Регистрация Войти
Рейтинг:0
Tobias H avatar Server

Аккаунт почты скомпрометирован или есть другие шансы?

флаг mx
Tobias H

Сервер рассылал спам, теперь моя задача его почистить. Так же сделал несколько вещей, которые решили проблему, но это все еще открыто. Создается впечатление, что владелец получает письма от самого себя. Выполнена переадресация с info@domain.A на mail@domain.B. Заголовок письма выглядит следующим образом:

От: 27 2021 <>
X-аккаунт-ключ: account1
X-UIDL: UID2733-1620041375
X-Mozilla-Статус: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-ключи: 
Возвратный путь: <info@domain.A>
X-Оригинал-Кому: mail@domain.B
Кому доставлено: mail@domain.B
Получено: от домена.A (домен.A [1.2.3.4]) через домен.B (Postfix) с идентификатором ESMTPS 5E1A72008B для <mail@domain.B>; Чт, 1 июля 2021 г., 22:34:40 +0200 (CEST)
Получено: доменом.A (Postfix, от userid 30) id 44B4138173D; Чт, 1 июля 2021 г., 22:34:40 +0200 (CEST)
X-Оригинал-Кому: info@domain.A
Кому доставлено: info@domain.A
Получено: от hp0.221.gvbni.club (hp0.221.gvbni.club [159.65.219.21]) через domain.A (Postfix) с идентификатором ESMTPS E8F7F380E19 для <info@domain.A>; Чт, 1 июля 2021 г., 22:34:39 +0200 (CEST)
От кого: домен.A <info@domain.A>
Кому: info@domain.A
Тема: Уведомление от домена. Отчет об ошибке № 496511148735 от 30 июня 2021 г.
Дата: 1 июля 2021 г. 13:34:38 ​​-07:00
Идентификатор сообщения: <20210701133438.4F3F959FAAE23414@domain.A>
MIME-версия: 1.0
Тип содержимого: текст/html
Content-Transfer-Encoding: кавычки-печать

Plesk с постфиксом используется, почтовая очередь пуста. Владелец info@domain.A не отправил сообщение. Конечно, это возможно при скомпрометированном почтовом аккаунте. Есть ли другая возможность, почему это может произойти?

Большое тебе спасибо

PS: лог показывает следующее:

1 июля 22:34:39 h2086526 postfix/smtpd[6949]: подключиться с hp0.221.gvbni.club[159.65.219.21]
1 июля 22:34:39 h2086526 postfix/smtpd[6949]: E8F7F380E19: client=hp0.221.gvbni.club[159.65.219.21]
1 июля 22:34:40 h2086526 postfix/cleanup[7201]: E8F7F380E19: message-id=<20210701133438.4F3F959FAAE23414@domain.A>
1 июля 22:34:40 h2086526 check-quota[7204]: Запуск фильтра check-quota...
1 июля 22:34:40 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: handlers_stderr: ПРОПУСТИТЬ
1 июля 22:34:40 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: ПРОПУСТИТЬ во время вызова обработчика 'check-quota'
1 июля 22:34:40 h2086526 postfix/qmgr[28667]: E8F7F380E19: from=<info@domain.A>, size=3932, nrcpt=1 (очередь активна)
1 июля 22:34:40 h2086526 postfix-local[7206]: postfix-local: from=info@domain.A, to=info@domain.A, dirname=/var/qmail/mailnames
1 июля 22:34:40 h2086526 dk_check[7207]: Запуск фильтра dk_check...
1 июля 22:34:40 h2086526 dk_check[7207]: результат проверки DKIM: фид DKIM: нет подписи
1 июля 22:34:40 h2086526 check-quota[7212]: Запуск фильтра check-quota...
1 июля 22:34:40 h2086526 plesk sendmail[7211]: handlers_stderr: ПРОПУСТИТЬ
1 июля 22:34:40 h2086526 plesk sendmail[7211]: ПРОПУСТИТЬ во время вызова обработчика «проверки квоты»
1 июля 22:34:40 h2086526 postfix/pickup[4154]: 44B4138173D: uid=30 from=<info@domain.A>
1 июля 22:34:40 h2086526 postfix/cleanup[7201]: 44B4138173D: message-id=<20210701133438.4F3F959FAAE23414@domain.A>
1 июля 22:34:40 h2086526 postfix/qmgr[28667]: 44B4138173D: from=<info@domain.A>, size=4101, nrcpt=1 (очередь активна)
1 июля 22:34:40 h2086526 postfix/pipe[7205]: E8F7F380E19: to=<info@domain.A>, relay=plesk_virtual, задержка=0,45, задержки=0,38/0/0/0,06, dsn=2,0.0 , статус=отправлено (доставлено через виртуальную службу plesk_virtual)
1 июля 22:34:40 h2086526 postfix/qmgr[28667]: E8F7F380E19: удалено
1 июля 22:34:40 h2086526 postfix/smtp[7217]: 44B4138173D: to=<mail@domain.B>, relay=domain.B[1.2.3.4]:25, задержка=0,15, задержки=0/0,01/ 0.06/0.08, dsn=2.0.0, статус=отправлено (250 2.0.0 Ok: в очереди как 5E1A72008B)
1 июля 22:34:40 h2086526 postfix/qmgr[28667]: 44B4138173D: удалено
1 июля 22:34:40 h2086526 postfix/smtpd[6949]: отключиться от hp0.221.gvbni.club[159.65.219.21]

PPS: С адреса testmail@web.de было отправлено действительное письмо на адрес support@domain.A, переадресованное на адрес support@domain.B:

6 июля 20:35:36 h2086526 postfix/smtpd[31806]: подключиться с mout.web.de[212.227.15.4]
6 июля 20:35:36 h2086526 postfix/smtpd[31806]: 2BEA8380E17: client=mout.web.de[212.227.15.4]
6 июля 20:35:36 h2086526 postfix/cleanup[31873]: 2BEA8380E17: message-id=<1269DDAE-17B0-466B-A309-67FA2688FD76@web.de>
6 июля 20:35:36 h2086526 check-quota[31876]: запуск фильтра check-quota...
6 июля 20:35:36 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: handlers_stderr: ПРОПУСТИТЬ
6 июля 20:35:36 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: ПРОПУСТИТЬ во время вызова обработчика 'check-quota'
6 июля 20:35:36 h2086526 postfix/qmgr[28667]: 2BEA8380E17: from=<testmail@web.de>, size=2775, nrcpt=1 (очередь активна)
6 июля 20:35:36 h2086526 postfix-local[31878]: postfix-local: from=testmail@web.de, to=support@domain.A, dirname=/var/qmail/mailnames
6 июля 20:35:36 h2086526 dk_check[31879]: Запуск фильтра dk_check...
6 июля 20:35:36 h2086526 dk_check[31879]: результат проверки DKIM: успешно
6 июля 20:35:36 h2086526 postfix/smtpd[31806]: отключиться от mout.web.de[212.227.15.4]
6 июля 20:35:36 h2086526 dovecot: service=lda, user=support@domain.A, ip=[]. msgid=<1269DDAE-17B0-466B-A309-67FA2688FD76@web.de>: сохраненная почта в INBOX
6 июля 20:35:36 h2086526 check-quota[31890]: запуск фильтра check-quota...
6 июля 20:35:36 h2086526 plesk sendmail[31889]: handlers_stderr: ПРОПУСТИТЬ
6 июля 20:35:36 h2086526 plesk sendmail[31889]: ПРОПУСТИТЬ во время вызова обработчика «проверки квоты»
6 июля 20:35:36 h2086526 postfix/pickup[29043]: 707C738173E: uid=30 from=<SRS0=RS5/=L6=web.de=testmail@domain.A>
6 июля 20:35:36 h2086526 postfix/cleanup[31873]: 707C738173E: message-id=<1269DDAE-17B0-466B-A309-67FA2688FD76@web.de>
6 июля 20:35:36 h2086526 postfix/qmgr[28667]: 707C738173E: from=<SRS0=RS5/=L6=web.de=testmail@domain.A>, size=3027, nrcpt=1 (очередь активна)
6 июля 20:35:36 h2086526 postfix/pipe[31877]: 2BEA8380E17: to=<support@domain.A>, relay=plesk_virtual, delay=0.3, delays=0.15/0/0/0.15, dsn=2.0.0 , статус=отправлено (доставлено через виртуальную службу plesk_virtual)
6 июля 20:35:36 постфикс h2086526/qmgr[28667]: 2BEA8380E17: удалено
6 июля 20:35:36 h2086526 postfix/smtp[31895]: 707C738173E: to=<support@domain.B>, relay=domain.B[1.2.3.4]:25, задержка=0,21, задержки=0/0,01/ 0.09/0.11, dsn=2.0.0, статус=отправлено (250 2.0.0 Ok: в очереди как 8E7C1201F7)
6 июля 20:35:36 h2086526 postfix/qmgr[28667]: 707C738173E: удалено
110
0 + 5
vidarlo avatar
флаг ar
vidarlo
Является ли отправитель стандартным MX для A? Вы проверили журналы на A? Что они показывают? A утверждает, что он получен от uid 30, вы проверили, какой это пользователь в `/etc/passwd`?
0
Ответить
Tobias H avatar
флаг mx
Tobias H
Много дел, я знаю... Пользователь с идентификатором 30: popuser:x:30:31:пользователь службы POP3 Добавил логи в первый пост.
0
Ответить
vidarlo avatar
флаг ar
vidarlo
Это то, что журналы показывают *нормально*, например. что будет показано для законной почты? И почему wold popuser отправляет электронные письма? Какое программное обеспечение работает как popuser в соответствующей системе?
0
Ответить
Tobias H avatar
флаг mx
Tobias H
Большое спасибо, добавил логи в первый пост.
0
Ответить
Tobias H avatar
флаг mx
Tobias H
Похоже, что сервер 159.65.219.21 отправляет почту с чужого домена или у вас есть другая идея?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.