Потенциальная постфиксная инфекция

Потенциальная постфиксная инфекция

Итак, я работаю на Ubuntu VPS, который использует postfix для отправки исходящей почты. У меня есть несколько адресов электронной почты, прикрепленных к домену, который размещен на VPS, один из них, скажем,[email protected]. У владельца этого адреса электронной почты есть два персональных компьютера и не больше, и до сих пор он использовал Thunderbird для доступа к адресу электронной почты.

Пару дней назад почтовый ящик для[email protected]начал получать сотни и сотни отказов в час, владелец[email protected]вчера удалила свои записи Thunderbird для этих учетных записей электронной почты, но безрезультатно.

Оба компьютера были выключены вчера вечером, но адрес все еще получал возвраты. Сначала я подумал, что поскольку ни один из компьютеров, на которых была учетная запись, не был включен, это мог быть спам возвратов. Однако при более внимательном рассмотрении письма я вижу, что некоторые из них содержат такие строки:

<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks

Где XX.XX.XX.XX — IP-адрес нашего VPN. Это заставляет меня думать, что что-то не так с сервером postfix (а также, скорее всего, с заражением компьютеров. Полное сканирование clamscan выдало следующее:

    /var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
    /usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND

Есть идеи, как я могу отследить проблему/решить ее?

Спасибо.

решение1

Иногда письма с сообщением «Bounce» являются частью спам-атаки, хотя я сомневаюсь, что в вашем случае это так.

550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.

Это наводит меня на мысль, что ваш IP-адрес сервера попал в черный список - особенно в att.net. Я бы проверил ваш домен на mxtoolbox.com и убедился, что вы не используете открытый ретранслятор и не находитесь в черном списке.

Если у вас выделенный IP, вам придется решить эту проблему с помощью ATT / Bell South. Если вы используете динамический IP на домашнем аккаунте, решить эту проблему будет немного сложнее, так как у большинства интернет-провайдеров низкий порог поддержки для пользователей, запускающих серверы на некоммерческих аккаунтах, а предоставление обычно означает, что вас могут заблокировать, потому что один из ваших соседей является/был частью спам-ботнета, и общий IP был заблокирован.

В любой системе электронной почты, отправляющей и получающей почту для широкой публики, я бы использовал антивирусный фильтр вроде clamav.

решение2

Что установлено на VPS помимо PostFix? Каким системам и/или пользователям разрешено отправлять почту через ваш VPS?

Вы можете проверить журнал Postfix, чтобы узнать, что и/или кто отправляет почту через PostFix.

cat /var/log/mail.log

Я часто сталкивался с такими ситуациями, когда у клиента был вирус, который злоупотреблял его Outlook, который использовал наш почтовый сервер для отправки почты. Возможно, один пользователь отправлял СПАМ через свою учетную запись.

Связанный контент