LINUX.ORG.RU
ФорумAdmin

Postfix open relay


0

1

Здравствуйте,

Есть postfix, закрытый для пересылки через себя почты извне. Все тесты на отсутствие open relay проходит нормально, однако на днях с неизвестных адресов (не из моего домена) стал рассылаться спам через меня. Как такое может быть?
Конфиг


Я Постфикс не знаю, но я вот праильно понимаю. что это разрешение на отправку с авторизацией откуда угодно «smtpd_sasl_auth_enable = yes» ? Если да, пароль у кого-то увели. Типичный вариант, дело на потоке давно.

AS ★★★★★
()
smtpd_sender_restrictions = ... permit_mynetworks ...

заразили машину из $mynetworks какой-нить фигней, и она шлет. или пароль утёк, как предложил предыдущий оратор :)

aol ★★★★★
()
Ответ на: комментарий от AS

Если даже и так, то как может отправляться почта с левого мыла если этого мыла нет в существующих на сервере (не пользователь моего домена) + mynetworks прямо запрещают доступ с чужих ip.

regexp
() автор топика
Ответ на: комментарий от aol

Понял, скорее всего ты прав. Заставлю завтра просканить ОСи и поменять пасы, ибо ночью всё тихо и мирно.

regexp
() автор топика
Ответ на: комментарий от regexp

>как может отправляться почта с левого мыла если этого мыла нет в существующих на сервере

sender_restrictions или recipient_restrictions хреново настроен. Как доберусь до конфигов сервера - расскажу что можно поправить...

Pinkbyte ★★★★★
()
Ответ на: комментарий от aol

> как предложил предыдущий оратор :)

Я немного другое предположил. :-) Но и это вариант обычный, если «с неизвестных адресов» относится к E-Mail, а не к hostname. Причём, серые IP не спасают - клиентв ботнетов прекрасно через nat работают.

AS ★★★★★
()
Ответ на: комментарий от regexp

> Если даже и так, то как может отправляться почта с левого мыла если этого мыла нет в существующих

на сервере (не пользователь моего домена) + mynetworks прямо запрещают доступ с чужих ip.


А вот тут, ввиду отсутствия знания Постфикс, могу только предположить.
Вот это вот
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_sasl_authenticated
не имеет ли приоритета над всеми остальными ограничениями ?

ибо ночью всё тихо и мирно.


Это, действительно, больше похоже на внутреннюю заразу. Если бы использовали рассыку с авторизацией снаружи, оно бы не останавливалось. Кстати, на постмастера должна валиться куча мусора, там должно быть видно, кто шлёт, если в логе почтовика сложно разобраться.

AS ★★★★★
()

Вообще то в логах пишет как минимум с какого ИП он изначально принял коннект. А дальше можно вплоть до включения дебага и выяснения по какому каналу получено разрешение.

Nefer
()
Ответ на: комментарий от regexp

не забудь, что сам почтовик тоже в $mynetworks. посмотри, нет ли руткитов ;)
ну, это я так.. почесать твою параною :-D

aol ★★★★★
()
Ответ на: комментарий от AS

Я Постфикс не знаю, но смысл SMTP-авторизации вижу только в одном. Что-бы клиенты, находящиеся за пределами домена, могли отправлять почту куда угодно. Что-бы не прописывать явно релеи для сетей и адресов, которые ты не знаешь. Если таких клиентов нет, то вырубить SMTP-авторизацию и не мучиться. А так может быть что угодно, дырявость САСЛа, неправильные настройки MSA и того-же sasl, украденные пароли.

lvi ★★★★
()
Ответ на: комментарий от lvi

> но смысл SMTP-авторизации вижу только в одном. Что-бы клиенты, находящиеся за пределами

домена, могли отправлять почту куда угодно.


Именно так. Потому я и предположил, что у тех параметров приоритет. :-)
Ибо логично.

AS ★★★★★
()
Ответ на: комментарий от AS

Да, понял уже, что правила для отправителя настроены немного лояльно и доверительно. smtpd_sasl_auth_enable = yes разрешает sasl аутентификацию впринципе, а smtpd_sender_restrictions задает приоритеты по которым будут проходить аутентификацию и авторизацию клиенты на этапе отправки заголовка «от кого».

regexp
() автор топика
Ответ на: комментарий от aol

>не забудь, что сам почтовик тоже в $mynetworks. посмотри, нет ли руткитов ;)

rkhunter и clamav ничего не обнаружили. Чем еще можно проверить?

regexp
() автор топика
Ответ на: комментарий от visual

>да ты логи просто глянь для начала и погрепай. а то из пушки по воробьям

В логах сейчас уже ничего подозрительного нет (ну кроме кучи спама, который в целом успешно банится amavis / spamassassin). После смены пассов и проверки на вири / трояны пока всё тихо. А до этого (когда была та спамовая рассылка) были коннекты с внешних адресов. Поэтому, я думаю, что всё таки вариант с украденными паролями / паролем наиболее вероятен.

regexp
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.