잠재적인 후위 감염

잠재적인 후위 감염

그래서 저는 보내는 메일을 보내기 위해 postfix를 사용하는 Ubuntu VPS를 운영하고 있습니다. VPS에서 호스팅하는 도메인에 여러 개의 이메일 주소가 연결되어 있는데 그 중 하나는 다음과 같습니다.[이메일 보호됨]. 이 이메일 주소의 소유자는 두 대 이상의 개인용 컴퓨터를 가지고 있으며 지금까지 Thunderbird를 사용하여 이메일 주소에 액세스했습니다.

며칠 전 받은 편지함에서[이메일 보호됨]한 시간에 수백, 수백 번의 반송으로 난리를 피우기 시작했고,[이메일 보호됨]어제 해당 이메일 계정에 대한 Thunderbird 항목을 삭제했지만 소용이 없었습니다.

두 컴퓨터 모두 어젯밤에 종료되었지만 주소는 여전히 반송 메일을 받고 있었습니다. 이제 처음에는 계정이 켜져 있던 컴퓨터도 켜져 있지 않았기 때문에 이것이 반송 스팸일 수 있다고 생각했습니다. 그러나 이메일을 자세히 살펴보면 그 중 일부에 다음과 같은 내용이 포함되어 있음을 알 수 있습니다.

<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

여기서 XX.XX.XX.XX는 VPN의 IP 주소입니다. 이로 인해 postfix 서버에 문제가 있는 것 같습니다(또한 컴퓨터 감염일 가능성이 높습니다. 전체 클램스캔에서 다음과 같은 결과가 나왔습니다.

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

문제를 추적하거나 문제를 해결하는 방법에 대한 아이디어가 있습니까?

감사해요.

답변1

"반송" 이메일은 때때로 스팸 공격의 일부이지만 귀하의 경우에는 해당되지 않을 것 같습니다.

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

이로 인해 귀하의 서버 IP가 블랙리스트, 특히 att.net의 블랙리스트를 작성했다고 믿게 되었습니다. mxtoolbox.com에서 귀하의 도메인을 확인하고 귀하가 오픈 릴레이를 실행하고 있지 않으며 블랙리스트에 등록되지 않았는지 확인하겠습니다.

전용 IP를 사용하는 경우 ATT/Bell South로 이 문제를 해결해야 합니다. 주거용 계정에서 동적 IP를 사용하는 경우 대부분의 ISP는 비비즈니스 계정에서 서버를 실행하는 사용자에 대한 지원 임계값이 낮고 일반적으로 프로비저닝을 통해 문제를 해결하기가 조금 더 까다로워집니다. 이웃 중 한 명이 스팸 봇넷의 일부이고 공유 IP가 차단되었기 때문에 차단되었습니다.

일반 대중과 주고받는 이메일 시스템에서는 clamav와 같은 바이러스 필터를 실행하게 됩니다.

답변2

VPS에는 PostFix 외에 무엇이 설치되어 있나요? VPS를 통해 메일을 보낼 수 있는 시스템 및/또는 사용자는 무엇입니까?

Postfix의 로그를 확인하여 PostFix를 통해 메일을 보내는 내용 및/또는 누가 메일을 보내는지 확인할 수 있습니다.

cat /var/log/mail.log

이러한 상황에서 제가 많이 경험한 것은 고객이 메일을 보내기 위해 당사의 메일 서버를 사용하는 Outlook을 악용하는 바이러스에 걸렸다는 것입니다. 한 사용자가 자신의 계정을 통해 스팸을 보내는 것일 수 있습니다.

관련 정보