postfix enviando correos a direcciones desconocidas

postfix enviando correos a direcciones desconocidas

Estaba revisando mis tablas munin y vi una lista enorme de correos diferidos en postfix y mirando /var/log/mail.log me dio una idea: estoy enviando correos a direcciones de correo desconocidas:

Dec 23 08:21:32 h2065299 postfix/pickup[10816]: 63F5811A0384: uid=33 from=<www-data>
Dec 23 08:21:32 h2065299 postfix/cleanup[20915]: 63F5811A0384: message-id=<[email protected]>
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: from=<[email protected]>, size=2254, nrcpt=1 (queue active)
Dec 23 08:21:32 h2065299 postfix/smtp[20917]: 63F5811A0384: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, $
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: removed

Esto no es realmente diferente a un correo electrónico "bueno" forzado.

Dec 23 09:41:51 h2065299 postfix/pickup[28905]: EE51611A0393: uid=33 from=<www-data>
Dec 23 09:41:51 h2065299 postfix/cleanup[30516]: EE51611A0393: message-id=<[email protected]>
Dec 23 09:41:52 h2065299 postfix/qmgr[28906]: EE51611A0393: from=<[email protected]>, size=977, nrcpt=1 (queue active)
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: connect to gmail-smtp-in.l.google.com[2a00:1450:4008:c01::1b]:25: Connection timed out
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: EE51611A0393: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[173.194.69.27]:25, delay=$
Dec 23 09:42:22 h2065299 postfix/qmgr[28906]: EE51611A0393: removed

Estamos ejecutando tres wordpress y una carpeta scipt en el servidor. Los WP están actualizados y creo que tenemos los permisos de archivo correctos sobre ellos.

¿Qué puede hacer que www-data envíe correos electrónicos a usuarios desconocidos?

Respuesta1

Si su servidor envía muchos correos electrónicos a usuarios desconocidos, probablemente sea spam. Para confirmar esto, debe verificar en su cola de postfix los ID de los correos diferidos y leer lo que contienen.

Si está utilizando sistemas CMS como WordPress, probablemente exista algún script inseguro que pueda usarse para enviar spam. Si su WordPress está actualizado, también debe verificar los complementos, módulos, etc., si lo están.

Para saber qué script es responsable de enviar estos correos, puede configurar la directiva

mail.add_x_header = On

en tu php.ini. Esto agregará un encabezado de correo adicional.

X-PHP-Originating-Script

a sus correos que muestra el script de envío. Esta directiva está disponible a partir de PHP 5.3.

Respuesta2

Signos extraños, explicación simple: estamos usando un complemento que le pide al comentarista de una publicación que verifique su comentario. Esto significa: cada comentarista recibe un correo electrónico. Después de actualizar WordPress a 3.8, algunos bots pueden establecer un comentario sin responder el captcha necesario en la publicación del blog. Eso significa: muchos comentarios que resultan en muchos correos electrónicos. Esperamos recibir pronto una actualización para el complemento re-captcha.

la cola se llenó con correos electrónicos dirigidos a cuentas de spam de Gmail de uso intensivo (el receptor recibe muchos mensajes en un tiempo determinado...)

Por lo tanto, es el resultado del tráfico de correo deseado y no parece haber "spam" desde nuestro servidor.

información relacionada