Проблема с Postfix. Одолели спамеры.

[KPD]

Операционная система Debian 6.0
Сервер используется в качестве вебсервера
Мейл сервер: Postfix version 2.7.1

Собственно говоря с ним то и возникла проблема.
Недавно хостер прислал мне предупреждение что с моего сервера идёт рассылка спама, и действительно зйядя в Вебмин в конфиг Постфикса я увидел что дико растёт очередь Mail Queue. В ней куча непонятных писем, которые отправлены якобы от имени одного из сайтов которые размещены на этом сервере. Причем почтовых ящиков от которых якобы производится рассылка я естественно не создавал и их вообщем то и не заведено.

Подскажите пожалуйста в каком направлении копать? Как вообще понять кто или что генерит эти письма и пытается их рассылать. Сейчас я Постфикс застопил, но очередь сообщений всё равно растёт (переодически чищу её)

[MrClon]

Сайты твои или это хостинг? Возможно владелец сайта использует его для рассылки спама, возможно сайт имеет уязвимость используемую кем-то посторонним для рассылки спама.
На сколько я понимаю в некоторых конфигурациях postfix (собственно любой MTA) готов принимать к отправке любые письма (с любым адресом отправителя) с локалхоста.

Вообще если есть такая возможность и если не разбираешься в настрое почты то лучше отдать это дело на аутсорс какому-нибудь гуглу или яндексу.

P.S. что там за письма? Реальный спам или нормальные служебные сообщения от сайта?

P.P.S. webmin это плохо.

[KPD]

Сайты мои. У меня виртуальный сервер. HETZNER.

Там реальный спам.

Для примера
001FF167200 2014/04/22 18:09 tina_lynch@pkuneev.ru namrehs102@aol.com 580 bytes
00250166D45 2014/04/22 17:49 elisa_sherman@pkuneev.ru mann1107@yahoo.com 615 bytes
002C5166DFB 2014/04/22 17:50 therese_nicholson@pkuneev.ru lbeputt@aol.com 616 bytes
003A31619CB 2014/04/22 17:42 lana_cochran@pkuneev.ru karthik2msrit@gmail.com 601 bytes
003DC164145 2014/04/22 17:44 marguerite_pitts@pkuneev.ru lafamiliatorres05@gmail.com 655 bytes
004101673BD 2014/04/22 18:15 dale_brown@pkuneev.ru oscaboscer@aol.com 561 bytes
0060E1672CA 2014/04/22 18:11 amie_dotson@pkuneev.ru bernardmcqueeney@yahoo.com 600 bytes
006631672C1 2014/04/22 18:11 lindsay_rodriguez@pkuneev.ru bijoy.sangma@gmail.com 676 bytes
0083B166B19 2014/04/22 17:47 ada_gilmore@pkuneev.ru kenmichg@aol.com 586 bytes

[MrClon]

Ну значит поломали твои сайты или твой сервер в целом. Наводи порядок в своём хозяйстве.
Например на pkuneev.ru (твой сайт?) движок ошибками сыплет.

[KPD]

Походу Джумлу поломали.
Но если я сайт закрою сейчас это же как я понимаю спам не остановит... я понять не могу через что все эти письма лезут на сервер ко мне

[MrClon]

Скорее всего просто в директорию одного из сайтов залит phpшный бэкдор, злоумышленник дёргает его через web и передаёт ему комманды.
И/или на сервере постоянно крутится какой-то процесс отправляющий спам.
но если ты просто удалишь бекдор и остановишь спамящий процесс это не сильно поможет. Его зальют заново точно так-же как залили в первый раз. К тому-же нет гарантии что ты удалишь все бэкдоры.

[KPD]

Пока что я снёс полностью Джумлу. Поток прекратился.
Да и в базе Джумлы обнаружил левых пользователей. 100% ломанули её.

[MrClon]

Скорее всего. Цимес в том что через неё могли залить бекдор который таки мог остаться в системе.
У тебя все сайты от одного системного пользователя работают?

[KPD]

От разных пользователей.

А что могут значить вот такие сообщения, которые переодически выскакивают в SSH консоли?


Message from syslogd@Debian-60-squeeze-64-LAMP at Apr 22 21:59:24 ...
postfix/smtpd[18399]: disconnect from neos.libfl.ru[80.250.173.156]

[MrClon]

От разных пользователей.

и то хлеб.

А что могут значить вот такие сообщения, которые переодически выскакивают в SSH консоли?

Message from syslogd@Debian-60-squeeze-64-LAMP at Apr 22 21:59:24 ...
postfix/smtpd[18399]: disconnect from neos.libfl.ru[80.250.173.156]

Не уверен но кажется оно символизирует что хост 80.250.173.156 попытался подключиться к твоему постфиксу, но у него что-то не получилось и подключение было разорвано нештатно

[KPD]

Интересно а можно ли сделать чтобы постфикс принимал почту исключительно от локального сервера и ниоткуда извне? Правда тогда наверное редирект емейлов работать не будет...

[MrClon]

Можно, но если просто не принимать соединения на 25 порт извне то некоторые почтовики могут воспринять это как признак спамера.
Мой тебе совет — отдай почту на аутсорс гуглу или яндексу и выключи свой постфикс нафиг. Лучше сосредоточься на безопасности сайта.

[Bizdelnick]

Можно, но если просто не принимать соединения на 25 порт извне то некоторые почтовики могут воспринять это как признак спамера.

Можно пруф?

Мой тебе совет — отдай почту на аутсорс гуглу или яндексу и выключи свой постфикс нафиг. Лучше сосредоточься на безопасности сайта.

Причём тут яндекс с гуглом, если постфикс служит для отправки писем джумлой?

[Bizdelnick]

Интересно а можно ли сделать чтобы постфикс принимал почту исключительно от локального сервера и ниоткуда извне?

http://www.postfix.org/STANDARD_CONFIGURAT...tml#stand_alone
Более того, скорее всего у Вас так и настроено.

[MrClon]

Можно, но если просто не принимать соединения на 25 порт извне то некоторые почтовики могут воспринять это как признак спамера.

Можно пруф?

В процессе войны со спамерами была придумана масса странных методов обнаружения этих самых спамеров. Один из них — попытка подключиться на 25 порт отправителя (если отправитель не логинится как пользователь этого сервера). Предполагается что если почту набрасывает хост не слушающий свой 25 порт то это какой-то неправильный SMTP сервер и почту от набрасывает какую-то неправильную.

Мой тебе совет — отдай почту на аутсорс гуглу или яндексу и выключи свой постфикс нафиг. Лучше сосредоточься на безопасности сайта.

Причём тут яндекс с гуглом, если постфикс служит для отправки писем джумлой?

К домену который использует жумла прикручивается почтовый сервер от стороннего поставщика. Жумла обучается отправлять письма через произвольный SMTP сервер (если жумла отказывается обучаться, или хочется что-бы она не дожидалась ответа от удалённого сервера, можно использовать sSMTP (хотя я не уверен что будет работать асинхронно)).
Весь геморрой с почтой ложится на посторонних дядей, в интернете становится один потенциально криво настроенным SMTP сервером меньше, письма уходят через адекватно настроенные сервера которые мало кто решится забанить без ну очень веской причины.

[Sleeping Daemon]

Можно, но если просто не принимать соединения на 25 порт извне то некоторые почтовики могут воспринять это как признак спамера.

Можно пруф?

При проверки отправителя. Если у отправителя 25 порт будет закрыт письмо дропнется. У меня во всяком случае...

[Bizdelnick]

В процессе войны со спамерами была придумана масса странных методов обнаружения этих самых спамеров. Один из них — попытка подключиться на 25 порт отправителя (если отправитель не логинится как пользователь этого сервера). Предполагается что если почту набрасывает хост не слушающий свой 25 порт то это какой-то неправильный SMTP сервер и почту от набрасывает какую-то неправильную.

Можно пруф?

Жумла обучается отправлять письма через произвольный SMTP сервер

Каким образом? Пехепешный mail() умеет отправлять письма без локального сервера?

[MrClon]

Можно пруф?

Выше Sleeping Daemon сам признался.

Жумла обучается отправлять письма через произвольный SMTP сервер

Каким образом? Пехепешный mail() умеет отправлять письма без локального сервера?

А кто сказал что обязательно использовать mail()? Если движок достаточно обвешан свистелками и перделками наворочен то в нём скорее всего либо уже есть функционал для отправки спама через внешний SMTP сервер, либо есть готовые инструменты для впиливания такого функционала. Если движок тонок и минималистичен то впиливание нужного функционала скорее всего тоже не будет трудным (для любителей тонких и минималистичных движков, оставляющих простор для размахивания напильником).
Как обстоят дела в жумле — не знаю (честно говоря дорожу этим незнанием), IBP (движок этого форума) например из коробки умеет отправлять свой спам хоть куда, к wordpress есть готовый плагин переопределяющий стандартную обёртку для mail(). Проблемы у меня были только с piwik-ом, в нём вроде-бы как-бы есть нужный функционал, но он не позволяет задать email отправителя письма, видимо рассчитывая что добрый сервер примит от него письма с любым полем From (вера похапэ пейсателей в добрых фей, готовых доставить любые их письма за блюдце сливок, поражает).
Для запущенных случаев есть sSMTP, замена утилиты mail мапящая локальных юниксовых пользователей в пользователей удалённого smtp сервера.

[MrClon]

При проверки отправителя. Если у отправителя 25 порт будет закрыт письмо дропнется. У меня во всяком случае...

Самый цимес современной почтовой системы в том что подобных евристик в ней много, они передаются из уст в уста и увековечиваются в разнообразных хаутушечках (а иногда и RFC). Современная почта это наслоения костылей, заплаток и костылей подпирающих заплатки. Причём нет никаких гарантий что админ соседнего сервера знает о том-же наборе костылей о котором знаешь ты. Это как HTML вёрстка времён заката эпохи гегемонии IE6, но HTML вёрстка которую нужно согласовывать не только с браузером посетителя, но и с версткой соседних сайтов.
Если счистить все эти костыли то мы получим протокол разработанный во времена когда люди ещё не придумали зла и обдолбаные кислотой бородатые хиппи невозбранно скакали на единорогах по райскому саду.

Во крайней мере так это выглядит с точки зрения человека критически прочитавшего пару хаутушечек, но ненамеренного глубоко и основательно закапываться в изучение этой системы и всего многообразия существующих в интернете smtp серверов. А мне кажется не разумным закапываться в это только ради того что-бы при регистрации на сайте пользователи получали письмо со ссылкой для активации аккаунта.

[Bizdelnick]

Выше Sleeping Daemon сам признался.

Это его личные проблемы. Покажите, где такая проверка выполняется штатным образом.

А кто сказал что обязательно использовать mail()?

Действительно, чего бы ТСу не написать свою реализацию SMTP на пыхе?
А если она есть, то зачем нужен ещё какой-то гугловский сервер?
А если отправлять всё через гугловский сервер, то как скоро ТСа там забанят за спам?

[MrClon]

Выше Sleeping Daemon сам признался.

Это его личные проблемы. Покажите, где такая проверка выполняется штатным образом.

Смотри выше. Современный email это не три RFCшечки, которые все выполняют, это куча хаутушечек каждой из которых воскользовалось некоторое количество человек (от нуля до пяти миллиардов :). Эту эвристику использует один из пользователей довольно малолюдного форума, и о ней (независимо) слышал другой пользователь того-же форума. Косвенно это указывает что она довольно-таки широко распространена.
Можно сколько угодно говорить о том что это неправильно, но пока ты не найдёшь способ вложить своё видение ситуации в голову каждого зелёного админьчика набирающего дрожащими руками в гугле «как настроить почту в убуньте» ситуация не изменится.

А кто сказал что обязательно использовать mail()?

Действительно, чего бы ТСу не написать свою реализацию SMTP на пыхе?
А если она есть, то зачем нужен ещё какой-то гугловский сервер?
А если отправлять всё через гугловский сервер, то как скоро ТСа там забанят за спам?

Всё уже написано, до нас.

Гугловский сервер нужен что-бы переложить максимум геморроя на плечи гугла. SMTP клиент типа «почтовый клиент» (подключился к своему серверу, авторизовался, передал почту, забыл) проще чем STMP клиент типа почтовый сервер (нашёл нужный сервер, убедил его что ты не спамер, передал почту, убедился что почта принята). Потому-что гугловый сервер тебе доверяет, потому-что ты знаешь логин и пароль, а somemailserver.ch тебе нифига не доверяет потому-что ты чёрт знает кто.

Перед тем как предпринимать все эти телодвижения с гуглом нудно навести порядок в своём курятнике, об этом я уже написал ТСу где-то выше.

[Bizdelnick]

Перед тем как предпринимать все эти телодвижения с гуглом нудно навести порядок в своём курятнике, об этом я уже написал ТСу где-то выше.

Так вот и именно, что человек пришёл сюда с конкретной проблемой в курятнике, а Вы ему советуете что-то странное, к делу не относящееся.

Косвенно это указывает

Укажите прямо. На код любого распространённого спам-фильтра.

[Kopilov]

Пехепешный mail() умеет отправлять письма без локального сервера?

Меня выручает Sendmail Wrapper.
Можно даже навести разные сайты на разные SMTP, используя настройку в VitrualHost, которая выглядит так:

Код: Выделить всё

php_admin_value sendmail_path "/usr/local/bin/sendmailWrapper -ssmtp.yandex.ru -ulogin@yandex.ru -ppassword"

У клиента подключена услуга "Почта для домена", поэтому письма идут от имени сайта, а не яндекса. Остальные сайты работают через SMTP провайдера, на сервере собственного нет.
Вроде, и среди стандартных MTA подобная вещь есть.

[MrClon]

Так вот и именно, что человек пришёл сюда с конкретной проблемой в курятнике, а Вы ему советуете что-то странное, к делу не относящееся.

Про курятник тут вроде уже всё обсудили. Я советую помимо уборки уменьшить размеры курятника, дабы порядок было поддерживать проще.

Укажите прямо. На код любого распространённого спам-фильтра.

Я таки-непонял, вы не верите мне на слово в то что кто-то кроме Sleeping Daemon использует эту эвристику, или вам кажется что у нас тут не беседа на форуме, а уголовное судопроизводство?

[Bizdelnick]

Я таки-непонял, вы не верите мне на слово в то что кто-то кроме Sleeping Daemon использует эту эвристику

Я верю, что кто-то использует, но не верю, что это делают здравомыслящие люди.
Ну вот, например, сайт rootfs.ru крутится на шаред-хостинге, и я понятия не имею, как там у них что настроено. Но уведомления на почту получаю. И наверняка ни у кого из юзеров хостинга проблем с доставкой почты нет, иначе бы они поддержку задолбали. Смотрим заголовки:

Код: Выделить всё

Received: from s7.h.mchost.ru (s7.h.mchost.ru. [178.208.83.11])

Проверяем:

Shell

% telnet s7.h.mchost.ru 25 Trying 178.208.83.11... telnet: Unable to connect to remote host: Connection refused %

И это никому не мешает.

[MrClon]

Я верю, что кто-то использует, но не верю, что это делают здравомыслящие люди.

Ну да, ни один из трёх здравомыслящих людей не использует…

[lastpriot]

Пруф который так просил Bizdelnick
Callback verification

[Bizdelnick]

lastpriot
Спасибо, хотя это и не в точности то, о чём писал MrClon. Всё-таки проверка исходящего сервера и адреса через сервер в MX-записи - разные вещи, и серверы могут быть совсем разные (как и есть в приведённом мной выше примере с rootfs.ru).
Но даже для этого случая

The documentation for both postfix and exim caution against the use of this technique and mention many limitations to SMTP callbacks. In particular, there are many situations where it is either ineffective or causes problems to the systems that receive the callbacks.

P.S. Хотел было продолжить проверки и обнаружил ошибку в настройке движка: письма отправляются с заведомо несуществующего адреса no-reply@example.com. И, поди ж ты, доходят.