Недавно я установил почтовый сервер Postfix на Ubuntu 20.04. Этот сервер используется в основном для ретрансляции сообщений от аутентифицированных пользователей во внешний мир. Это сделано для того, чтобы такие приложения, как платежная ведомость или наши различные веб-приложения, могли отправлять электронные письма пользователям.
Поскольку исходящая почта иногда помечается как спам (что приводит к недоставке конечному пользователю), мы также настроили постфикс для сохранения копии всех сообщений в архивном почтовом ящике в Dovecot, к которому можно получить доступ по IMAP.
Я еще не начал использовать его, но при тестировании он работает.
Я также получаю ежедневную статистику сервера, поэтому я могу отслеживать, был ли он скомпрометирован или работает правильно.
Сегодня это показало, что мой сервер отправил электронное письмо, похожее на спам, и я не понимаю, откуда оно пришло.
Мои почтовые журналы показывают, что оно было получено процессом postfix/pickup, что, как я полагаю, означает, что оно было сгенерировано локально с использованием каталога maildrop. Однако я понятия не имею, что может быть причиной этого.
Mail.log ниже, где мой фактический домен заменен на «my-domain.co.uk».
20 октября 20:51:33 smtp postfix/pickup[122235]: 6932F1802EE: uid=0 from=<[email protected]>
20 октября 20:51:33 smtp postfix/cleanup[122417]: 6932F1802EE: message-id=<[email protected]>
20 октября 20:51:33 smtp postfix/qmgr[96237]: 6932F1802EE: from=<[email protected]>, size=362, nrcpt=2 (очередь активна)
20 октября, 20:51:33 smtp dovecot: lmtp(122427): подключиться из локальной сети
20 октября 20:51:33 smtp dovecot: lmtp(архив)<122427><6rUBHUVzcGE73gEAMbpG8w>: msgid=<[email protected]>: сохраненная почта в INBOX
20 октября, 20:51:33 smtp dovecot: lmtp(122427): Отключиться от локального: Клиент разорвал соединение (состояние = ГОТОВО)
20 октября 20:51:33 smtp postfix/lmtp[122424]: 6932F1802EE: to=<[email protected]>, relay=smtp.my-domain.co.uk[private/dovecot-lmtp ], задержка = 0,08, задержки = 0,02/0,02/0,03/0,01, dsn = 2,0.0, статус = отправлено (250 2.0.0 <[email protected]> 6rUBHUVzcGE73gEAMbpG8w Сохранено)
20 октября 20:51:34 smtp postfix/smtp[122422]: 6932F1802EE: to=<[email protected]>, relay=smtp-in.libero.it[213.209.1.129]:25, delay=1.4, delays=0.02/0.02/0.52/0.89, dsn=2.0.0, status=sent (250 писем dHcbmPvGwsN2WdHcbmMIwS приняты к доставке)
20 октября 20:51:34 smtp postfix/qmgr[96237]: 6932F1802EE: удалено
Был ли мой сервер каким-то образом скомпрометирован? Если да, то как найти виновного?
Кроме того, похоже, что каталог maildrop используется ежедневным заданием cron, которое отправляет мне статистику по почте, поэтому я не думаю, что могу просто отключить процесс получения.
Последнее, что я проверил, это auth.log. Единственные успешные входы в систему за последние несколько дней, я вполне уверен, это все я. Хотя неудачных попыток много.
ОБНОВИТЬ:
вывод postconf -Mf:
smtp инет n - y - - smtpd
подача инет н - у - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=шифровать
-o smtpd_sasl_auth_enable=да
-o smtpd_tls_auth_only=да
пикап unix n - y 60 1 пикап
очистка unix n - y - 0 очистка
qmgr unix n - n 300 1 qmgr
tlsmgr unix--y 1000? 1 тлсмгр
переписать unix--y--тривиально-переписать
отказ unix - - y - 0 отказ
отложить unix - - y - 0 отказов
трассировка unix - - y - 0 отказов
проверить unix - - y - 1 проверить
прошить unix -ы 1000? 0 флеш
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
реле unix--y--smtp
-o syslog_name=postfix/$service_name
showq unix n - y - - showq
ошибка unix--y--ошибка
повторите попытку unix--y--ошибка
отбросить unix--y--отбросить
локальный unix - n n - - локальный
виртуальный unix - n n - - виртуальный
lmtp unix--y--lmtp
наковальня unix - - y - 1 наковальня
архив unix - - y - 1 архив
postlog unix-dgram n - n - 1 postlogd
maildrop unix - n n - - pipe flags=DRhu
user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe flags=Fqhu
user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe flags=F user=ftn
argv=/usr/lib/ifmail/ifmail -r $nexthop ($получатель)
bsmtp unix - n n - - флаги канала=Fq.
user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
Scalemail-backend unix - n n - 2 флага конвейера = R
user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop}
${пользователь} ${расширение}
mailman unix - n n - - pipe flags=FR
user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop}
${пользователь}
И postconf -n (снова изменив мой фактический домен на my-domain.co.uk)
alias_database = хэш:/и т.д./псевдонимы
alias_maps = хеш:/и т.д./псевдонимы
always_bcc = [email protected]
append_dot_mydomain = нет
биф = нет
сломанный_sasl_auth_clients = да
уровень_совместимости = 2
inet_interfaces = все
inet_protocols = все
local_recipient_maps = хеш:/etc/postfix/local_recipient_maps
mailbox_command = procmail -a "$EXTENSION"
почтовый ящик_размер_лимит = 50000000
mailbox_transport = lmtp:unix:private/dovecot-lmtp
мой пункт назначения = smtp.my-domain.co.uk, локальный хост
myhostname = smtp.my-domain.co.uk
мои сети = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = нет
получатель_разделитель = +
ретранслятор =
smtp_tls_CApath = /etc/ssl/сертификаты
smtp_tls_security_level = может
smtp_tls_session_cache_database = btree:${каталог_данных}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_recipient_restrictions = allow_sasl_authenticated, allow_mynetworks, reject_unauth_destination
smtpd_relay_restrictions = Permit_MyNetworks Permit_Sasl_Authenticated defer_unauth_destination
smtpd_sasl_auth_enable = да
smtpd_sasl_path = частный/авторизация
smtpd_sasl_security_options = неанонимный
smtpd_sasl_type = голубятня
smtpd_tls_cert_file = /etc/letsencrypt/live/smtp.my-domain.co.uk/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/smtp.my-domain.co.uk/privkey.pem
smtpd_tls_security_level = может
