Я думаю, что наш почтовый сервер был скомпрометирован. Сегодня утром, когда я проверил, было 1298 отклоненных писем от Yahoo. с этим сообщениемMessages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Хотя письма доставляются на gmail. Я новичок в этом, может кто-нибудь подсказать, где мне начать искать? Мы используем Postfix и dovecot на Ubuntu Server 10.04. И я следовал этому руководству здесьhttps://help.ubuntu.com/community/MailServer
решение1
Я бы начал просматривать ваши логи postfix. Ищите увеличенный поток почты выше, чем тот, что вы видите в своих журналах за прошлые годы. Я бы специально искал почту, отправляемую на yahoo, на случай, если это может быть что-то конкретное для них.
Если вы видите увеличение потока почты, посмотрите в журналах, что это за увеличение. Это тонны почты одному пользователю (например, вышедший из-под контроля скрипт, отправляющий автоматические сообщения) или большому количеству людей (спам)? Как только вы обнаружите часть ненормальной почты, просто отследите ее и найдите, откуда она пришла.
Вы также можете запустить, qshape deferred
чтобы проверить, есть ли у вас еще почта в очереди для Yahoo (что вам следует сделать, поскольку вы получаете код ответа 4xx). Если это так, вы можете просмотреть сообщения в /var/spool/postfix/deferred (используйте postcat
для просмотра сообщений).
Также возможно, что это просто ничего. Если ваш почтовый сервер изначально не отправляет много писем, то даже небольшое, но законное увеличение могло бы превысить порог спама Yahoo.
Сообщение о блокировке, которое вы предоставили, обычно исчезает через несколько часов, если проблема, которая изначально привела к блокировке, решена.
решение2
ПЕРВОЕ - Проверьте свою систему на наличие признаков руткита.задокументировано здесь,здесьилиздесь. Мне лично нравитсяchkrootkitв качестве быстрой проверки.
1298 неудачных сообщений может быть много, в зависимости от вашего обычного объема. Вам следует проверить сообщения о возврате, чтобы увидеть, похожи ли они на обычные сообщения из вашей среды. Если они вам не знакомы, вас скомпрометировали.
Очистка! Если это означает пересборку, отслеживание плохих процессов, восстановление из резервной копии и т. д., вам нужно будет исправить ситуацию, которая привела к блокировке.
Я бы также рекомендовалделает именно то, что указано в сообщении об ошибке. Оттуда перейдите к:
http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html
Yahoo заявляет:
Если вы видите это сообщение об ошибке в своих журналах SMTP (где xxxx — ваш IP-адрес), это может быть вызвано одной из следующих причин: Мы наблюдаем необычный трафик с вашего IP-адреса. Электронная почта с вашего почтового сервера вызывает жалобы у пользователей Yahoo! Mail. Обратите внимание, что это обычно временная ситуация, и мы рекомендуем вам повторить отправку электронной почты на наши серверы примерно через четыре часа после того, как вы увидите это сообщение об ошибке. Если вы видите эту ошибку постоянно в течение 48 часов, заполните, пожалуйста,эта формапредоставить нам достаточно информации, чтобы мы могли активно заняться этим вопросом.
Посетитьформа, упомянутая в предупреждениии работайте над разблокировкой.
Однако установите ожидания для своих пользователей. Это может занять некоторое время.
решение3
МОЖЕТ БЫТЬ, что вас скомпрометировали. Но прежде чем сделать это предположение, несколько вопросов:
1) Вы отправляете массовые письма с этого сервера? Если это так, получатели Yahoo могли пометить ваши письма как спам и поэтому отклонить их.
2) Вы настроены как открытый ретранслятор? То есть, можете ли вы ретранслировать почту SMTP на домены, отличные от вашего собственного, с машин за пределами вашей сети? (Для проверки,используйте эти инструкциидля отправки почты на учетную запись gmail или что-то в этом роде). Если вы являетесь открытым ретранслятором, возможно, спамеры пропускают почту через ваш сервер, и вы получаете жалобы на спам от Yahoo.
решение4
У меня была похожая проблема с Trend Micro. Может быть, ваш публичный адрес в черном списке? Если ваши пользователи используют интернет через этот IP, возможно, некоторые из них используют торрент или другое p2p-ПО.