mailq muestra un montón de tiempos de espera de conexión en cola diferida para direcciones que parecen extrañas.
D1115234D9 3037 Thu Feb 25 11:01:38 MAILER-DAEMON
(connect to mail.suchgt.top[63.143.32.55]:25: Connection timed out)
[email protected]
D7E46234B6 2992 Thu Feb 25 15:16:42 MAILER-DAEMON
(connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
[email protected]
F10E2230E3 3003 Thu Feb 25 06:55:39 MAILER-DAEMON
(connect to mail.refillu.top[199.115.97.43]:25: Connection timed out)
[email protected]
F34F223661 3219 Thu Feb 25 12:03:30 MAILER-DAEMON
(connect to nlwe9u1qq.manorby.download[8.41.46.184]:25: Connection refused)
[email protected]
F3C0923133 3282 Thu Feb 25 06:55:14 MAILER-DAEMON
(lost connection with eschatological.gzgi.download[209.219.189.55] while receiving the initial server greeting)
[email protected]
-- 969 Kbytes in 266 Requests.
Cuando localizo uno de estos ID de mensaje para intentar ver quién envía el mensaje que recibo=<>
grep "D7E46234B6" correo.log
Feb 25 15:16:42 c postfix/smtpd[11744]: D7E46234B6: client=localhost.localdomain[127.0.0.1]
Feb 25 15:16:42 c postfix/cleanup[11733]: D7E46234B6: message-id=<[email protected]>
Feb 25 15:16:42 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:16:42 c amavis[11668]: (11668-01) Passed CLEAN {RelayedOpenRelay}, <> -> <[email protected]>, Message-ID: <[email protected]>, mail_id: zbne-aplX4iS, Hits: 0.898, size: 2544, queued_as: D7E46234B6, 20276 ms
Feb 25 15:16:42 c postfix/smtp[11739]: A345D23687: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=20, delays=0.01/0/0.06/20, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as D7E46234B6)
Feb 25 15:16:43 c postfix/smtp[11763]: D7E46234B6: to=<[email protected]>, relay=none, delay=0.24, delays=0.02/0/0.21/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection refused)
Feb 25 15:26:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:26:58 c postfix/smtp[12339]: D7E46234B6: to=<[email protected]>, relay=none, delay=615, delays=585/0.23/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 15:41:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 15:41:57 c postfix/smtp[12959]: D7E46234B6: to=<[email protected]>, relay=none, delay=1515, delays=1484/0.12/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 16:11:27 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 16:11:58 c postfix/smtp[14279]: D7E46234B6: to=<[email protected]>, relay=none, delay=3316, delays=3284/0.11/31/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Feb 25 17:11:28 c postfix/qmgr[2440]: D7E46234B6: from=<>, size=2992, nrcpt=1 (queue active)
Feb 25 17:11:58 c postfix/smtp[16763]: D7E46234B6: to=<[email protected]>, relay=none, delay=6915, delays=6885/0.1/30/0, dsn=4.4.1, status=deferred (connect to mail.bravepb.top[46.19.138.77]:25: Connection timed out)
Pregunta: ¿Existe alguna manera de saber quién está intentando enviar estos correos electrónicos falsos para poder detenerlos? ¿Este ataque parece un exploit de un script php, un relé abierto, una cuenta de correo electrónico pirateada u otro?
Después de que mi investigación fracasó, no estoy seguro de a quién acudir para mi siguiente paso de diagnóstico. Gracias por tu ayuda.
Respuesta1
Postfix no tiene ninguna hoja de referencia como Exim "exim -Mvh o exim -Mvb". Sin embargo, tienen algo comohttp://www.postfix.org/BUILTIN_FILTER_README.html
Creo que lo que acaba de experimentar es la "suplantación de correo electrónico". Para asegurarse de que nadie autorizado no pueda enviar correo electrónico a través de su dominio, agregue el registro SPF a su DNS y DKIM en su servidor.