Ich betreibe also einen Ubuntu VPS, der Postfix zum Senden ausgehender E-Mails verwendet. Ich habe mehrere E-Mail-Adressen an die Domäne angehängt, die auf dem VPS gehostet wird. Eine davon ist beispielsweise[email geschützt]. Der Besitzer dieser E-Mail-Adresse besitzt höchstens zwei PCs und hat bisher Thunderbird für den Zugriff auf die E-Mail-Adresse verwendet.
Vor ein paar Tagen war der Posteingang für[email geschützt]begann mit Hunderten und Aberhunderten von Rückläufern pro Stunde zu rechnen, der Besitzer von[email geschützt]habe gestern ihre Thunderbird-Einträge für diese E-Mail-Konten gelöscht, ohne Erfolg.
Beide Computer wurden letzte Nacht heruntergefahren, aber die Adresse erhielt immer noch Bouncebacks. Nun dachte ich zunächst, dass es sich um Bounceback-Spam handeln könnte, da keiner der Computer, auf denen das Konto lag, eingeschaltet war. Bei näherer Betrachtung der E-Mails sehe ich jedoch, dass einige von ihnen Zeilen wie diese enthalten:
<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks
Wobei XX.XX.XX.XX die IP-Adresse unseres VPN ist. Das lässt mich vermuten, dass etwas mit dem Postfix-Server nicht stimmt (und höchstwahrscheinlich auch eine Infektion auf den Computern). Ein vollständiger Clamscan ergab Folgendes:
/var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
/usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND
Irgendwelche Ideen, wie ich das Problem aufspüren/lösen kann?
Danke.
Antwort1
„Bounce“-E-Mails sind manchmal Teil eines Spam-Angriffs, obwohl ich bezweifle, dass dies in Ihrem Fall der Fall ist.
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.
Das lässt mich glauben, dass Ihre Server-IP auf einer schwarzen Liste steht - insbesondere auf einer mit att.net. Ich würde Ihre Domain auf mxtoolbox.com überprüfen und sicherstellen, dass Sie kein offenes Relay betreiben und nicht auf der schwarzen Liste stehen.
Wenn Sie eine dedizierte IP-Adresse haben, müssen Sie dies mit ATT/Bell South klären. Wenn Sie eine dynamische IP-Adresse für ein Privatkonto verwenden, wird die Klärung etwas schwieriger, da die meisten ISPs eine niedrige Unterstützungsschwelle für Benutzer haben, die Server auf privaten Konten betreiben, und die Bereitstellung bedeutet normalerweise, dass Sie blockiert werden könnten, weil einer Ihrer Nachbarn Teil eines Spam-Botnetzes ist/war und die gemeinsam genutzte IP-Adresse blockiert wurde.
Bei jedem E-Mail-System, das E-Mails an die breite Öffentlichkeit sendet und empfängt, würde ich einen Virenfilter wie Clamav ausführen.
Antwort2
Was ist außer PostFix auf dem VPS installiert? Welche Systeme und/oder Benutzer dürfen E-Mails über Ihren VPS versenden?
Sie können das Protokoll von Postfix überprüfen, um zu sehen, was und/oder wer E-Mails über PostFix sendet.
cat /var/log/mail.log
Was ich in solchen Situationen oft erlebt habe, ist, dass ein Kunde einen Virus hat, der sein Outlook missbraucht, das unseren Mailserver zum Senden von E-Mails verwendet. Es könnte sein, dass ein Benutzer SPAM über sein Konto versendet.