Bin ich ein Open Mail Relay? Cent OS mit Postfix, Dovecot,

723
H. Stridde

Nach einiger Zeit baue ich wieder einen E-Mail-Server auf. Ich habe in einem anderen Tutorial nachgeschlagen, um es richtig zu machen. Ich habe es richtig gemacht oder kann zumindest E-Mails senden und empfangen.

Das Wichtigste für mich ist, dass der Server sicher ist. Sicher, da ich keine Spam, Viren usw. bekomme, aber viel wichtiger ist, dass ich andere Personen oder Systeme nicht stören möchte. Ich habe viele Anweisungen und Sachen implementiert, um das System zu härten. Ich bin mir aber immer noch nicht sicher, ob es wirklich so ist oder ob ich irgendwo eine Fehlkonfiguration habe.

Ich habe Einträge im Protokoll, die mich nervös machen, vielleicht kann ich es einfach nicht richtig lesen.

Ich bin total verwirrt. Ich würde gerne glauben, dass alle oben genannten E-Mails gesendet wurden /dev/null. Zuerst sagt das System, dass es den Absender nicht kennt (einige Erklärung xxx@example.com ist eine bekannte und gültige Adresse auf meinem Server, die von NoraHuizenga@example.com nicht angegeben wird):

Jan 23 11:36:22 mail postfix/smtpd[15689]: 78587E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, sasl_username=xxx@example.com  Jan 23 11:36:45 mail postfix/cleanup[15705]: 78587E1E18: message-id=<b03686d0024b$9768fef8$57530728$@example.com>  Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: from=<NoraHuizenga@example.com>, size=2357, nrcpt=20 (queue active)  Jan 23 11:36:45 mail postfix/smtpd[15711]: connect from localhost[127.0.0.1]  Jan 23 11:36:45 mail postfix/smtpd[15711]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<NoraHuizenga@example.com> proto=ESMTP helo=<localhost>  Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients  Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1] 

Meine Interpretation dieser ersten Passage ist, dass jemand einen bekannten Account des Systems verwendet, um sich mit dem System zu verbinden. Zweitens versucht es, E-Mails unter einem anderen Namen zu senden, der dem Server nicht bekannt ist.

Zweiter Amavis will es abprallen lassen:

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients Jan 23 11:36:45 mail postfix/smtpd[15711]: disconnect from localhost[127.0.0.1] Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)V41u_uXR4ZV9(6_lwbkN2e1dX) SEND from <> -> <NoraHuizenga@example.com>, ENVID=AM.V41u_uXR4ZV9.20160123T103645Z@mail.example.com BODY=7BIT 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table Jan 23 11:36:45 mail amavis[14998]: (14998-09) (!)NOTICE: UNABLE TO SEND DSN to <NoraHuizenga@example.com>: 550 5.1.1 from MTA(smtp:[127.0.0.1]:10025): 550 5.1.1 <NoraHuizenga@example.com>: Recipient address rejected: User unknown in virtual mailbox table Jan 23 11:36:45 mail amavis[14998]: (14998-09) unexpected status/result, please verify: To be bounced, but DSN was neither sent nor suppressed?, <fischerma@adelphia.net> an 23 11:36:45 19 more entries of that type 

Aber zuletzt sagt das Protokoll:

Jan 23 11:36:45 mail amavis[14998]: (14998-09) Blocked BAD-HEADER-0, [59.98.143.142]:29864 [59.98.143.142] <NoraHuizenga@example.com> -> <fischerma@someprovider.domain>,<lsettler@someprovider.domain>,<LBecker@someprovider.domain>,<custserv@someprovider.domain>,<shon.remich2@someprovider.domain>,<cojocinder@someprovider.domain>,<care@someprovider.domain>,<elliotoffice@someprovider.domain>,<ericbenedict@someprovider.domain>,<vzwkanacsInternetWABAVA@someprovider.domain>,<hailey.huizenga@someprovider.domain>,<HuizenLL@someprovider.domain>,<lrcase@someprovider.domain>,<TreasIndTax2@someprovider.domain>,<treasindtax@msomeprovider.domain>,<spoof@someprovider.domain>,<nanadawn100@ssomeprovider.domain>,<toniann@someprovider.domain>,<kim@someprovider.domain>,<joeytessmest@someprovider.domain>, Queue-ID: 78587E1E18, Message-ID: <b03686d0024b$9768fef8$57530728$@example.com>, mail_id: 6_lwbkN2e1dX, Hits: -, size: 2355, 222 ms Jan 23 11:36:45 mail postfix/smtp[15708]: 78587E1E18: to=<fischerma@adelphia.net>, relay=127.0.0.1[127.0.0.1]:10024, delay=24, delays=24/0/0.01/0.22, dsn=2.5.0, status=sent (250 2.5.0 Ok, id=14998-09, BOUNCE) Jan 23 11:36:45 mail postfix/smtp[15708]: [...] Jan 23 11:36:45 mail postfix/qmgr[15510]: 78587E1E18: removed Jan 23 11:36:47 mail postfix/smtpd[15689]: 67360E1E18: client=unknown[59.98.143.142], sasl_method=PLAIN, sasl_username=hms@example.com Jan 23 11:36:48 mail postfix/smtpd[15689]: 67360E1E18: reject: RCPT from unknown[59.98.143.142]: 504 5.5.2 <tleonsis@washingtoncaps>: Recipient address rejected: need fully-qualified address; from=<NoraHuizenga@example.com> to=<tleonsis@washingtoncaps> proto=ESMTP helo=<example.com> 

23. Jan 11:38:02 mail postfix / smtpd [15689]: 67360E1E18: ablehnen: RCPT von unbekannt [59.98.143.142]: 450 4.1.2: Empfängeradresse abgelehnt: Domäne nicht gefunden; from = bis = proto = ESMTP helo = 23. Jan. 11:38:03 mail postfix / smtpd [15689]: Verbindung nach RCPT von unbekannt [59.98.143.142] 23. Jan 11:38:03 mail postfix / smtpd [15689]: Verbindung mit unbekanntem trennen [59.98.143.142]

Sorry, ich darf das Protokoll oder die Konfiguration nicht posten, da das System es hier als Spam sieht ...

Was denkst du? Schicke ich Spam-Mails oder ist mein Server sicher?

Meine Vermutung ist, dass ich Mails verschicke, während ich Backscatter-Mails erhalten habe. Wie kann ich dieses Verhalten unterdrücken?

1

2 Antworten auf die Frage

2
nKn

Dies hat wahrscheinlich nichts mit einem offenen Relay zu tun (was Sie mit diesem Tool überprüfen können ), sondern Sie erhalten Backscatter-Mails.

Wenn ein Spammer oder Wurm E-Mails mit gefälschten Absenderadressen sendet, werden unschuldige Websites mit unzustellbaren E-Mail-Benachrichtigungen überschwemmt. Dies wird als Backscatter-Mail bezeichnet. Mit Postfix wissen Sie, dass Sie ein Backscatter-Opfer sind, wenn Ihre Protokolldatei so weitergeht:

Dec 4 04:30:09 hostname postfix/smtpd[58549]: NOQUEUE: reject: RCPT from xxxxxxx[x.x.x.x]: 550 5.1.1 <yyyyyy@your.domain.here>: Recipient address rejected: User unknown; from=<> to=<yyyyyy@your.domain.here> proto=ESMTP helo=<zzzzzz> 

Was Sie sehen, sind viele "Benutzer unbekannt" Fehler mit "from = <>". Dies sind Fehlerberichte von MAILER-DAEMONs an anderen Stellen im Internet, die sich auf E-Mails beziehen, die mit einer falschen Absenderadresse in Ihrer Domäne gesendet wurden.

Normalerweise haben E-Mails 2 "Absender", die in den Kopfzeilen definiert sind: Einer ist der Kopfzeilensender ( MAIL FROM) und der andere ist der Umschlagsender ( Return-Path). Dies ist die Adresse, an die zurückgeschickte E-Mails gesendet werden.

Angenommen, jemand hat eine E-Mail mit der Angabe gesendet, er sei Sie (durch Angabe des Absenders des Umschlags an Ihre Domain) und hat versucht, eine E-Mail an eine nicht vorhandene Adresse zu senden. Die Bounce-E-Mail wird an die im Absender des Umschlags angegebene Adresse gesendet.

Dies ist ziemlich häufig, da jeder eine E-Mail mit der Behauptung abschickt, dass er jemand ist, der sie nicht ist (die Absenderheader fälscht). Es ist die Aufgabe der MTU, zu ermitteln, ob dies wahr ist oder nicht, und die E-Mail zu blockieren oder zuzulassen.

Es gibt eine gute Informationsquelle für Backscatter-Mails in Postfix.

+1 insbesondere für das Zeigen auf ein Werkzeug, um zu überprüfen, ob auf dem ursprünglichen Poster ein Relais mit offener Schaltung läuft ChrisInEdmonton vor 8 Jahren 0
@ChrisInEdmonton Wenn es sich hierbei um Spam handelt, kann es durch das Einrichten einer strengen SPF-Richtlinie zu einer erheblichen Verringerung des Volumens kommen. Es ist wahrscheinlich, dass die Absendeadresse von anderen Spammern geerntet wurde und mehr Spam erhalten wird als üblich. BillThor vor 8 Jahren 1
@ ChrisInEdmonton, danke dafür, dass er bisher geholfen hat. Ich bin mir ziemlich sicher, dass die Einträge, die ich hier gepostet habe, keine Backscatter-Mails sind. Ich habe die Protokolle in den letzten Tagen gescannt und finde Backscatter-Mails zu dem Spam, den ich wahrscheinlich sende. Die Qualität meines ersten Posts war nicht so gut. Ich versuche, mehr Informationen zu geben, wenn die Plattform meinem Posting die entscheidenden Protokollpassagen überlassen wird. Die meisten Absender- und Empfängerinformationen werden von superuser.com gelöscht, jedoch mit Informationen gefüllt H. Stridde vor 8 Jahren 0
1
H. Stridde

Es dauerte einige Zeit, aber ich fand eine Lösung für mein Problem. Jemand von außen hat sich mit einem vorhandenen Konto angemeldet (SASL-Authentifizierung) und anschließend E-Mails mit einer ungültigen Absenderadresse some@example.com gesendet.

Um dieses Verhalten zu unterbinden, fügte ich meinem main.cf ein paar Zeilen hinzu.

#file / database in which valid emails, users and domains can be found smtpd_sender_login_maps = mysql:/etc/postfix/mysql-email2email.cf, mysql:/etc/postfix/mysql-virtual-users.cf  # reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch, reject_unauthenticated_sender_login_mismatch use the data from smtpd_sender_login_maps. If not defined you will see lot of errors and be unable to send mails.  smtpd_sender_restrictions = reject_non_fqdn_sender, reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch, reject_unauthenticated_sender_login_mismatch, reject_unknown_sender_domain, reject_unlisted_sender, reject_unverified_sender, permit_sasl_authenticated, permit_mynetworks 

Wenn ein Benutzer eine E-Mail mit einer definierten Aliasadresse senden möchte, muss er diese zuerst in der Datenbank definieren.