所以我正在操作一個使用 postfix 發送外發郵件的 Ubuntu VPS。我有幾個電子郵件地址附加到它在 VPS 上託管的網域,其中之一是[電子郵件受保護]。該電子郵件地址的所有者擁有兩台個人計算機,僅此而已,並且他們到目前為止一直使用 Thunderbird 來存取該電子郵件地址。
前幾天的收件匣[電子郵件受保護]開始受到每小時數百次反彈的猛烈攻擊,[電子郵件受保護]昨天刪除了她在這些電子郵件帳戶中的 Thunderbird 條目,但無濟於事。
兩台電腦昨晚都關閉,但該位址仍在收到反彈。現在最初我認為因為沒有打開該帳戶的計算機,所以這可能是反彈垃圾郵件。然而,仔細檢查電子郵件後,我可以看到其中一些包含以下行:
<[email protected]>: delivery temporarily suspended: host
gateway-f1.isp.att.net[204.127.217.16] refused to talk to me:
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error -
Blocked for abuse. See http://att.net/blocks
其中 XX.XX.XX.XX 是我們 VPN 的 IP 位址。這讓我認為 postfix 伺服器出了問題(很可能是電腦感染。完整的 clamscan 產生以下結果:
/var/qmail/mailnames/DOMAIN.COM/USER/Maildir/.Spam/cur/1366042516.M831269P7021V0000000000000025I0000000003C08ED0.VPS-DOMAIN.COM,S=152011:2,: Email.Trojan-432 FOUND
/usr/share/MailScanner/MailScanner/MessageBatch.pm: Eicar-Test-Signature-1 FOUND
我有什麼想法可以追蹤問題/解決問題嗎?
謝謝。
答案1
「退回」電子郵件有時是垃圾郵件攻擊的一部分,但我懷疑您的情況是否屬於這種情況。
550-XX.XX.XX.XX blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse.
這讓我相信您的伺服器 IP 已列入黑名單 - 特別是與 att.net 相關的黑名單。我會在 mxtoolbox.com 上檢查您的網域,並檢查您是否沒有運行開放中繼,並且您沒有被列入黑名單
如果您使用專用 IP,則必須透過 ATT / Bell South 解決此問題。如果您在住宅帳戶上使用動態 IP,則解決起來會有點困難,因為大多數 ISP 對在非企業帳戶上運行伺服器的用戶的支援門檻較低,並且配置通常意味著您可能會獲得被封鎖是因為您的鄰居之一是垃圾郵件殭屍網路的一部分並且共用IP 被封鎖。
對於任何向公眾發送和接收的電子郵件系統,我都會運行像 clamav 這樣的病毒過濾器。
答案2
除了 PostFix 之外,VPS 還安裝了什麼?哪些系統和/或使用者可以透過您的 VPS 發送郵件?
您可以檢查 Postfix 日誌以了解哪些內容和/或誰正在透過 PostFix 發送郵件。
cat /var/log/mail.log
我在這些情況中經歷過很多次,客戶感染了病毒,濫用了他的 Outlook,使用我們的郵件伺服器發送郵件。可能是某個使用者透過他/她的帳號發送垃圾郵件。