Il server di posta (sendmail) invia spam a persone innocenti

Naviga le tue risposte
5

Ho fatto questa stessa domanda in serverfault ma ho capito che non era il posto giusto, mi scuso.

Sfondo

Sistema operativo server: Ubuntu 10.04

Applicazione di posta: Sendmail

Recentemente ho chiesto del backscatter su un server di posta che esegue sendmail, Amazon mi ha notato che il mio server sta inviando posta indesiderata ad altri sotto forma di backscatter. In seguito ho rimosso la capacità di sendmail di ricevere e-mail in arrivo arrestando il daemon dall'ascolto sulla porta 25. La coda dei messaggi è ancora configurata per essere eseguita periodicamente. Quindi dopo questo il mio server può solo inviare e-mail all'esterno, impedendo il backscatter.

Cattive notizie

Dopo alcuni giorni ho ricevuto un rapporto di abuso da Amazon, dicendo la stessa identica cosa (invio di spam). Controllo immediatamente il log di posta sul mio server e ho scoperto che il mio daemon ha inviato 3 e-mail a 2 sfortunati utenti di Gmail.

What Next?

Dato che sono certo che il mio server non può ricevere email in entrata, credo che alcuni script malevoli presenti sul mio server facciano cose cattive. Quindi quali sono i passi che posso fare per diagnosticare qualcuno di questi malvagi script? Quali registri posso controllare per ulteriori record e come posso individuare gli script che hanno inviato queste e-mail?

    
posta Xavier_Ex 22.08.2012 - 20:06
fonte

1 risposta

2

Sembra che tu abbia i relay SMTP aperti che devono essere configurati. La macchina relay SMTP deve accettare solo la posta per l'inoltro ai domini che ospiti. Ad esempio, se si ospita il dominio maildomain.com, il relay SMTP deve solo accettare la posta per quel dominio e rifiutare la posta per qualsiasi altro dominio. (Almeno, questo dovrebbe essere il caso per le connessioni non autenticate). La ragione di ciò è che se i server e i client SMTP esterni possono inviare posta ad altri domini tramite il proprio relay SMTP, allora tali macchine saranno in grado di inoltrare lo spam attraverso il proprio server SMTP. Si desidera rifiutare la posta inviata al relay SMTP per i domini che non si ospitano.

Questa è una configurazione critica. Ho parlato con un sacco di ISA Server e amministratori di Exchange che sono stati inseriti su RBL temuti perché non hanno configurato correttamente i loro relay SMTP per prevenire relay non autenticati. Se sei stato vittimizzato da uno o più di questi RBL, sai che potresti anche cercare di ottenere un vincitore in un audit IRS. Per questo motivo ti consiglio vivamente di non pubblicare i relay SMTP su Internet finché non avrai una buona conoscenza su come configurare il relay per impedire agli spammer di abusarne.

Il servizio SMTP di IIS consente di creare domini remoti e quindi configurare tali domini remoti per inoltrare la posta a un server sulla rete interna. Il relay SMTP è configurato con domini remoti per i domini che si ospitano e inoltra la posta al proprio Exchange Server oa un altro relay SMTP sulla rete interna. La configurazione predefinita del server SMTP di Exchange e di Exchange blocca il relay di posta consentendo al contempo il relay per la posta indirizzata ai domini remoti che configuri.

    
risposta data 24.08.2012 - 20:30
fonte

Leggi altre domande sui tag

Conformità PCI-DSS per le aziende con soli terminali a scorrimento utente / pass auth vs hmac firmato per REST API