Exim4 - problemy ze SPAMem

[Szluga 0]

Witam,

 

Mam problem, otóż dostałem informację o nadużyciu ze swojej serwerowni, dotyczyło one SPAMu. Po przeglądnięciu logów niezauważyłem żadnych problemów. Czy mógłbym prosić o pomoc ze strony forumowiczów i/lub oferty optymalnej konfiguracji, zabezpieczenia serwera pocztowego?

 

OS: Debian Squeeze, SMTP: Exim 4.72, POP3 & IMAP: Dovecot

 

Pozdrawiam,

Michał

[regdos 1848]

Ty tylko korzystasz z tego serwera czy ktoś inny również? Jak ktoś inny to może on puścił jakiś mailing z niezamówioną oferta i ktoś to zgłosił do abuse.

[Szluga 0]

Korzysta z niego więcej osób. Na tym serwerze znajdują się międzyinnymi portale, które wysyłają dużą ilość powiadomień na pocztę (info, że ktoś odp na forum, potwierdzenie rejestracji itp). Zauważyłem również, że ktoś wysyła wiadomości (nie z mojej maszyny), lecz jako adres zwrotny ustawia np.: jarrys2@nazwa.rekordu.ptr.pl

[regdos 1848]

To poproś serwerownie żeby Ci wysłali jakiego adresu dotyczyło zgłoszenie bo to raczej nie wina serwera tylko użytkownika.

[Szluga 0]

Dostałem coś takiego z serwerowni: "

Content-Type: text/plain; charset=UTF-8

Content-Transfer-Encoding: quoted-printable

 

Spam from 178.63.61.151 on Sun, 29 Jul 2012 18:50:35 +0200:

 

Return-Path: jones1@s1.it-tronic.pl

Received: from s1.it-tronic.pl ([178.63.61.151]) by mx-ha.web.de (mxweb10=

5)

with ESMTP (Nemesis) id 0Lny6O-1TSfaN15po-00ftZX for

<julius.olbrich@web.de>;

Sun, 29 Jul 2012 18:50:35 +0200

Date: Sun, 29 Jul 2012 18:50:35 +0000 (UTC)

From: Wendy Moore via LinkedIn <member@linkedin.com>

Reply-To: Wendy Moore <jones1@s1.it-tronic.pl>

To: julius.olbrich@web.de

CC: Wendy Moore <jones1@s1.it-tronic.pl>

Message-ID: <199656241.86174427.105390459000.JavaMail.app@ela4-bed84.prod=

 

Subject: Can i place your video on my site?

MIME-Version: 1.0

Content-Type: text/html; charset=3DUTF-8

Content-Transfer-Encoding: 7bit

Envelope-To: <julius.olbrich@web.de>

X-UI-Filterresults: ;V01:K0:LwUalxH6:+X2+GCmyLxilUR6zzp/W1UQbI0N0XdMrkZm

OfLIvUU7kgIZXLK4pbftingHCU03uddpFnpwLvZJWvs9kBegOH/9huol3B2RM16gtcCzMvx

VivmLh2J/ESqvvi/x9ESp8x8ov52ANE77i/FW1fvn83sCL5iYFvUTBqkfrZYXmgOo=3D "

[www.ionic.pl 535]

czesto user@serwer.pl

to usersystemowy@ i syf wychodzi z php mail()

masz mail header patch ?

co masz w kolejce maili na serwerze ?

czy ten jones1 to istniejąca nazwa użytkownika ?

[Szluga 0]

Obecnie IP zablokowany jest w gmail i użytkownicy nie otrzymują od "nas" wiadomości - W kolejce były właśnie te wiadomości.

 

Mam mail header patch włączony w php.ini (tworzenie logów również), lecz nie działa globalnie, jeśli ustawie w php.ini dla danego vhost'a to działa. Ale nie ma w tym logiki, abym wszystkim user'om ustawiał ręcznie, więc tu jest kolejny problem i jak go rozwiązać? PHP5.3.x

Edit: Jak wyłączyłem w konfigu PHP funkcje mail po przez "disable_functions = mail" i zrestartowałem serwer, to w ogóle nie wzieło zmian pod uwagę (dopiero po wrowadzeniu zmian w php.ini po stronie użytkownika wyłącza w/w funkcję).

 

Ten "jones1" nie posiada konta na serwerze.

Edytowano Sierpień 5, 2012 przez Gość (zobacz historię edycji)

[www.ionic.pl 535]

wymuś autoryzację na 25 i 587 + zrób regułę w iptables by sprawdzało uid przy wysyłce poczty

[Szluga 0]

Autoryzacja jest wymuszona na wszystkich dostępnych portach.

[Szluga 0]

Myślę, że wina może być po stronie Sendmail'a. I tu się rodzi pytanie, jak go poprawnie wyłączyć/zabezpieczyć?

 

Standardowa ścieżka wskazująca na sendmail'a ma utworzonego symlink'a do exim4.