Рассылается спам с несуществующего ящика

Общие вопросы по установке и настройке сервера Postfix.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Ответить
rusment
Новичок
Новичок
Сообщения: 4
Зарегистрирован: 23 июн 2016, 14:22

Рассылается спам с несуществующего ящика

Сообщение rusment » 23 июн 2016, 17:25

Приветствую всех.

Накануне был обнаружен подозрительно активный отправитель (500+ писем за сутки), но его домен в адресе не совпадает с тем, что используется (все адреса имеют структуру user@domain.com, а у него user@webmail.domain.com). На webmail.domain.com располагается Zimbra.

Вот лог, по которому понятно, что с данного адреса уходит много спама:

Код: Выделить всё

Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; BA0493081252&#58; from=<user@webmail.domain.com>, size=960783, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; 36A6B3081113&#58; from=<user@webmail.domain.com>, size=960997, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; 300CD30811B6&#58; from=<user@webmail.domain.com>, size=960721, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; 3CC3030810A4&#58; from=<user@webmail.domain.com>, size=960636, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; 35F4730811BB&#58; from=<user@webmail.domain.com>, size=961022, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; 30528308116D&#58; from=<user@webmail.domain.com>, size=960833, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; D83CD3081138&#58; from=<user@webmail.domain.com>, size=960873, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; D330330811E1&#58; from=<user@webmail.domain.com>, size=960994, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; DAA953081183&#58; from=<user@webmail.domain.com>, size=960834, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; D045530811C5&#58; from=<user@webmail.domain.com>, size=960807, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; D8B763081095&#58; from=<user@webmail.domain.com>, size=961099, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; D1A06308110F&#58; from=<user@webmail.domain.com>, size=961138, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; F0969308118A&#58; from=<user@webmail.domain.com>, size=960821, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; C2D003081104&#58; from=<user@webmail.domain.com>, size=960947, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; CCD4E308109E&#58; from=<user@webmail.domain.com>, size=960796, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; C268A3081239&#58; from=<user@webmail.domain.com>, size=960929, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; 92E8130811FB&#58; from=<user@webmail.domain.com>, size=960693, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; 9541630811D0&#58; from=<user@webmail.domain.com>, size=960811, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; 9772B30810AF&#58; from=<user@webmail.domain.com>, size=960962, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; 94E6E3081154&#58; from=<user@webmail.domain.com>, size=960717, nrcpt=1 &#40;queue active&#41;
Jun 23 16&#58;14&#58;59 webmail postfix/qmgr&#91;24463&#93;&#58; 8527630810D0&#58; from=<user@webmail.domain.com>, size=960875, nrcpt=1 &#40;queue active&#41;
Вход в ящик (zmmailbox -z -m) выдает, что данного аккаунта не существует.

Содержание postconf -n:

Код: Выделить всё

address_verify_negative_refresh_time = 10m
address_verify_poll_count = $&#123;stress?3&#125;$&#123;stress&#58;5&#125;
address_verify_poll_delay = 3s
address_verify_positive_refresh_time = 12h
always_add_missing_headers = yes
bounce_notice_recipient = postmaster
bounce_queue_lifetime = 5d
broken_sasl_auth_clients = yes
command_directory = /opt/zimbra/postfix/sbin
config_directory = /opt/zimbra/postfix-2.11.1.2z/conf
content_filter = smtp-amavis&#58;&#91;127.0.0.1&#93;&#58;10024
daemon_directory = /opt/zimbra/postfix/libexec
default_process_limit = 100
delay_warning_time = 0h
disable_dns_lookups = no
header_checks =
import_environment =
in_flow_delay = 1s
inet_protocols = ipv4
lmdb_map_size = 16777216
lmtp_connection_cache_destinations =
lmtp_connection_cache_time_limit = 4s
lmtp_host_lookup = dns
lmtp_tls_CAfile =
lmtp_tls_CApath =
lmtp_tls_ciphers = export
lmtp_tls_exclude_ciphers =
lmtp_tls_loglevel = 0
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_protocols = !SSLv2, !SSLv3
lmtp_tls_security_level = may
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
mail_owner = postfix
mailbox_size_limit = 0
mailq_path = /opt/zimbra/postfix/sbin/mailq
manpage_directory = /opt/zimbra/postfix/man
max_use = 100
maximal_backoff_time = 4000s
message_size_limit = 25000000
milter_command_timeout = 30s
milter_connect_timeout = 30s
milter_content_timeout = 300s
milter_default_action = tempfail
minimal_backoff_time = 300s
mydestination = localhost
myhostname = webmail.domain.com
mynetworks = 127.0.0.0/8 **.***.22.0/24 192.168.137.0/24 &#91;&#58;&#58;1&#93;/128 &#91;fe80&#58;&#58;&#93;/64
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
non_smtpd_milters =
notify_classes = resource, software
propagate_unmatched_extensions = canonical
queue_directory = /opt/zimbra/data/postfix/spool
queue_run_delay = 300s
recipient_delimiter =
relayhost =
sender_canonical_maps = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-scm.cf
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
setgid_group = postdrop
smtp_cname_overrides_servername = no
smtp_fallback_relay =
smtp_generic_maps =
smtp_helo_name = $myhostname
smtp_sasl_auth_enable = no
smtp_sasl_mechanism_filter =
smtp_sasl_password_maps =
smtp_sasl_security_options = noplaintext,noanonymous
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_ciphers = export
smtp_tls_loglevel = 0
smtp_tls_mandatory_ciphers = medium
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_port_logging = no
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions =
smtpd_error_sleep_time = 1s
smtpd_hard_error_limit = 20
smtpd_helo_required = yes
smtpd_milters =
smtpd_proxy_timeout = 100s
smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_invalid_helo_hostname, reject_non_fqdn_sender, reject_rbl_client b.barracudacentral.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client spamrats.com, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client psbl.surriel.com, reject_rbl_client db.wpbl.info, permit
smtpd_reject_unlisted_recipient = no
smtpd_reject_unlisted_sender = no
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sender_login_maps =
smtpd_sender_restrictions = check_sender_access regexp&#58;/opt/zimbra/postfix/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp&#58;/opt/zimbra/postfix/conf/tag_as_foreign.re
smtpd_soft_error_limit = 10
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = yes
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
smtpd_tls_ciphers = export
smtpd_tls_exclude_ciphers =
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_security_level = may
tls_append_default_CA = no
transport_maps = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-transport.cf
unverified_recipient_defer_code = 250
virtual_alias_domains = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-vad.cf
virtual_alias_expansion_limit = 10000
virtual_alias_maps = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-vam.cf
virtual_mailbox_domains = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-vmd.cf
virtual_mailbox_maps = proxy&#58;ldap&#58;/opt/zimbra/conf/ldap-vmm.cf
virtual_transport = error
Если необходимы еще какие-то логи/конфиги, то сразу же их предоставлю.

Прошу посоветовать в какую сторону "копать" и в чем возможная проблема?

Заранее спасибо.

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 24 июн 2016, 10:24

Добрый день!
Покажи по своим логам полностью обработку какого-нибудь письма. Например для очереди BA0493081252:

Код: Выделить всё

cat /var/log/maillog | grep BA0493081252
Где я для примера указал лог /var/log/maillog, т.к. не знаю какой у тебя.
Последний раз редактировалось Andy_mak 24 июн 2016, 10:28, всего редактировалось 1 раз.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

rusment
Новичок
Новичок
Сообщения: 4
Зарегистрирован: 23 июн 2016, 14:22

Сообщение rusment » 24 июн 2016, 10:27

Andy_mak писал(а):Добрый день!
Покажи по своим логам полностью обработку какого-нибудь письма. Например для очереди BA0493081252 этого:

Код: Выделить всё

cat /var/log/maillog | grep BA0493081252
Где я для примера указал лог /var/log/maillog, т.к. не знаю какой у тебя.
вот лог по этому письму:

Код: Выделить всё

Jun 24 06&#58;14&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; BA0493081252&#58; from=<user@webmail.domain.com>, size=960783, nrcpt=1 &#40;queue active&#41;
Jun 24 06&#58;15&#58;00 webmail postfix/smtp&#91;3190&#93;&#58; BA0493081252&#58; host gw.sivik.ru&#91;80.89.158.190&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;
Jun 24 06&#58;15&#58;02 webmail postfix/smtp&#91;3190&#93;&#58; BA0493081252&#58; to=<agb@sivik.ru>, relay=gw.sivik.ru&#91;92.255.180.102&#93;&#58;25, delay=158542, delays=158538/0.03/2.8/1.2, dsn=4.1.7, status=deferred &#40;host gw.sivik.ru&#91;92.255.180.102&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;&#41;
Jun 24 07&#58;24&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; BA0493081252&#58; from=<user@webmail.domain.com>, size=960783, nrcpt=1 &#40;queue active&#41;
Jun 24 07&#58;25&#58;00 webmail postfix/smtp&#91;25648&#93;&#58; BA0493081252&#58; host gw.sivik.ru&#91;80.89.158.190&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;
Jun 24 07&#58;25&#58;02 webmail postfix/smtp&#91;25648&#93;&#58; BA0493081252&#58; to=<agb@sivik.ru>, relay=gw.sivik.ru&#91;92.255.180.102&#93;&#58;25, delay=162742, delays=162738/0.03/2.5/1.5, dsn=4.1.7, status=deferred &#40;host gw.sivik.ru&#91;92.255.180.102&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;&#41;
Jun 24 08&#58;34&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; BA0493081252&#58; from=<user@webmail.domain.com>, size=960783, nrcpt=1 &#40;queue active&#41;
Jun 24 08&#58;35&#58;00 webmail postfix/smtp&#91;15638&#93;&#58; BA0493081252&#58; host gw.sivik.ru&#91;92.255.180.102&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;
Jun 24 08&#58;35&#58;02 webmail postfix/smtp&#91;15638&#93;&#58; BA0493081252&#58; to=<agb@sivik.ru>, relay=gw.sivik.ru&#91;80.89.158.190&#93;&#58;25, delay=166941, delays=166938/0.03/2.3/1.5, dsn=4.1.7, status=deferred &#40;host gw.sivik.ru&#91;80.89.158.190&#93; said&#58; 450 4.1.7 <user@webmail.domain.com>&#58; Sender address rejected&#58; unverified address&#58; host webmail.domain.com&#91;**.***.22.59&#93; said&#58; 554 5.7.1 <user@webmail.domain.com>&#58; Relay access denied &#40;in reply to RCPT TO command&#41; &#40;in reply to RCPT TO command&#41;&#41;
Jun 24 09&#58;44&#58;58 webmail postfix/qmgr&#91;24463&#93;&#58; BA0493081252&#58; from=<user@webmail.domain.com>, size=960783, nrcpt=1 &#40;queue active&#41;



Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 24 июн 2016, 10:43

Если просто делать вывод по логу, то получателя, что твой сервер не имеет права слать письма от имени домена webmail.domain.com. Поэтому твои письма отвергают так: " 554 5.7.1 <user@webmail.domain.com>: Relay access denied".
Мне кажется странным, что твой сервер имеет имя webmail.domain.com. Т.к. домен domain.com принадлежит непонятно кому. Мне даже кажется, что любой провайдер может у себя прописать это в ДНС чисто для тестов, но не более.
Как вы оказались в этом домене со своим сервером?
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

rusment
Новичок
Новичок
Сообщения: 4
Зарегистрирован: 23 июн 2016, 14:22

Сообщение rusment » 24 июн 2016, 10:57

Andy_mak писал(а):Если просто делать вывод по логу, то получателя, что твой сервер не имеет права слать письма от имени домена webmail.domain.com. Поэтому твои письма отвергают так: " 554 5.7.1 <user@webmail.domain.com>: Relay access denied".
Мне кажется странным, что твой сервер имеет имя webmail.domain.com. Т.к. домен domain.com принадлежит непонятно кому. Мне даже кажется, что любой провайдер может у себя прописать это в ДНС чисто для тестов, но не более.
Как вы оказались в этом домене со своим сервером?
Извиняюсь, что немного некорректно выразился. domain.com я привел для примера, скрыв имя настоящего домена по понятным причинам :) все почтовые ящики пользователей имеют структуру user@domain.com, а тут в логах всплыл непонятно откуда user@webmail.domain.com

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 24 июн 2016, 11:03

rusment писал(а):..., а тут в логах всплыл непонятно откуда user@webmail.domain.com
Это потому, что у тебя отправка письма была с адреса 127.0.0.1. Т.е . с самого сервера. Какой-то процесс отправляет письма от имени "user". Твой Postfix автоматически нормализует недостающие (неправильные) заголовки в письме до правильных. В данном случае в адрес отправителя он подставляет имя твоего сервера.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

rusment
Новичок
Новичок
Сообщения: 4
Зарегистрирован: 23 июн 2016, 14:22

Сообщение rusment » 24 июн 2016, 11:07

Andy_mak писал(а): Какой-то процесс отправляет письма от имени "user".
спасибо за прояснение ситуации. получается, что данный процесс - как некий "вирус"?

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 24 июн 2016, 11:13

Не обязательно вирус. Т.к. Zimbra это комплекс программ, которые работают на нескольких портах, доступных извне. Вполне возможно, что незакрытый файерволом порт использует злоумышленник.
Любая веб-морда, это уже потенциальная "дырка" для рассылки спама.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

Аватара пользователя
Виктор
Член клуба
Член клуба
Сообщения: 832
Зарегистрирован: 02 июн 2006, 15:54
Откуда: Южно-Сахалинск

Сообщение Виктор » 26 июн 2016, 13:16

А походу сам постфикс зациклился.
Одно кривое сообщение каждый час старается снова и снова послать.
Вот и получилось куча.
Jun 24 08:35:00 webmail postfix/smtp[15638]: BA0493081252: host gw.sivik.ru[92.255.180.102] said: 450 4.1.7 <user@webmail.domain.com
Так как получает не полный отлуп а приглашение снова как бы
попытаться. (450).
Если я прав, то надо его из очереди удалить.
Кстати в предоставленном логе не видно как коннектился
этот узер. И откуда.
чем. толще наши морды. тем теснее наши ряды.

Ответить