Почтовый сервер взломан. Yahoo отклоняет почту

Question 1

Я бы начал просматривать ваши логи postfix. Ищите увеличенный поток почты выше, чем тот, что вы видите в своих журналах за прошлые годы. Я бы специально искал почту, отправляемую на yahoo, на случай, если это может быть что-то конкретное для них.

Если вы видите увеличение потока почты, посмотрите в журналах, что это за увеличение. Это тонны почты одному пользователю (например, вышедший из-под контроля скрипт, отправляющий автоматические сообщения) или большому количеству людей (спам)? Как только вы обнаружите часть ненормальной почты, просто отследите ее и найдите, откуда она пришла.
Вы также можете запустить, qshape deferredчтобы проверить, есть ли у вас еще почта в очереди для Yahoo (что вам следует сделать, поскольку вы получаете код ответа 4xx). Если это так, вы можете просмотреть сообщения в /var/spool/postfix/deferred (используйте postcatдля просмотра сообщений).

Также возможно, что это просто ничего. Если ваш почтовый сервер изначально не отправляет много писем, то даже небольшое, но законное увеличение могло бы превысить порог спама Yahoo.
Сообщение о блокировке, которое вы предоставили, обычно исчезает через несколько часов, если проблема, которая изначально привела к блокировке, решена.

Answer

Я бы начал просматривать ваши логи postfix. Ищите увеличенный поток почты выше, чем тот, что вы видите в своих журналах за прошлые годы. Я бы специально искал почту, отправляемую на yahoo, на случай, если это может быть что-то конкретное для них.

Если вы видите увеличение потока почты, посмотрите в журналах, что это за увеличение. Это тонны почты одному пользователю (например, вышедший из-под контроля скрипт, отправляющий автоматические сообщения) или большому количеству людей (спам)? Как только вы обнаружите часть ненормальной почты, просто отследите ее и найдите, откуда она пришла.
Вы также можете запустить, qshape deferredчтобы проверить, есть ли у вас еще почта в очереди для Yahoo (что вам следует сделать, поскольку вы получаете код ответа 4xx). Если это так, вы можете просмотреть сообщения в /var/spool/postfix/deferred (используйте postcatдля просмотра сообщений).

Также возможно, что это просто ничего. Если ваш почтовый сервер изначально не отправляет много писем, то даже небольшое, но законное увеличение могло бы превысить порог спама Yahoo.
Сообщение о блокировке, которое вы предоставили, обычно исчезает через несколько часов, если проблема, которая изначально привела к блокировке, решена.

Question 2

ПЕРВОЕ - Проверьте свою систему на наличие признаков руткита.задокументировано здесь,здесьилиздесь. Мне лично нравитсяchkrootkitв качестве быстрой проверки.

1298 неудачных сообщений может быть много, в зависимости от вашего обычного объема. Вам следует проверить сообщения о возврате, чтобы увидеть, похожи ли они на обычные сообщения из вашей среды. Если они вам не знакомы, вас скомпрометировали.

Очистка! Если это означает пересборку, отслеживание плохих процессов, восстановление из резервной копии и т. д., вам нужно будет исправить ситуацию, которая привела к блокировке.

Я бы также рекомендовалделает именно то, что указано в сообщении об ошибке. Оттуда перейдите к:

http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html

Yahoo заявляет:

Если вы видите это сообщение об ошибке в своих журналах SMTP (где xxxx — ваш IP-адрес), это может быть вызвано одной из следующих причин: Мы наблюдаем необычный трафик с вашего IP-адреса. Электронная почта с вашего почтового сервера вызывает жалобы у пользователей Yahoo! Mail. Обратите внимание, что это обычно временная ситуация, и мы рекомендуем вам повторить отправку электронной почты на наши серверы примерно через четыре часа после того, как вы увидите это сообщение об ошибке. Если вы видите эту ошибку постоянно в течение 48 часов, заполните, пожалуйста,эта формапредоставить нам достаточно информации, чтобы мы могли активно заняться этим вопросом.

Посетитьформа, упомянутая в предупреждениии работайте над разблокировкой.

Однако установите ожидания для своих пользователей. Это может занять некоторое время.

Answer

ПЕРВОЕ - Проверьте свою систему на наличие признаков руткита.задокументировано здесь,здесьилиздесь. Мне лично нравитсяchkrootkitв качестве быстрой проверки.

1298 неудачных сообщений может быть много, в зависимости от вашего обычного объема. Вам следует проверить сообщения о возврате, чтобы увидеть, похожи ли они на обычные сообщения из вашей среды. Если они вам не знакомы, вас скомпрометировали.

Очистка! Если это означает пересборку, отслеживание плохих процессов, восстановление из резервной копии и т. д., вам нужно будет исправить ситуацию, которая привела к блокировке.

Я бы также рекомендовалделает именно то, что указано в сообщении об ошибке. Оттуда перейдите к:

http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html

Yahoo заявляет:

Если вы видите это сообщение об ошибке в своих журналах SMTP (где xxxx — ваш IP-адрес), это может быть вызвано одной из следующих причин: Мы наблюдаем необычный трафик с вашего IP-адреса. Электронная почта с вашего почтового сервера вызывает жалобы у пользователей Yahoo! Mail. Обратите внимание, что это обычно временная ситуация, и мы рекомендуем вам повторить отправку электронной почты на наши серверы примерно через четыре часа после того, как вы увидите это сообщение об ошибке. Если вы видите эту ошибку постоянно в течение 48 часов, заполните, пожалуйста,эта формапредоставить нам достаточно информации, чтобы мы могли активно заняться этим вопросом.

Посетитьформа, упомянутая в предупреждениии работайте над разблокировкой.

Однако установите ожидания для своих пользователей. Это может занять некоторое время.

Question 3

МОЖЕТ БЫТЬ, что вас скомпрометировали. Но прежде чем сделать это предположение, несколько вопросов:

1) Вы отправляете массовые письма с этого сервера? Если это так, получатели Yahoo могли пометить ваши письма как спам и поэтому отклонить их.

2) Вы настроены как открытый ретранслятор? То есть, можете ли вы ретранслировать почту SMTP на домены, отличные от вашего собственного, с машин за пределами вашей сети? (Для проверки,используйте эти инструкциидля отправки почты на учетную запись gmail или что-то в этом роде). Если вы являетесь открытым ретранслятором, возможно, спамеры пропускают почту через ваш сервер, и вы получаете жалобы на спам от Yahoo.

Answer

МОЖЕТ БЫТЬ, что вас скомпрометировали. Но прежде чем сделать это предположение, несколько вопросов:

1) Вы отправляете массовые письма с этого сервера? Если это так, получатели Yahoo могли пометить ваши письма как спам и поэтому отклонить их.

2) Вы настроены как открытый ретранслятор? То есть, можете ли вы ретранслировать почту SMTP на домены, отличные от вашего собственного, с машин за пределами вашей сети? (Для проверки,используйте эти инструкциидля отправки почты на учетную запись gmail или что-то в этом роде). Если вы являетесь открытым ретранслятором, возможно, спамеры пропускают почту через ваш сервер, и вы получаете жалобы на спам от Yahoo.

Question 4

У меня была похожая проблема с Trend Micro. Может быть, ваш публичный адрес в черном списке? Если ваши пользователи используют интернет через этот IP, возможно, некоторые из них используют торрент или другое p2p-ПО.

Answer

У меня была похожая проблема с Trend Micro. Может быть, ваш публичный адрес в черном списке? Если ваши пользователи используют интернет через этот IP, возможно, некоторые из них используют торрент или другое p2p-ПО.

Почтовый сервер взломан. Yahoo отклоняет почту

решение1

решение2

решение3

решение4

Связанный контент