Mailserver kompromittiert. Yahoo lehnt Mails ab

Mailserver kompromittiert. Yahoo lehnt Mails ab

Ich glaube, unser Mailserver wurde kompromittiert. Als ich heute Morgen nachgesehen habe, waren 1298 abgelehnte Mails von Yahoo mit dieser Meldung daMessages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)

Mails werden jedoch an Gmail zugestellt. Ich bin neu hier, kann mir bitte jemand sagen, wo ich mit der Suche beginnen soll? Wir verwenden Postfix und Dovecot auf Ubuntu Server 10.04. Und ich bin dieser Anleitung hier gefolgthttps://help.ubuntu.com/community/MailServer

Antwort1

Ich würde mir Ihre Postfix-Protokolle ansehen. Suchen Sie nach einem erhöhten E-Mail-Verkehr, der höher ist als das, was Sie in Ihren Protokollen für die Vergangenheit sehen. Ich würde insbesondere nach E-Mails suchen, die an Yahoo gehen, falls es sich um etwas handeln könnte, das speziell an Yahoo geht.

Wenn Sie eine Zunahme des E-Mail-Verkehrs feststellen, sehen Sie in den Protokollen nach, wie hoch die Zunahme ist. Sind es Tonnen von E-Mails an einen einzelnen Benutzer (wie ein außer Kontrolle geratenes Skript, das automatisierte Nachrichten sendet) oder an eine große Anzahl von Personen (Spam)? Wenn Sie einige der ungewöhnlichen E-Mails identifiziert haben, verfolgen Sie sie einfach zurück und finden Sie heraus, woher sie kamen.
Sie können auch nachsehen, qshape deferredob noch E-Mails für Yahoo in der Warteschlange stehen (was Sie tun sollten, da Sie einen 4xx-Antwortcode erhalten). Wenn dies der Fall ist, können Sie die Nachrichten in /var/spool/postfix/deferred anzeigen (verwenden Sie dies, postcatum die Nachrichten anzuzeigen).

Es ist auch möglich, dass es einfach nichts ist. Wenn Ihr Mailserver ohnehin nicht viel sendet, könnte selbst ein kleiner, aber legitimer Anstieg die Spam-Grenzwerte von Yahoo überschritten haben.
Die von Ihnen bereitgestellte Blockierungsnachricht verschwindet normalerweise nach ein paar Stunden, wenn das Problem, das ursprünglich zur Blockierung geführt hat, behoben ist.

Antwort2

ERSTES - Überprüfen Sie Ihr System auf Anzeichen eines Rootkitshier dokumentiert,HieroderHier. Ich persönlich magchkrootkitals schnelle Kontrolle.

1298 fehlgeschlagene Nachrichten können eine Menge sein, je nachdem, wie hoch Ihr normales Volumen ist. Sie sollten die Bounce-Nachrichten überprüfen, um zu sehen, ob sie wie normale Nachrichten aus Ihrer Umgebung aussehen. Wenn sie Ihnen nicht bekannt vorkommen, sind Sie kompromittiert worden.


Aufräumen! Das bedeutet einen Neuaufbau, das Aufspüren der fehlerhaften Prozesse, die Wiederherstellung aus einer Sicherung usw. Sie müssen die Situation beheben, die zur Blockierung geführt hat.


Ich würde auch empfehlengenau das tun, was die Fehlermeldung besagtNavigieren Sie von dort zu:

http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html

Yahoo gibt an:

Wenn Sie diese Fehlermeldung in Ihren SMTP-Protokollen sehen (wobei xxxx Ihre IP-Adresse ist), liegt dies an einem der folgenden Gründe: Wir sehen ungewöhnlichen Datenverkehr von Ihrer IP-Adresse. E-Mails von Ihrem Mailserver führen zu Beschwerden von Yahoo! Mail-Benutzern. Bitte beachten Sie, dass dies normalerweise eine vorübergehende Situation ist. Wir empfehlen Ihnen, etwa vier Stunden nach Auftreten dieser Fehlermeldung erneut zu versuchen, E-Mails an unsere Server zu senden. Wenn dieser Fehler über einen Zeitraum von 48 Stunden hinweg konstant auftritt, füllen Sie bitte das Formular aus.diese Formum uns genügend Informationen zu geben, damit wir das Problem aktiv verfolgen können.

Besuche denin der Warnung genannten Formund arbeiten Sie daran, die Blockierung aufzuheben.

Legen Sie jedoch die Erwartungen Ihrer Benutzer fest. Dies kann einige Zeit dauern.

Antwort3

Es KANN sein, dass Sie kompromittiert wurden. Bevor wir das jedoch annehmen, ein paar Fragen:


1) Versenden Sie Massenmails von diesem Server? Wenn ja, haben Yahoo-Empfänger Sie möglicherweise als Spam markiert und lehnen Sie deshalb ab.


2) Sind Sie als offenes Relay konfiguriert? Das heißt, können Sie SMTP-Mails von Rechnern außerhalb Ihres Netzwerks an andere Domänen als Ihre eigene weiterleiten? (Zum Testen:verwenden Sie diese Anweisungenum E-Mails an ein Gmail-Konto oder etwas Ähnliches zu senden). Wenn Sie ein offenes Relay sind, ist es möglich, dass Spammer E-Mails über Ihren Server zurückschicken und Sie Spam-Beschwerden von Yahoo erhalten.

Antwort4

Ich hatte ein ähnliches Problem mit Trend Micro. Vielleicht steht Ihre öffentliche Adresse auf der schwarzen Liste? Wenn Ihre Benutzer das Internet über diese IP nutzen, verwenden einige von ihnen vielleicht Torrents oder andere P2P-Software.

verwandte Informationen