Zum Hauptinhalt gehen

Der Server wird zum Versenden von SPAM verwendet

Überprüfen Sie, ob der BM-Server kein offenes Relay ist

Standardmäßig ist postfix als offener Relay für den Server selbst konfiguriert, so dass verschiedene Dienste (Webmail, EAS) E-Mails senden können. Über die Verwaltungskonsole können Sie neue vertrauenswürdige IPs hinzufügen, die E-Mails über den BM-Server senden dürfen.

Wenn einer dieser Server kompromittiert wird, kann ein Spammer dann den BM-Server benutzen, um Spam zu versenden.

Sie können das Problem an den vielen Zeilen des Typs :

Jun 21 08:34:30 centos7 postfix/smtpd[16863]: connect from gateway[192.168.122.111]
Jun 21 08:34:48 centos7 postfix/smtpd[16863]: 1C205316C411: client=gateway[192.168.122.111]
Jun 21 08:34:58 centos7 postfix/cleanup[16869]: 1C205316C411: message-id=<>
Jun 21 08:34:58 centos7 postfix/qmgr[16801]: 1C205316C411: from=<user1@domain.com>, size=233, nrcpt=1 (queue active)
Jun 21 08:34:59 centos7 postfix/smtp[16821]: 1C205316C411: to=<user2@anotherdomain.net>, relay=smtp.anotherdomain.net[XX.XX.XX.XX]:25, delay=20, delays=20/0/0.35/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2F10238)
Jun 21 08:34:59 centos7 postfix/qmgr[16801]: 1C205316C411: removed
Jun 21 08:35:04 centos7 postfix/smtpd[16863]: disconnect from gateway[192.168.122.111]

Die Client-Zeile zeigt hier die IP des Servers, der diese E-Mail gesendet hat, hier 192.168.122.111, wenn sie nicht legitim ist, bedeutet dies, dass dieser Server kompromittiert ist und zum Senden von Spam verwendet wird.

die zu ergreifenden Maßnahmen :

  • Löschen Sie die IP des betroffenen Servers in der BM-Verwaltungskonsole und speichern Sie die Konfiguration.

Erkennung des Benutzers, der für den Versand von SPAM verwendet wurde

Meistens wird das Problem von einem Spammer verursacht, der, oft durch Bruteforce, das Kennwort eines Benutzerkontos herausgefunden hat und es für den Versand von SPAM verwendet.

Sie können smtp-Verbindungen daran erkennen, dass viele Zeilen wie :

May  5 00:08:55 hermes postfix/smtpd[27666]: 7E079B666CC: client=unknown[46.48.93.60], sasl_method=LOGIN, sasl_username=admin

Die zu ergreifenden Maßnahmen :

  • das Kennwort des Benutzers ändern: entweder in BM oder im Verzeichnis.

  • schließe alle Sitzungen dieses Benutzers mit dem Befehl :

    bm-cli user logout --email=login@domain.com

  • Reinigen Sie die Postfix-Warteschlange, um die ausstehenden E-Mails zu löschen. Löschen Sie alle E-Mails in der Warteschlange des Benutzers login@domain.net

    postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /login@domain\.net/ { print $1 }' | tr -d '\*!' | postsuper -d -

    Dieser Befehl wird alle E-Mails in der Warteschlange des Benutzers löschen, egal ob es sich um SPAM oder um legitime E-Mails handelt, die der Benutzer gesendet hat, dieser Befehl kann sehr lange dauern.

Wie können Sie sich vor diesen Angriffen schützen?

Begrenzung von Brute-Force-Angriffen

Um Brute-Force-Angriffe zu begrenzen, können Sie das Plugin password-bruteforce verwenden, das nach 3 Authentifizierungsfehlern den Verbindungsversuch für 20 Minuten blockiert.

Einrichten einer Passwortrichtlinie

Wenn Sie kein Verzeichnis zur Verwaltung von Benutzern verwenden, können Sie das Plugin password-sizestrength verwenden, um eine Richtlinie zur Durchsetzung von Passwortregeln festzulegen.

Wie kann das Problem frühzeitig erkannt werden?

Eine Überwachungslösung ermöglicht es, das Problem schnell zu erkennen und zu reagieren, bevor Ihr Server von den verschiedenen Anti-Spam-Diensten auf die schwarze Liste gesetzt wird.

Bm-tick ermöglicht es, Warnungen basierend auf einem signifikanten Anstieg der E-Mails in der Postfix-Warteschlange einzurichten. Sie können diese Warnung über den Warnungs-Generator konfigurieren oder direkt das folgende Skript verwenden: postfix_queue.tick

Dieses Skript sendet eine Warnmail an admin@domain.net, sobald die Postfix-Warteschlange 200 Nachrichten erreicht. Je nach Ihrer Installation können Sie diese Werte natürlich konfigurieren.

Letztes Update