LINUX.ORG.RU

Sendmail

 


0

1

Приветствую!

Провайдер пожаловался мне на спам с моего сервера, проверил логи и вижу следующее:

Feb 22 17:21:36 main-serv sendmail[13560]: gethostbyaddr(192.168.0.4) failed: 1

Feb 22 17:21:36 main-serv sendmail[13563]: starting daemon (8.14.4): SMTP+queueing@01:00:00

Feb 22 17:21:42 main-serv sendmail[13594]: 41MELgIZ013594: Milter (greylist): local socket name /var/run/milter-greylist/milter-greylist.sock unsafe

Feb 22 17:21:42 main-serv sendmail[13594]: 41MELgIZ013594: Milter (greylist): to error state

Feb 22 17:21:51 main-serv sendmail[13612]: 41MELpI6013612: Milter (greylist): local socket name /var/run/milter-greylist/milter-greylist.sock unsafe

Feb 22 17:21:51 main-serv sendmail[13612]: 41MELpI6013612: Milter (greylist): to error state

Feb 22 17:21:55 main-serv sendmail[13594]: 41MELgIa013594: 128.hosted-by.17mx.com [47.119.14.128] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

Feb 22 17:21:56 main-serv sendmail[13564]: 41M8w0a3016496: to=<noreply@mail.canadaexpress.org>, delay=05:23:56, xdelay=00:00:20, mailer=esmtp, pri=570000, relay=mail.canadaexpress.org. [212.146.224.42], dsn=4.0.0, stat=Deferred: Connection timed out with mail.canadaexpress.org.

Feb 22 17:21:58 main-serv sendmail[13615]: 41MELwH1013615: Milter (greylist): local socket name /var/run/milter-greylist/milter-greylist.sock unsafe

Feb 22 17:21:58 main-serv sendmail[13615]: 41MELwH1013615: Milter (greylist): to error state

Feb 22 17:22:02 main-serv sendmail[13612]: 41MELpI7013612: 179.hosted-by.17mx.com [41.101.14.179] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

Feb 22 17:22:09 main-serv sendmail[13615]: 41MELwH2013615: 128.hosted-by.17mx.com [47.119.14.128] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v4

Feb 22 17:22:09 main-serv sendmail[13633]: 41MEM94N013633: Milter (greylist): local socket name /var/run/milter-greylist/milter-greylist.sock unsafe

Feb 22 17:22:09 main-serv sendmail[13633]: 41MEM94N013633: Milter (greylist): to error state

Feb 22 17:22:13 main-serv sendmail[13634]: 41MEMDLu013634: Milter (greylist): local socket name /var/run/milter-greylist/milter-greylist.sock unsafe

Feb 22 17:22:13 main-serv sendmail[13634]: 41MEMDLu013634: Milter (greylist): to error state


Feb 23 15:46:47 main-serv sendmail[6873]: ruleset=check_relay, arg1=[41.101.14.179], arg2=41.101.14.179, relay=179.hosted-by.17mx.com [41.101.14.179] (may be forged), reject=421 4.3.2 Connection rate limit exceeded.

Feb 23 15:46:55 main-serv sendmail[6888]: ruleset=check_relay, arg1=[47.119.14.128], arg2=47.119.14.128, relay=128.hosted-by.17mx.com [47.119.14.128] (may be forged), reject=421 4.3.2 Connection rate limit exceeded.

Feb 23 15:47:02 main-serv sendmail[6900]: ruleset=check_relay, arg1=[141.98.11.95], arg2=141.98.11.95, relay=srv-141-98-11-95.serveroffer.net [141.98.11.95] (may be forged), reject=421 4.3.2 Connection rate limit exceeded.

Feb 23 15:47:05 main-serv sendmail[6905]: ruleset=check_relay, arg1=[41.101.14.179], arg2=41.101.14.179, relay=179.hosted-by.17mx.com [41.101.14.179] (may be forged), reject=421 4.3.2 Connection rate limit exceeded.

Feb 23 15:47:11 main-serv sendmail[6919]: ruleset=check_relay, arg1=[47.119.14.128], arg2=47.119.14.128, relay=128.hosted-by.17mx.com [47.119.14.128] (may be forged), reject=421 4.3.2 Connection rate limit exceeded.

Feb 23 15:42:29 main-serv sendmail[6249]: 41N5cC1A008177: to=<chtbize+bncBCAYHO7RQEHRB5G54CXAMGQEATMM52I@googlegroups.com>, delay=07:04:16, xdelay=00:00:15, mailer=esmtp, pri=750000, relay=alt2.gmr-smtp-in.l.google.com. [113.114.212.18], dsn=4.0.0, stat=Deferred: Connection timed out with alt2.gmr-smtp-in.l.google.com.

Feb 23 15:42:29 main-serv sendmail[6249]: 41N4I9jQ029682: to=<roleuae02+bncBCQ5XCWE6UFRBF5Y4CXAMGQE7KGXTFA@googlegroups.com>, delay=08:24:20, xdelay=00:00:00, mailer=esmtp, pri=840000, relay=alt1.gmr-smtp-in.l.google.com., dsn=4.0.0, stat=Deferred: Connection timed out with alt1.gmr-smtp-in.l.google.com.

Feb 23 15:42:29 main-serv sendmail[6249]: 41N4I821029673: to=<roleuae02+bncBAABBF5Y4CXAMGQE6KU54FA@googlegroups.com>, delay=08:24:21, xdelay=00:00:00, mailer=esmtp, pri=840000, relay=alt2.gmr-smtp-in.l.google.com., dsn=4.0.0, stat=Deferred: Connection timed out with alt2.gmr-smtp-in.l.google.com.

Feb 23 15:42:29 main-serv sendmail[6249]: 41N4I8n0029672: to=<roleuae02+bncBDFZ327WSEJBBF5Y4CXAMGQEFBFPVZA@googlegroups.com>, delay=08:24:21, xdelay=00:00:00, mailer=esmtp, pri=840000, relay=alt2.gmr-smtp-in.l.google.com., dsn=4.0.0, stat=Deferred: Connection timed out with alt2.gmr-smtp-in.l.google.com.

Скажите как понять откуда производиться залив спама, думал что на сервере инициируется какой-то скрипт, поэтапно отключил все процессы. Но нет, спам продолжается, не могу понять источник, погуглил но ни чего не нашёл! :(



Последнее исправление: R_R (всего исправлений: 6)

Если уж позарез нужен мейл-демон — в дебиане есть exim4, который практически без пердолинга с настройками прекрасно работает и при этом отпинывает спамеров. А с sendmail’ом нужно ещё уметь обращаться.

anonymous
()
Ответ на: комментарий от R_R

Удали накопившийся спам в очереди отправки (где-то в /var).

25 порт открыт на входящие соединения? Если открыт то закрой (где-то в конфиге sendmail или файрволлом). sendmail на сервере никакие входящие подключения принимать не должен (если только это не почтовый сервер).

firkax ★★★★★
()

Если вы по логу видете, что спам продолжается, то есть понимаете, что там написано, то почему приводите такие ошмётки? Берёте ID письма и ищете в логе когда оно появилось, тогда может будет понятно откуда появилось спам письмо.

поэтапно отключил все процессы

По выводу ″ps″ проверяли, что процессы отключились?

mky ★★★★★
()
Ответ на: комментарий от firkax

Очередь, я чистил …

В настройках, стоит:

dnl #	
FEATURE(`no_default_msa')dnl	
dnl DAEMON_OPTIONS(`Family=inet6, Name=MTA-v6, Port=smtp, Addr=::1')dnl	
DAEMON_OPTIONS(`Family=inet, Name=MTA-v4, Port=smtp, Addr=0.0.0.0')dnl	
dnl DAEMON_OPTIONS(`Family=inet6, Name=MSP-v6, Port=submission, M=Ea, Addr=::1')dnl	
DAEMON_OPTIONS(`Family=inet, Name=MSP-v4, Port=submission, M=Ea, Addr=127.0.0.1')dnl	
dnl #

т.е. Addr=0.0.0.0’ и Addr=127.0.0.1’ - я так понимаю, означает, принимать только локальные соединения. Поэтому я эксплойт в процессах искал …

Но в конфиге, стоит запись: DAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s’)dnl

Здесь Addr не указан - может быть это тому причина?

R_R
() автор топика
Ответ на: комментарий от mky

я вижу и запросы и сами письма прочитать могу, логи в рамках запроса я предоставил полностью, это всё что есть. Сейчас уже понятно, что к sendmailу обращаются на прямую …

R_R
() автор топика
Ответ на: комментарий от R_R

Во-первых 0.0.0.0 - это все адреса, как уже писали выше, а значит в том числе и приём соединений из инета.

Во-вторых, закомментрируй обе строки. Тебе никакие адреса не нужны, ни интернетные, ни локальные. Эти адреса - чтоб клиенты почтового сервера (люди у которых на нём ящики) могли слать через него почту, а программы почту шлют не через них, а запуская sendmail из командной строки.

Хотя может быть в каких-то необычных случаях программы и шлют почту через порты, так что можно и посмотреть на эту тему позже.

Итого:

1) 0.0.0.0 там точно не место, должны быть только 127.0.0.1

2) 127.0.0.1 скорее всего тоже не нужен

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Спасибо всем, да, в 0.0.0.0 - проблема была.

я 127.0.0.1 поставил, залив спама прекратился, но у меня не все через командную строку отправляют, есть сервисы и через порты работают их можно отключить, но оставлю пока посмотрю …

Но вопрос еще открыт с DAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s’)dnl, её так же оставляем или нужна так же переконфигурировать на 127.0.0.1 или вообще убрать, или это вообще параметр не на приём почты, а отправки?

И последнее:

Мой провайдер заблокировал 25 порт, почта не доставляется, но написал что порты 587 и 456 не блокируются. я так понимаю что не блокируются между локальным sendmail и сервером получателя. Скажите а как поменять порт доставки с 25 на 456?

R_R
() автор топика
Ответ на: комментарий от R_R

Откуда третья строка взялась, были ж две другие? Посмотри в netstat -nltp какие порты он октрывает, и проверь что у всех айпи 127.0.0.1 а не какие-то другие.

Мой провайдер заблокировал 25 порт, почта не доставляется, но написал что порты 587 и 456 не блокируются. я так понимаю что не блокируются между локальным sendmail и сервером получателя. Скажите а как поменять порт доставки с 25 на 456?

Чтобы поменять на 456, его должна поддерживать та сторона. А этого много где не будет, возможно. Лучше сообщи провайдеру что спам ты исправил и попроси открыть назад порт.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от firkax

Да DAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s’)dnl - тоже нужно на локалку переводить или удалять, долго ждать не пришлось:

Feb 23 21:38:31 main-serv sm-mta[26136]: 41NIcMpN026136: 124.53.158.104.in-addr.arpa [104.158.53.124] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-SSL

Feb 23 21:42:08 main-serv sm-mta[26726]: STARTTLS=server, relay=[59.31.249.110], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-GCM-SHA384, bits=256/256

Feb 23 21:42:15 main-serv sm-mta[26726]: 41NIg76k026726: [59.31.249.110] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-SSL

Feb 23 21:42:19 main-serv sm-mta[26740]: STARTTLS=server, relay=1.243.66.125.broad.zg.sc.dynamic.163data.com.cn [125.66.243.1] (may be forged), version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-GCM-SHA384, bits=256/256

Feb 23 21:42:26 main-serv sm-mta[26740]: 41NIgGTG026740: 1.243.66.125.broad.zg.sc.dynamic.163data.com.cn [125.66.243.1] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-SSL
R_R
() автор топика
Ответ на: комментарий от firkax

Она в конфиге была прописана, я на стандартные конфиги смотрю там везде стоитDAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s’)dnl - х.з. для чего, но стоит.

Но всё равно, закомментировал к онфигу, перезапустил, смотрю:

tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      21216/sendmail: MTA
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      21216/sendmail: MTA
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      21216/sendmail: MTA

нужно ещё посмотреть как его правильно вырубить, просто закомментировать строку не выходит и 587 ещё какой-то порт, но в конфиге о нём не строчки …

R_R
() автор топика
Ответ на: комментарий от R_R

Первая строчка с 0.0.0.0:465 показывает, что sendmail продолжает слушать на всех интерфейсах на 465 порту.

Вообще-то, в конфиге эти порты указаны. Только они там указаны не в виде численного значения, а по названию сервиса. Сопоставление между именем и номером порта можно посмотреть в файле /etc/services:

$ cat /etc/services |grep '465\|587'
submissions	465/tcp		ssmtp smtps urd # Submission over TLS [RFC8314]
submission	587/tcp				# Submission [RFC4409]
anonymous
()
Ответ на: комментарий от anonymous

0.0.0.0:465 - правильно стоял, исходящую почту отсылают через него.

я перевёл на 127.0.0.1:465, сразу жалобы начали поступать на то что не могут отправить почту, т.е. только локально служба всё таки не используется!

Непонятно, почему спамеры не авторизовавшись отправляют почту, а легальные пользователи проходят авторизацию …

В настройках так:

DAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
R_R
() автор топика
Последнее исправление: R_R (всего исправлений: 1)

Но нет, спам продолжается, не могу понять источник, погуглил но ни чего не нашёл! :(

'''
 Под утро он вовсю уже рыдал. То ставил к стенке, то гадал на партбилете..
ДДТ
'''
anonymous
()

Но нет, спам продолжается, не могу понять источник, погуглил но ни чего не нашёл! :(

'''Под утро он вовсю уже рыдал. То ставил к стенке, то гадал на партбилете..
ДДТ'''
anonymous
()

Но нет, спам продолжается, не могу понять источник, погуглил но ни чего не нашёл! :(

‘‘‘Под утро он вовсю уже рыдал. То ставил к стенке, то гадал на партбилете.. ДДТ’’’

anonymous
()