Мой сервер Postfix продолжает использоваться спамерами. Вот результат судо postcat -vq для последнего пойманного спам-сообщения:
âââ> sudo postcat -vq 3513818A8A
посткат: name_mask: все
postcat: inet_addr_local: настроено 2 адреса IPv4
postcat: inet_addr_local: настроено 2 адреса IPv6
*** КОНВЕРТЫ ЗАПИСЕЙ deferred/3/3513818A8A ***
размер_сообщения: 8412 720 1 0 8412
message_arrival_time: Чт, 19 августа, 13:35:50 2021
create_time: Чт, 19 августа, 13:35:50 2021
named_attribute: log_ident=3513818A8A
named_attribute: rewrite_context = удаленный
named_attribute: sasl_method=ВХОД
named_attribute: sasl_username=root
отправитель: [email protected]
named_attribute: log_client_name = неизвестно
named_attribute: log_client_address=93.122.252.4
named_attribute: log_client_port=16374
named_attribute: log_message_origin = неизвестно [93.122.252.4]
named_attribute: log_helo_name=109-166-129-221.orangero.net
named_attribute: log_protocol_name = ESMTP
named_attribute: имя_клиента = неизвестно
named_attribute: reverse_client_name = неизвестно
named_attribute: client_address=93.122.252.4
named_attribute: client_port=16374
named_attribute: helo_name=109-166-129-221.orangero.net
named_attribute: имя_протокола = ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;[email protected]
original_recipient: [email protected]
получатель: [email protected]
На основе этих двух строк:
named_attribute: sasl_method=ВХОД
named_attribute: sasl_username=root
Я считаю, что спамер успешно регистрируется как корень а затем рассылает свои спам-сообщения с моего сервера. И это подтверждается запуском sudo cat /var/log/maillog | grep sasl_username = корень который показывает много записей, таких как:
19 августа 17:13:15 почтовый постфикс/smtpd[11442]: EA58D18CCD: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:17 почтовый постфикс/smtpd[11442]: BDA4E18D32: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:19 почтовый постфикс/smtpd[11442]: 7387E18D31: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:21 почтовый постфикс/smtpd[11442]: 1C0FB18D34: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:22 почтовый постфикс/smtpd[11442]: DCB4418D36: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:24 почтовый постфикс/smtpd[11442]: B62DD18D39: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:26 почтовый постфикс/smtpd[11442]: 6F52B18D38: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:28 почтовый постфикс/smtpd[11442]: 24DEF18D3A: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:29 почтовый постфикс/smtpd[11442]: A30B418D3C: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:31 почтовый постфикс/smtpd[11442]: 88D8318D3B: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
19 августа 17:13:33 почтовый постфикс/smtpd[11442]: 11F6118D44: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
У меня на сервере работает Dovecot, помимо Postfix, поэтому проверка /etc/dovecot/conf.d/10-mail.conf файлы показывает:
# Допустимый диапазон UID для пользователей, по умолчанию 500 и выше. Это в основном
# чтобы убедиться, что пользователи не могут войти в систему как демоны или другие системные пользователи.
# Обратите внимание, что запрет входа в систему с правами суперпользователя жестко запрограммирован в двоичном коде dovecot и не может
# быть выполнено, даже если для first_valid_uid установлено значение 0.
первый_действительный_uid = 1000
#last_valid_uid = 0
Так что теперь я не понимаю, как именно спамеру удается аутентифицироваться как корень. Само собой разумеется корень пользователь отключен в системе.
Любые предложения, как полностью предотвратить sasl_username корень от входа в систему?
