Máy chủ Postfix của tôi tiếp tục bị những kẻ gửi thư rác sử dụng. Đây là đầu ra của sudo postcat -vq cho thư rác cuối cùng bị bắt:
âââ> sudo postcat -vq 3513818A8A
postcat: name_mask: tất cả
postcat: inet_addr_local: đã cấu hình 2 địa chỉ IPv4
postcat: inet_addr_local: đã cấu hình 2 địa chỉ IPv6
*** PHONG BÌ HỒ SƠ trả chậm/3/3513818A8A ***
message_size: 8412 720 1 0 8412
message_arrival_time: Thứ Năm ngày 19 tháng 8 13:35:50 năm 2021
create_time: Thứ Năm ngày 19 tháng 8 13:35:50 năm 2021
tên_thuộc tính: log_ident=3513818A8A
tên_thuộc tính: rewrite_context=remote
tên_thuộc tính: sasl_method=LOGIN
tên_thuộc tính: sasl_username=root
người gửi: [email protected]
tên_thuộc tính: log_client_name=unknown
tên_thuộc tính: log_client_address=93.122.252.4
tên_thuộc tính: log_client_port=16374
tên_thuộc tính: log_message_origin=unknown[93.122.252.4]
tên_thuộc tính: log_helo_name=109-166-129-221.orangero.net
tên_thuộc tính: log_protocol_name=ESMTP
tên_thuộc tính: client_name=unknown
tên_thuộc tính: reverse_client_name=unknown
tên_thuộc tính: client_address=93.122.252.4
tên_thuộc tính: client_port=16374
tên_thuộc tính: helo_name=109-166-129-221.orangero.net
tên_thuộc tính: protocol_name=ESMTP
tên_thuộc tính: client_address_type=2
tên_thuộc tính: dsn_orig_rcpt=rfc822;[email protected]
người nhận gốc: [email protected]
người nhận: [email protected]
Dựa trên hai dòng này:
tên_thuộc tính: sasl_method=LOGIN
tên_thuộc tính: sasl_username=root
Tôi tin rằng người gửi thư rác đang đăng nhập thành công với tư cách là nguồn gốc và sau đó gửi tin nhắn rác của họ ra khỏi máy chủ của tôi. Và điều đó được xác nhận bằng cách chạy con mèo sudo /var/log/maillog | grep sasl_username=root trong đó hiển thị rất nhiều mục như:
Ngày 19 tháng 8 17:13:15 mail postfix/smtpd[11442]: EA58D18CCD: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:17 mail postfix/smtpd[11442]: BDA4E18D32: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:19 mail postfix/smtpd[11442]: 7387E18D31: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:21 mail postfix/smtpd[11442]: 1C0FB18D34: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:22 mail postfix/smtpd[11442]: DCB4418D36: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:24 mail postfix/smtpd[11442]: B62DD18D39: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:26 mail postfix/smtpd[11442]: 6F52B18D38: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:28 mail postfix/smtpd[11442]: 24DEF18D3A: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:29 mail postfix/smtpd[11442]: A30B418D3C: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:31 mail postfix/smtpd[11442]: 88D8318D3B: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Ngày 19 tháng 8 17:13:33 mail postfix/smtpd[11442]: 11F6118D44: client=unknown[93.122.252.4], sasl_method=LOGIN, sasl_username=root
Tôi có Dovecot đang chạy trên máy chủ bên cạnh Postfix, vì vậy hãy kiểm tra /etc/dovecot/conf.d/10-mail.conf tập tin cho thấy:
# Phạm vi UID hợp lệ cho người dùng, mặc định từ 500 trở lên. Đây là chủ yếu
# để đảm bảo rằng người dùng không thể đăng nhập với tư cách daemon hoặc người dùng hệ thống khác.
# Lưu ý rằng việc từ chối đăng nhập gốc được mã hóa cứng thành nhị phân dovecot và không thể
# được thực hiện ngay cả khi first_valid_uid được đặt thành 0.
first_valid_uid = 1000
#last_valid_uid = 0
Vì vậy, bây giờ tôi không biết chính xác người gửi thư rác đang quản lý như thế nào để xác thực là nguồn gốc. Đi mà không cần nói nguồn gốc người dùng bị vô hiệu hóa trên hệ thống.
Mọi đề xuất về cách ngăn chặn hoàn toàn sasl_username nguồn gốc từ việc đăng nhập vào hệ thống?
