_sender_mx_access cidr:/etc/postfix/bogus_mx, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client dynamic.dnsbl.rangers.eu.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client whois.rfc-ignorant.org, reject_rbl_client relays.ordb.org, reject_rbl_client relays.osirusoft.com smtpd_use_tls = yes smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf virtual_create_maildirsize = yes virtual_mailbox_extended = yes virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf virtual_mailbox_limit_override = yes virtual_maildir_limit_message = "The user you are trying to reach is over quota." virtual_overquota_bounce = yes proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps content_filter = amavis:[127.0.0.1]:10024 receive_override_options = no_address_mappings
czy ktoś wie czemu tak sieje?
Offline
Kurcze, ale to co dałeś to są logi samego Amavisa. Daj kawałek kompletnego logu, chodzi o logi Postfixa. Może tam będzie można wypatrzeć w jaki sposób włażą na serwer.... Port Amavisa masz zamknięty dla świata zewnętrznego ?
Ostatnio edytowany przez Jan89 (2008-01-11 14:59:37)
Offline
port amavista mam zamknięty na zewnątrz.
W /var/log/mail.log mam:
Jan 12 17:31:50 poczta postfix/smtpd[5390]: lost connection after RCPT from host246-254-static.53-82-b.business.telecomitalia.it[82.53.254.246] Jan 12 17:31:50 poczta postfix/smtpd[5390]: disconnect from host246-254-static.53-82-b.business.telecomitalia.it[82.53.254.246] Jan 12 17:32:45 poczta courierpop3login: Connection, ip=[::ffff:193.19.212.191] Jan 12 17:32:45 poczta courierpop3login: LOGIN, user=mateusz@miastko.pl, ip=[::ffff:193.19.212.191] Jan 12 17:32:45 poczta courierpop3login: LOGOUT, user=mateusz@miastko.pl, ip=[::ffff:193.19.212.191], top=0, retr=0, time=0 Jan 12 17:32:45 poczta courierpop3login: Connection, ip=[::ffff:193.19.212.191] Jan 12 17:32:45 poczta courierpop3login: LOGIN, user=media@miastko.pl, ip=[::ffff:193.19.212.191] Jan 12 17:32:45 poczta courierpop3login: LOGOUT, user=media@miastko.pl, ip=[::ffff:193.19.212.191], top=0, retr=0, time=0 Jan 12 17:34:05 poczta postfix/smtpd[5402]: connect from 215-195.bayou.com[209.209.215.195] Jan 12 17:34:06 poczta postfix/smtpd[5402]: warning: support for restriction "reject_maps_rbl" will be removed from Postfix; use "reject_rbl_client domain-name" instead Jan 12 17:34:26 poczta postfix/smtpd[5402]: warning: 195.215.209.209.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.relays.ordb.org type=A: Host not found, try again Jan 12 17:34:37 poczta postfix/smtpd[5402]: warning: 195.215.209.209.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.dun.dnsrbl.net type=A: Host not found, try again Jan 12 17:34:37 poczta postfix/smtpd[5402]: 7898F4A339: client=215-195.bayou.com[209.209.215.195] Jan 12 17:34:38 poczta postfix/cleanup[5407]: 7898F4A339: message-id=<001c01c85508$f2edffe2$9b2ee9ab@dxtffbu> Jan 12 17:34:38 poczta postfix/qmgr[23409]: 7898F4A339: from=<vika@mail.zp.ua>, size=10996, nrcpt=1 (queue active) Jan 12 17:34:39 poczta postfix/smtpd[5402]: disconnect from 215-195.bayou.com[209.209.215.195] Jan 12 17:34:43 poczta postfix/smtp[5408]: 7898F4A339: to=<promocja@umig.miastko.pl>, relay=127.0.0.1[127.0.0.1], delay=37, status=bounced (host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, UBE, id=24536-05 (in reply to end of DATA command)) Jan 12 17:34:43 poczta postfix/cleanup[5407]: 3AF6A4A33F: message-id=<20080112163443.3AF6A4A33F@poczta.miastko.pl> Jan 12 17:34:43 poczta postfix/qmgr[23409]: 3AF6A4A33F: from=<>, size=12850, nrcpt=1 (queue active) Jan 12 17:34:43 poczta postfix/qmgr[23409]: 7898F4A339: removed Jan 12 17:34:46 poczta postfix/smtp[5415]: 3AF6A4A33F: to=<vika@mail.zp.ua>, relay=relay1.mail.zp.ua[80.254.0.2], delay=3, status=deferred (host relay1.mail.zp.ua[80.254.0.2] said: 450 <vika@mail.zp.ua>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/mail.zp.ua.html (in reply to RCPT TO command)) Jan 12 17:36:01 poczta courierpop3login: Connection, ip=[::ffff:89.79.152.113]
natomiast w /var/log/mail.info mam tego typu wpisy:
Jan 12 17:34:05 poczta postfix/smtpd[5402]: connect from 215-195.bayou.com[209.209.215.195] Jan 12 17:34:06 poczta postfix/smtpd[5402]: warning: support for restriction "reject_maps_rbl" will be removed from Postfix; use "reject_rbl_client domain-name" instead Jan 12 17:34:26 poczta postfix/smtpd[5402]: warning: 195.215.209.209.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.relays.ordb.org type=A: Host not found, try again Jan 12 17:34:37 poczta postfix/smtpd[5402]: warning: 195.215.209.209.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=195.215.209.209.dun.dnsrbl.net type=A: Host not found, try again Jan 12 17:34:37 poczta postfix/smtpd[5402]: 7898F4A339: client=215-195.bayou.com[209.209.215.195] Jan 12 17:34:38 poczta postfix/cleanup[5407]: 7898F4A339: message-id=<001c01c85508$f2edffe2$9b2ee9ab@dxtffbu> Jan 12 17:34:38 poczta postfix/qmgr[23409]: 7898F4A339: from=<vika@mail.zp.ua>, size=10996, nrcpt=1 (queue active) Jan 12 17:34:39 poczta postfix/smtpd[5402]: disconnect from 215-195.bayou.com[209.209.215.195] Jan 12 17:34:43 poczta postfix/smtp[5408]: 7898F4A339: to=<promocja@umig.miastko.pl>, relay=127.0.0.1[127.0.0.1], delay=37, status=bounced (host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Message content rejected, UBE, id=24536-05 (in reply to end of DATA command)) Jan 12 17:34:43 poczta postfix/cleanup[5407]: 3AF6A4A33F: message-id=<20080112163443.3AF6A4A33F@poczta.miastko.pl> Jan 12 17:34:43 poczta postfix/qmgr[23409]: 3AF6A4A33F: from=<>, size=12850, nrcpt=1 (queue active) Jan 12 17:34:43 poczta postfix/qmgr[23409]: 7898F4A339: removed Jan 12 17:34:46 poczta postfix/smtp[5415]: 3AF6A4A33F: to=<vika@mail.zp.ua>, relay=relay1.mail.zp.ua[80.254.0.2], delay=3, status=deferred (host relay1.mail.zp.ua[80.254.0.2] said: 450 <vika@mail.zp.ua>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/mail.zp.ua.html (in reply to RCPT TO command)) Jan 12 17:36:03 poczta courierpop3login: LOGIN, user=Pablooo@miastko.eu, ip=[::ffff:89.79.152.113] Jan 12 17:36:04 poczta postfix/smtpd[5402]: connect from 221.pool85-56-28.dynamic.orange.es[85.56.28.221] Jan 12 17:36:05 poczta courierpop3login: LOGOUT, user=Pablooo@miastko.eu, ip=[::ffff:89.79.152.113], top=0, retr=0, time=2 Jan 12 17:36:25 poczta postfix/smtpd[5402]: warning: 221.28.56.85.relays.ordb.org: RBL lookup error: Host or domain name not found. Name service error for name=221.28.56.85.relays.ordb.org type=A: Host not found, try again Jan 12 17:36:33 poczta postfix/smtpd[5402]: warning: 221.28.56.85.dun.dnsrbl.net: RBL lookup error: Host or domain name not found. Name service error for name=221.28.56.85.dun.dnsrbl.net type=A: Host not found, try again Jan 12 17:36:34 poczta postfix/smtpd[5402]: 9ACF54A33D: client=221.pool85-56-28.dynamic.orange.es[85.56.28.221] Jan 12 17:36:34 poczta postfix/smtpd[5402]: lost connection after RCPT from 221.pool85-56-28.dynamic.orange.es[85.56.28.221] Jan 12 17:36:34 poczta postfix/smtpd[5402]: disconnect from 221.pool85-56-28.dynamic.orange.es[85.56.28.221]
Offline
Hmmm ale ja tutaj nie widzę by ktoś przez Twój serwer wysyłał wiadomości. Jedynie widać że spamerzy mają adres ten od promocji i próbują Ci coś na niego wysyłać (pewnie spam). Jedynie żeby Ci serwer nie zamulił to wyłącz odpowiadanie do spamera że jego mail został odrzucony... W tych logach nie widać by ta vika wysyłała wiadomości przez Twój serwer do kogoś innego...
A to że w logach widać że co chwilę ktoś się pcha na serwer top jest typowe. Ja mam pełno tego:
connect from 122-120-0-10.dynamic.hinet.net[122.120.0.10] Oct 16 03:19:43 jan postfix/smtpd[13294]: NOQUEUE: reject: RCPT from 122-120-0-10.dynamic.hinet.net[122.120.0.10]: 554 5.7.1 <candy59839@yahoo.com.tw>: Relay access denied; from=<michael78694@MyMainServer.com> to=<candy59839@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com> Oct 16 03:19:44 jan postfix/smtpd[13294]: lost connection after RCPT from 122-120-0-10.dynamic.hinet.net[122.120.0.10] Oct 16 03:19:44 jan postfix/smtpd[13294]: disconnect from 122-120-0-10.dynamic.hinet.net[122.120.0.10]
I tutaj widać że spamer próbuje wykorzystać mój serwer do wysyłania spamu
Ostatnio edytowany przez Jan89 (2008-01-12 20:37:51)
Offline
a wpisy typu:
Jan 10 19:17:58 poczta.miastko.pl amavisd-new[2763]: (02763-02) Passed, <websterinc@America.Hm> -> <deeyiya21@yahoo.com>, Message-ID: <3824-220081410181816250@Falcon>, Hits: -4.959
to nie jest wysyłanie spamu przez mój serwer?
I jeszcze jedno - jak wyłączyć odpowiadanie do spamera że jego mail został odrzucony?
pozdr. Marcin
Offline
A jak wyłączyć odpowiadanie do spamera że jego mail został odrzucony?
pozdr. Marcin
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00127 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.222.164.176' WHERE u.id=1 |
0.00078 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.222.164.176', 1732594153) |
0.00045 | SELECT * FROM punbb_online WHERE logged<1732593853 |
0.00063 | DELETE FROM punbb_online WHERE ident='18.118.255.51' |
0.00071 | SELECT topic_id FROM punbb_posts WHERE id=80699 |
0.00179 | SELECT id FROM punbb_posts WHERE topic_id=10294 ORDER BY posted |
0.00075 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=10294 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00095 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=10294 ORDER BY p.id LIMIT 0,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=10294 |
Total query time: 0.00837 s |