公司的Linux郵件主機被當做垃圾信的跳板，請教各位高手有沒有什麼方法可以防堵？

vh0817
個人積分：0分
文章編號：35246624

0分

樓主

2012-04-17 12:08

郵件主機的作業系統是Red Hat Enterprise Linux 5 Server
郵件收發的服務是sendmail
郵件主機裡有安裝趨勢的防毒和過瀘軟體（IMSS/SPS/ERS）

問題是這樣的，這一陣子都會有同仁反應無法正常收發信，在同仁反應後有去檢查郵件主機，這時候發現在主機裡的mqueue裡都會積了大量的垃圾郵件，從幾百封到幾萬封不等，而且收件者和寄件者都是一樣的郵件位址，這些郵件位址都不是我們公司的信箱，而發生問題的時間點也都是不定時，有時幾小時，有時半天或一天，原本以為是郵件主機中毒，也有重灌系統，在重灌時也一併將root的密碼改成較複雜的設定，防火牆也有開啟，結果還是會一直在送垃圾信，在此也請教各位高手，有沒有什麼方法可以找到原因？或是有沒有可以防堵的方法？再麻煩大家，謝謝。

在此也一併附上垃圾郵件的截圖（webmin)
公司的Linux郵件主機被當做垃圾信的跳板，請教各位高手有沒有什麼方法可以防堵？

公司的Linux郵件主機被當做垃圾信的跳板，請教各位高手有沒有什麼方法可以防堵？

2012-04-17 12:08 發佈

文章關鍵字 Linux 公司郵件主機高手跳板垃圾信方法

itpapago

itpapago
個人積分：0分
文章編號：35248304

0分

2樓

2012-04-17 13:17

1.把User的密碼改複雜度
2.去isp申請反解
3.google 那邊也應該被封了,所以請去google論壇和管理者說明你們的網域被當跳板,也把一些使用者做處理了
很快就好了

才剛處理某公司mail被google封鎖的人留

不為人知

不為人知
個人積分：57分
文章編號：35248738

57分

3樓

2012-04-17 13:36

vh0817 wrote:
郵件主機的作業系統是...(恕刪)

/etc/mail/access
裡面讓那些 IP 可以 Relay 信件?
是否為了方便所以把所有 IP 都開放?
如果在外部的使用者要寄信可以請他們使用
Webmail 或是設定 SMTP 設證等方式

vh0817

vh0817
個人積分：0分
文章編號：35249055

0分

樓主

2012-04-17 13:49

itpapago wrote:
1.把User的密碼...(恕刪)

itpapago大大您好,感謝您提供的建議,在User密碼的部分,因為公司人數眾多,所以已經有用公告的方式告知全體同仁要修改複雜度較高的密碼,但就怕有同仁怕麻煩不會照辦而已,另外ISP反解原先就已經有申請了,至於Google的部分,目前尚未有接到同仁反應會寄不到的情況,所以還會繼續觀察,謝謝

vh0817

vh0817
個人積分：0分
文章編號：35249153

0分

樓主

2012-04-17 13:54

不為人知 wrote:
/etc/mail/...(恕刪)

不為人知大大您好,關於您提到的檔案,內容如下...

# Check the /usr/share/doc/sendmail/README.cf file for a description
# of the format of this file. (search for access_db in that file)
# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc
# package.
#
# by default we allow relaying from localhost...
Connect:localhost.localdomain RELAY
Connect:localhost RELAY
Connect:127.0.0.1 RELAY
Connect:192.168.1 RELAY
Connect:192.168.2 RELAY
Connect:192.168.3 RELAY
Connect:192.168.4 RELAY
Connect:192.168.5 RELAY
Connect:192.168.6 RELAY
Connect:192.168.7 RELAY
Connect:192.168.8 RELAY
Connect:192.168.9 RELAY
Connect:192.168.10 RELAY
Connect:192.168.11 RELAY

在檔案裡除了只允許內部的網段外,也會允許幾台我們放在主機代管商的機器做RELAY,不曉得這樣的設定是不是會造成什麼問題？目前公司在外點的同仁除了有WEBMAIL可以使用外,如果要用收信軟體(EX:MS OUTLOOK OR OUTLLOK EXPRESS)發郵件的話,也都必須要勾選SMTP認證才能夠寄信,不知大大是否還有其它的方法可以找出原因？再麻煩了,謝謝

不為人知

不為人知
個人積分：57分
文章編號：35249744

57分

6樓

2012-04-17 14:23

vh0817 wrote:
不為人知大大您好,關...(恕刪)

那再查看看
/var/log/mail.log
裡頭發那些垃圾信的來源是那裡
或是由那個帳號所發送的，
小弟認為要從問題的根本著手，
找出誰讓 mail server 發送這些信件
才是治本的方式

# cat /var/log/mail.log|grep "xxx@xx.xx"

vh0817

vh0817
個人積分：0分
文章編號：35251630

0分

樓主

2012-04-17 15:45

不為人知 wrote:
那再查看看/var/...(恕刪)

不為人知大大您好,我有按照您所提供的指令去執行,結果跑出來的結果我覺得有點怪,結果如下...

[root@mail log]# cat /var/log/maillog | grep natuw@mail.ru
Apr 16 14:08:38 mail sendmail[6581]: q3G63k8T006581: from=<natuw@mail.ru>, size=1196, class=0, nrcpts=1, msgid=<201204160608.q3G63k8T006581@mail.abc.com>, proto=ESMTP, daemon=MTA, relay=localhost.localdomain [127.0.0.1]
Apr 16 14:08:43 mail MTA2[12574]: q3G68fxA012574: from=<natuw@mail.ru>, size=1476, class=0, nrcpts=1, proto=ESMTP, daemon=Daemon0, relay=localhost.localdomain [127.0.0.1]
Apr 16 14:08:44 mail sendmail[12573]: q3G63k8T006581: to=<natuw@mail.ru>, delay=00:00:08, xdelay=00:00:03, mailer=esmtp, pri=121196, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (OK: data received)

在此段執行結果裡的"@mail.abc.com"是我們公司的郵件主機DOMAIN,我所找的信箱是其中的一封垃圾信(natuw@mail.ru),但它所跑出來的結果from是自己,to也是自己,而且relay都是走localhost.localdomain,不曉得這樣的log是哪裡有問題?再麻煩了,謝謝

不為人知

不為人知
個人積分：57分
文章編號：35255055

57分

8樓

2012-04-17 18:14

vh0817 wrote:
不為人知大大您好,我...(恕刪)

from 可以造假，想填什麼都行，
我剛才重新看了一下全文，使用
趨勢的 IMSS 架構和 sendmail 原本的不同，
所以 relay 來源皆為 127.0.0.1，
去查看看 IMSS 上面的記錄吧，
趨勢的客服也可以打去關心一下，

vh0817

vh0817
個人積分：0分
文章編號：35274476

0分

樓主

2012-04-18 15:20

不為人知 wrote:
from 可以造假，...(恕刪)

不為人知大大您好,感謝您的熱心幫忙,目前已經在和趨勢客服接洽中,希望他們能夠找出原因,謝謝

sleepcat

sleepcat
個人積分：3分
文章編號：35754538

3分

10樓

2012-05-09 18:54

依據你的敘述來看!
這一波的垃圾信已經結束
剩下的是退信的部分
找不收件人(即被退信件的寄件人) 當然是偽造的email

不過你有提及有在其他的地方有代管主機開relay 我想這是垃圾信的來源!
去檢查看看是否有被當跳板或是中毒木馬等等....
還是要找出問題點吧!

電子報會員信的發送建議還是跟公司主要的email server 做一個隔離吧!

貓在電腦上睡著了！