Потенциальная постфиксная инфекция

Так что я использую Ubuntu VPS, который использует postfix для отправки исходящей почты. У меня есть несколько адресов электронной почты, прикрепленных к домену, который он размещал на VPS, один из них, скажем, user@domain.com. Владелец этого адреса электронной почты имеет два персональных компьютера и не более, и до сих пор они использовали Thunderbird для доступа к адресу электронной почты.

Пару дней назад почтовый ящик для user@domain.com начал забиваться сотнями и сотнями отскоков в час, владелец user@domain.com вчера удалил свои записи Thunderbird для этих учетных записей электронной почты, но безрезультатно. [ 113]

Оба компьютера были выключены прошлой ночью, но адрес все еще получал откаты. Сначала я подумал, что, поскольку ни один компьютер, на котором была включена учетная запись, не был включен, это может быть спамом. Однако при более внимательном рассмотрении электронной почты я вижу, что некоторые из них содержат строки вроде:

<firstnamelsurname@bellsouth.net>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

Где XX.XX.XX.XX - это IP-адрес нашей VPN. Это заставляет меня думать, что что-то не так с сервером postfix (а также, скорее всего, с инфекцией на компьютерах. Полный сборщик мусора произвел следующее:

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

Любые идеи, как я могу отследить проблему / решить проблему?

Спасибо.

3
задан 07.05.2020, 08:21

2 ответа

«Отскок» электронных писем иногда является частью спам-атаки, хотя я сомневаюсь, что это так и есть в вашем случае.

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

Это наводит меня на мысль, что IP-адрес вашего сервера попал в черный список, особенно с att.net. Я бы проверил ваш домен на mxtoolbox.com и убедился, что вы не используете открытый ретранслятор и не попали в черный список

Если вы используете выделенный IP, вам придется решить эту проблему. с ATT / Белл Юг. Если вы используете динамический IP-адрес в учетной записи для частных лиц, решение будет немного сложнее, так как большинство интернет-провайдеров имеют низкий порог поддержки для пользователей, работающих с серверами на некоммерческих учетных записях, а предоставление ресурсов обычно означает, что вы можете заблокирован, потому что один из ваших соседей является / был частью бот-сети со спамом, а общий IP-адрес заблокирован.

В любой системе электронной почты, отправляющей и получающей данные для широкой публики, я запускаю антивирусный фильтр, такой как clamav.

8
ответ дан 07.05.2020, 08:22

Что установлено на VPS, кроме PostFix? Каким системам и / или пользователям разрешено отправлять почту через ваш VPS?

Вы можете проверить журнал Postfix, чтобы увидеть, что и / или кто отправляет почту через PostFix.

cat /var/log/mail.log

В этих ситуациях я часто сталкивался с тем, что у клиента есть вирус, который злоупотребляет своим Outlook, который использует наш почтовый сервер для отправки почты. Возможно, один пользователь отправляет СПАМ через свою учетную запись.

0
ответ дан 07.05.2020, 08:22

Теги

Похожие вопросы