Регистрация Войти
Рейтинг:0
John avatar Server

Postfix идентифицирует истинного отправителя

флаг de
John

Недавно на моем сервере было сгенерировано много спам-писем. Я искал информацию в примере сообщения, но отправитель явно поддельный, а в заголовке сообщения также нет постфиксного идентификатора пользователя. Ниже приведен полный заголовок примера сообщения:

root@server:~# postcat -qv 400CB848E9
посткат: name_mask: все
postcat: inet_addr_local: настроено 4 адреса IPv4
postcat: inet_addr_local: настроено 2 адреса IPv6
*** КОНВЕРТЫ ЗАПИСЕЙ удержание/400CB848E9 ***
размер_сообщения: 2333 670 1 0 2333 0
message_arrival_time: Чт, 24 июня, 06:44:46 2021
create_time: Чт, 24 июня, 06:44:46 2021
named_attribute: log_ident=400CB848E9
named_attribute: rewrite_context = местный
отправитель: er@solanapres.org
named_attribute: log_client_name = localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=40070
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name = локальный хост
named_attribute: log_protocol_name = ESMTP
named_attribute: client_name = localhost.localdomain
named_attribute: reverse_client_name = localhost.localdomain
named_attribute: client_address=127.0.0.1
named_attribute: client_port=40070
named_attribute: helo_name=localhost
named_attribute: имя_протокола = ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;lovedakids@aol.com
original_recipient: lovekids@aol.com
получатель: lovekids@aol.com
*** СОДЕРЖАНИЕ СООБЩЕНИЯ удержание/400CB848E9 ***
обычный_текст: получено: с локального хоста (localhost.localdomain [127.0.0.1])
обычный_текст: от dallas.mylocalhostdomain.com (Postfix) с идентификатором ESMTP 400CB848E9
обычный_текст: для <lovedakids@aol.com>; Чт, 24 июня 2021 г., 06:44:46 -04:00 (восточноевропейское время)
Regular_text: From: Google Drive Storage <er@solanapres.org>
обычный_текст: Кому: lovekids@aol.com
обычный_текст: MIME-версия: 1.0
обычный_текст: идентификатор сообщения: <f17bc7e911b.5cf15cb45ed7.ea3587586c6@solanapres.org>
обычный_текст: Дата: Чт, 24 июня 2021 г., 06:44:46 +0000
обычный_текст: Тип содержимого: текст/html; кодировка = UTF-8
обычный_текст: Content-Transfer-Encoding: 7bit
обычный_текст: Тема: Файл поврежден и не может быть восстановлен

Как видно из заголовка, отправитель сообщения er@solanapres.org, но этого доменного имени/пользователя на сервере не существует. Я смущаюсь, поскольку, насколько я знаю, пользователь должен существовать на сервере, прежде чем SMTP может быть аутентифицирован. Кроме того, в файле mail.log также отсутствует информация об аутентификации.

Я надеюсь, что кто-то может помочь указать, как определить реального пользователя, сгенерировавшего это сообщение?

Спасибо!

101
1 + 0
Рейтинг:2
Nikita Kipriyanov avatar Server
флаг za
Nikita Kipriyanov

Посмотрите внимательно на эти:

отправитель: er@solanapres.org
named_attribute: log_client_name = localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=40070
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name = локальный хост
named_attribute: log_protocol_name = ESMTP
named_attribute: helo_name=localhost

Это означает, что какой-то процесс из локальный хост (т. е. сама серверная машина) выполнила транзакцию ESMTP на этот сервер. Это началось с Локальный хост EHLO а затем, без какой-либо аутентификации, он был принят к доставке. Я могу предположить, что у вас есть 127.0.0.1 в мои сети. Добавленный заголовок «Received» содержит ту же информацию (это неудивительно).

Это все, что Postfix видел и мог вам сказать. Ищите ответ на вопрос "кто настоящий отправитель" в другом месте. Это может быть веб-почта, поэтому читайте журналы доступа к веб-серверу; это может быть сервер скомпрометирован (о!) или просто есть какая-то дыра в скрипте PHP, которая позволяет отправлять почту. Проверьте wtmp (прошлой и так далее). Ищите журналы рядом Чт, 24 июня 2021 г., 06:44:46 -04:00 (восточноевропейское время).

Я повторю это для вас, чтобы вы не задавали тот же вопрос другими словами: Postfix сделал все возможное, чтобы раскрыть вам, откуда он получил эту почту. Единственное, что он знает, что почта пришла с локального хоста. Это звонит в колокольчик: «проверьте свой локальный хост» (сервер).

0 + 3
John avatar
флаг de
John
Спасибо за подробный ответ. Это очень полезно для меня. Судя по всему, сервер был скомпрометирован. В это время я вижу POST-запрос к странному php-файлу на сервере.
0
Ответить
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Это может быть только веб-служба или даже одно веб-приложение. Могут быть другие сообщения POST, которые могут объяснить, откуда взялся этот PHP-файл. А вообще, поищите в СФ "что делать со скомпрометированным сервером".
0
Ответить
флаг jp
Esa Jokinen
Отличный ответ.Удаление `localhost` из `mynetworks` заставляет локальные процессы либо использовать Sendmail, либо аутентифицироваться. В обоих случаях вы получите более подробную информацию о происхождении.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.