潜在的なPostfix感染

潜在的なPostfix感染

私は、送信メールの送信にpostfixを使用するUbuntu VPSを運用しています。VPSでホストされているドメインに複数のメールアドレスが接続されており、そのうちの1つは[メールアドレス]このメール アドレスの所有者は 2 台のパソコンしか所有しておらず、これまでは Thunderbird を使用してメール アドレスにアクセスしていました。

数日前、[メールアドレス]1時間に何百ものバウンスバックが殺到し始めたので、[メールアドレス]昨日、それらの電子メール アカウントの Thunderbird エントリを削除しましたが、効果はありませんでした。

昨夜、両方のコンピューターがシャットダウンされましたが、そのアドレスは依然としてバウンスバックを受信して​​いました。当初、アカウントがオンになっていたコンピューターはどちらもオンになっていなかったため、これはバウンスバック スパムである可能性があると考えました。しかし、電子メールを詳しく調べると、次のような行が含まれていることがわかりました。

<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

ここで、XX.XX.XX.XX は VPN の IP アドレスです。これは、Postfix サーバーに問題がある (また、コンピューターに感染している可能性が高い) ことを示唆しています。完全な clamscan では、次の結果が生成されました。

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

問題を追跡したり解決したりする方法について何かアイデアはありますか?

ありがとう。

答え1

「バウンス」メールはスパム攻撃の一部である場合もありますが、今回のケースではそうではないと思います。

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

これにより、あなたのサーバIPがブラックリストに載っていると考えられます。特にatt.netのブラックリストです。mxtoolbox.comであなたのドメインをチェックして、オープンリレーを実行していないこと、ブラックリストに載っていないことを確認してください。

専用 IP を使用している場合は、ATT / Bell South でこの問題を解決する必要があります。住宅用アカウントで動的 IP を使用している場合は、解決が少し難しくなります。ほとんどの ISP では、非ビジネス アカウントでサーバーを実行しているユーザーに対するサポートのしきい値が低く、プロビジョニングは通常、近隣の 1 人がスパム ボットネットの一部であり、共有 IP がブロックされたためにブロックされる可能性があることを意味します。

一般の人々に送受信する電子メール システムでは、clamav のようなウイルス フィルターを実行することになります。

答え2

PostFix 以外に VPS に何がインストールされていますか? VPS 経由でメールを送信できるシステムやユーザーはどれですか?

Postfix のログをチェックして、Postfix 経由で何が、誰がメールを送信しているかを確認できます。

cat /var/log/mail.log

このような状況で私がよく経験するのは、顧客が Outlook を悪用するウイルスに感染し、弊社のメールサーバーを使用してメールを送信しているケースです。あるユーザーが自分のアカウントからスパムを送信している可能性もあります。

関連情報