Postfix xác định người gửi thực sự

John

11:16, 24/10/2022

Gần đây máy chủ của tôi có nhiều email rác được tạo ra. Tôi đã tìm kiếm thông tin trong một thư mẫu nhưng người gửi rõ ràng là giả mạo và cũng không có ID người dùng hậu tố trong tiêu đề thư. Dưới đây là tiêu đề đầy đủ của một tin nhắn mẫu:

root@server:~# postcat -qv 400CB848E9
postcat: name_mask: tất cả
postcat: inet_addr_local: cấu hình 4 địa chỉ IPv4
postcat: inet_addr_local: đã cấu hình 2 địa chỉ IPv6
*** GIỮ HỒ SƠ BAO BÌ/400CB848E9 ***
message_size: 2333 670 1 0 2333 0
message_arrival_time: Thứ 5 ngày 24 tháng 6 06:44:46 2021
create_time: Thu 24 Jun 06:44:46 2021
tên_thuộc tính: log_ident=400CB848E9
tên_thuộc tính: rewrite_context=local
người gửi: [email protected]
tên_thuộc tính: log_client_name=localhost.localdomain
tên_thuộc tính: log_client_address=127.0.0.1
tên_thuộc tính: log_client_port=40070
tên_thuộc tính: log_message_origin=localhost.localdomain[127.0.0.1]
tên_thuộc tính: log_helo_name=localhost
tên_thuộc tính: log_protocol_name=ESMTP
tên_thuộc tính: client_name=localhost.localdomain
tên_thuộc tính: reverse_client_name=localhost.localdomain
tên_thuộc tính: client_address=127.0.0.1
tên_thuộc tính: client_port=40070
tên_thuộc tính: helo_name=localhost
tên_thuộc tính: protocol_name=ESMTP
tên_thuộc tính: client_address_type=2
tên_thuộc tính: dsn_orig_rcpt=rfc822;[email protected]
người nhận gốc: [email protected]
người nhận: [email protected]
*** NỘI DUNG TIN NHẮN hold/400CB848E9 ***
regular_text: Đã nhận: từ máy chủ cục bộ (localhost.localdomain [127.0.0.1])
regular_text: bởi dallas.mylocalhostdomain.com (Postfix) với ESMTP id 400CB848E9
regular_text: cho <[email protected]>; Thứ năm, ngày 24 tháng 6 năm 2021 06:44:46 -0400 (EDT)
regular_text: Từ: Google Drive Storage <[email protected]>
regular_text: Đến: [email protected]
regular_text: MIME-Phiên bản: 1.0
regular_text: Message-ID: <[email protected]>
regular_text: Ngày: Thứ năm, ngày 24 tháng 6 năm 2021 06:44:46 +0000
regular_text: Loại nội dung: văn bản/html; bộ ký tự = UTF-8
regular_text: Mã hóa truyền nội dung: 7bit
regular_text: Chủ đề: Tệp bị hỏng và không thể sửa được

Như có thể thấy trong tiêu đề, người gửi tin nhắn là [email protected], nhưng tên miền / người dùng này không tồn tại trên máy chủ. Tôi đang bối rối vì theo những gì tôi biết, người dùng phải tồn tại trên máy chủ trước khi SMTP có thể được xác thực. Ngoài ra, cũng không có thông tin xác thực trong tệp mail.log.

Tôi hy vọng ai đó có thể giúp chỉ ra cách xác định người dùng thực đã tạo thông báo này?

Cảm ơn bạn!

101

1 + 0

Thư rác

pop3

Điểm:2

Server

Nikita Kipriyanov

12:49, 24/10/2022

Hãy xem xét cẩn thận những điều này:

người gửi: [email protected]
tên_thuộc tính: log_client_name=localhost.localdomain
tên_thuộc tính: log_client_address=127.0.0.1
tên_thuộc tính: log_client_port=40070
tên_thuộc tính: log_message_origin=localhost.localdomain[127.0.0.1]
tên_thuộc tính: log_helo_name=localhost
tên_thuộc tính: log_protocol_name=ESMTP
tên_thuộc tính: helo_name=localhost

Điều này có nghĩa là, một số quá trình từ máy chủ cục bộ (tức là chính máy chủ) đã thực hiện giao dịch ESMTP tới máy chủ này. Nó bắt đầu với EHLO máy chủ cục bộ và sau đó, không có bất kỳ xác thực nào, nó đã được chấp nhận để giao hàng. tôi có thể đoán bạn có 127.0.0.1 Trong mạng của tôi. Tiêu đề "Đã nhận" mà nó thêm vào có cùng thông tin (điều đó không có gì lạ).

Đó là tất cả những gì Postfix đã thấy và có thể cho bạn biết. Tìm kiếm câu trả lời cho "ai là người gửi thực sự" ở một số nơi khác. Đó có thể là thư trên web, vì vậy hãy đọc nhật ký truy cập máy chủ web; đó có thể là máy chủ bị xâm phạm (ồ!) hoặc chỉ có một số lỗ hổng trong tập lệnh PHP cho phép gửi thư. Kiểm tra wtmp (Cuối cùng và như thế). Tìm nhật ký gần Thứ năm, ngày 24 tháng 6 năm 2021 06:44:46 -0400 (EDT).

Tôi sẽ nhắc lại điều này để bạn không hỏi cùng một câu hỏi bằng cách nói khác: Postfix đã làm tất cả những gì có thể để tiết lộ cho bạn nơi họ nhận được thư này. Điều duy nhất nó biết là thư đến từ localhost. Điều đó rung chuông: "kiểm tra máy chủ cục bộ của bạn" (máy chủ).

0 + 3

John

15:06, 24/10/2022

Cảm ơn câu trả lời thấu đáo của bạn. Nó rất có ích với tôi. Rõ ràng máy chủ đã bị xâm nhập. Tôi thấy một yêu cầu POST tới một tệp php lạ trên máy chủ vào thời điểm đó.

Hồi đáp

Nikita Kipriyanov

17:33, 24/10/2022

Có thể chỉ dịch vụ web bị xâm phạm hoặc thậm chí chỉ một ứng dụng web duy nhất. Có thể có các POST khác có thể giải thích nguồn gốc của tệp PHP này. Nhưng nói chung, hãy tìm kiếm SF để biết "phải làm gì với máy chủ bị xâm phạm".

Hồi đáp

Esa Jokinen

19:14, 24/10/2022

Câu trả lời tuyệt vời.Việc xóa `localhost` khỏi `mynetworks` buộc các quy trình cục bộ phải sử dụng Sendmail hoặc xác thực. Trong cả hai trường hợp, bạn sẽ biết thêm chi tiết về nguồn gốc.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Postfix identify the true sender

TH: Postfix ระบุผู้ส่งที่แท้จริง

RO: Postfix identifică adevăratul expeditor

RU: Postfix идентифицирует истинного отправителя

VI: Postfix xác định người gửi thực sự

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.