Ich habe meine Munin-Tabellen überprüft und eine riesige Liste mit zurückgestellten E-Mails in Postfix gesehen. Als ich in /var/log/mail.log nachsah, kam mir eine Idee: Ich sende E-Mails an unbekannte E-Mail-Adressen:
Dec 23 08:21:32 h2065299 postfix/pickup[10816]: 63F5811A0384: uid=33 from=<www-data>
Dec 23 08:21:32 h2065299 postfix/cleanup[20915]: 63F5811A0384: message-id=<[email protected]>
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: from=<[email protected]>, size=2254, nrcpt=1 (queue active)
Dec 23 08:21:32 h2065299 postfix/smtp[20917]: 63F5811A0384: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, $
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: removed
das ist nicht wirklich anders als eine erzwungene "gute" E-Mail
Dec 23 09:41:51 h2065299 postfix/pickup[28905]: EE51611A0393: uid=33 from=<www-data>
Dec 23 09:41:51 h2065299 postfix/cleanup[30516]: EE51611A0393: message-id=<[email protected]>
Dec 23 09:41:52 h2065299 postfix/qmgr[28906]: EE51611A0393: from=<[email protected]>, size=977, nrcpt=1 (queue active)
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: connect to gmail-smtp-in.l.google.com[2a00:1450:4008:c01::1b]:25: Connection timed out
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: EE51611A0393: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[173.194.69.27]:25, delay=$
Dec 23 09:42:22 h2065299 postfix/qmgr[28906]: EE51611A0393: removed
Wir betreiben drei WordPress-Dateien und einige Skriptordner auf dem Server. Die WordPress-Dateien sind auf dem neuesten Stand und ich denke, wir haben die richtigen Dateiberechtigungen dafür.
Was kann dazu führen, dass www-data E-Mails an unbekannte Benutzer sendet?!
Antwort1
Wenn Ihr Server viele Mails an unbekannte Benutzer sendet, handelt es sich wahrscheinlich um Spam. Um dies zu bestätigen, sollten Sie Ihre Postfix-Warteschlange auf die IDs der zurückgestellten Mails überprüfen und lesen, was darin steht.
Wenn Sie CMS-Systeme wie WordPress verwenden, gibt es wahrscheinlich unsichere Skripte, die zum Versenden von Spam verwendet werden können. Wenn Ihr WordPress auf dem neuesten Stand ist, sollten Sie auch alle Plugins, Module usw. überprüfen, falls dies der Fall ist.
Um herauszufinden, welches Skript für den Versand dieser Mails verantwortlich ist, können Sie die Direktive
mail.add_x_header = On
in Ihrer php.ini. Dadurch wird ein zusätzlicher Mail-Header hinzugefügt
X-PHP-Originating-Script
an Ihre E-Mails an, die das sendende Skript anzeigt. Diese Direktive ist ab PHP 5.3 verfügbar.
Antwort2
Merkwürdige Zeichen, einfache Erklärung: Wir verwenden ein Plugin, das den Kommentator eines Beitrags auffordert, seinen Kommentar zu verifizieren. Das bedeutet: Jeder Kommentator erhält eine E-Mail. Nach dem Upgrade von WordPress auf 3.8 können einige Bots einen Kommentar hinterlassen, ohne das erforderliche Captcha im Blogbeitrag zu beantworten. Das bedeutet: viele Kommentare, die viele E-Mails zur Folge haben. Wir hoffen, bald ein Update für das Re-Captcha-Plugin zu bekommen.
die Warteschlange war mit E-Mails an stark beanspruchte Gmail-Spamkonten gefüllt (der Empfänger erhält in einer bestimmten Zeit zu viele Nachrichten ...)
Es handelt sich also um das Ergebnis erwünschten Mailverkehrs und es scheint sich nicht um „Spamming“ von unserem Server zu handeln.