Postfix von = Wurde ich von einem Spammer gehackt?

Postfix von = Wurde ich von einem Spammer gehackt?

Mailq zeigt in der Warteschlange für verzögerte Verbindungen eine Reihe von Timeouts für Adressen an, die seltsam aussehen.

D1115234D9     3037 Thu Feb 25 11:01:38  MAILER-DAEMON
       (connect to mail.suchgt.top[63.143.32.55]:25: Connection timed out)
                                     [email protected]

D7E46234B6     2992 Thu Feb 25 15:16:42  MAILER-DAEMON
      (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
                                     [email protected]

F10E2230E3     3003 Thu Feb 25 06:55:39  MAILER-DAEMON
     (connect to mail.refillu.top[199.115.97.43]:25: Connection timed out)
                                     [email protected]

F34F223661     3219 Thu Feb 25 12:03:30  MAILER-DAEMON    
 (connect to nlwe9u1qq.manorby.download[8.41.46.184]:25: Connection refused)
                                     [email protected]

F3C0923133     3282 Thu Feb 25 06:55:14  MAILER-DAEMON
(lost connection with eschatological.gzgi.download[209.219.189.55] while receiving the initial server greeting)
                                            [email protected]

-- 969 Kbytes in 266 Requests.

Wenn ich eine dieser Nachrichten-IDs aufspüre, um herauszufinden, wer die Nachricht sendet, erhalte ich von=<>

grep "D7E46234B6" mail.log

Feb 25 15:16:42 c postfix/smtpd[11744]: D7E46234B6: client=localhost.localdomain[127.0.0.1]
Feb 25 15:16:42 c postfix/cleanup[11733]: D7E46234B6: message-id=<[email protected]>
Feb 25 15:16:42 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:16:42 c amavis[11668]: (11668-01) Passed CLEAN {RelayedOpenRelay}, <> -> <[email protected]>, Message-ID: <[email protected]>, mail_id: zbne-aplX4iS, Hits: 0.898, size: 2544, queued_as: D7E46234B6, 20276 ms
Feb 25 15:16:42 c postfix/smtp[11739]: A345D23687: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=20, delays=0.01/0/0.06/20, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as D7E46234B6)
Feb 25 15:16:43 c postfix/smtp[11763]: D7E46234B6: to=<[email protected]>, relay=none, delay=0.24, delays=0.02/0/0.21/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection refused)
Feb 25 15:26:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:26:58 c postfix/smtp[12339]: D7E46234B6: to=<[email protected]>, relay=none, delay=615, delays=585/0.23/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 15:41:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:41:57 c postfix/smtp[12959]: D7E46234B6: to=<[email protected]>, relay=none, delay=1515, delays=1484/0.12/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 16:11:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 16:11:58 c postfix/smtp[14279]: D7E46234B6: to=<[email protected]>, relay=none, delay=3316, delays=3284/0.11/31/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 17:11:28 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 17:11:58 c postfix/smtp[16763]: D7E46234B6: to=<[email protected]>, relay=none, delay=6915, delays=6885/0.1/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)

Frage: Gibt es eine Möglichkeit herauszufinden, wer versucht, diese gefälschten E-Mails zu versenden, damit ich sie stoppen kann? Sieht dieser Angriff wie ein Exploit aus einem PHP-Skript, einem offenen Relay, einem gehackten E-Mail-Konto oder Ähnlichem aus?

Nachdem meine Recherche erfolglos geblieben ist, bin ich mir nicht sicher, an wen ich mich für meinen nächsten Diagnoseschritt wenden soll. Danke für Ihre Hilfe.

Antwort1

Postfix hat keinen Cheatsheet wie Exim "exim -Mvh oder exim -Mvb". Sie haben jedoch etwas wiehttp://www.postfix.org/BUILTIN_FILTER_README.html

Ich glaube, was Sie gerade erlebt haben, ist „E-Mail-Spoofing“. Um sicherzustellen, dass kein autorisierter E-Mail-Versand über Ihre Domain möglich ist, fügen Sie Ihrem DNS und DKIM auf Ihrem Server einen SPF-Eintrag hinzu.

verwandte Informationen