Изпечатай

[Lucifer]

Днеска сутринта реших да си отворя пощата, хоствана на локалния ми сървър и се оказа, че имам над 5000 съобщения за failuer notice. Оказа се че хоста ми се използва за relay на спам. Кажете как да го защитя! Не знам какво му става!

[beginner]

Разгледай /etc/tcp.smtp и relay ctrl

[dvasilev]

@Lucifer: Сещам се за две причини. Едната е да си open relay и съответно трябва да промениш настройките на сървъра, както те е посъветвал beginner. Другата причина е по-неприятна. По принцип qmail първо получава писмото и после проверява дали съществува съответния потребител. Ако потребителят не съществува се генерира съобщение за грешка, което се изпраща на return-path адреса. Това от своя страна създава възможност някой да изпрати писмо до несъществуващ потребител в рамките на domain-ите, за които qmail получава поща, и с невалиден return path. В резултат писмата се събират при администратора на сървъра. Какви са ползите от тази врътка за изпращача не знам, но за да се справиш с нея потърси patch-ове за qmail, чрез които да се проверява валидността на получателя още преди да е получено писмото.

[Lucifer]

/etc/tcp.smtp:

127.:allow,RELAYCLIENT=""

Сега добавих и TXT в адресната зона на домейна.

За съжление ме използват за relay въпреки това в tcp.smtp ... за сега май закърпих положението ... но не знам защо така се получи!

А и не искам повече да се получава така ... дайте съвет какво да правя ... (освен да махна пощеснкия сървър)

[dvasilev]

@Lucifer: Дай да видим едно такова писмо какво представлява барабар със всичките header-и. Твоят domain и IP адрес може да ги цензурираш.

[ntrance]

A защо си мислиш че от там спамиш ? може да е някой php скрипт  който да праща спама ? сигорен ли си че е от qmail-a ?

Това ще ти ти помогне много , аз поне така си реших проблемите когато имах qmail

http://howtoforge.net/how-to-log-emails-sent-with-phps-mail-function-to-detect-form-spam

[Lucifer]

Проблема е че хедарите почти ги няма! Пък и след като изстрих всичко в queue-то и рестартнах qmail-a и дадах qmailctl cdb и спря да прави проблеми! (пък и затрих писмата)

[ntrance]

ще ти се появи пак проблема, ако не си го решил най добре го провери докато не се е счупил  пак ..

[Lucifer]

Добре де ... аз не разбрах от къде е!
Извинявам се че се държа като някой новобранец ... но съм си такъв - кежете какво ви трябва като инфо.

[dvasilev]

@Lucifer: Това, което ни трябва като инфо е начина, по който са се появили тези писма. Дали е exploit-нат някой service на машината или е станало това, което съм ти описал в първия ми коментар. Както вече каза, ти си изтрил нещата, така че не може да ни предоставиш никаква полезна информация. Разбира се, може да си играем на въпроси и отговори, чрез които да строим хипотези какво може да се е случило и при голяма доза късмет да разрешим проблема, но лично на мен това не ми се струва продуктивно и не смятам да участвам. Следващият път като се случи този проблем запази поне едно писмо. При диагностицирането ще улесниш останалите във форума значително.

[Lucifer]

Оказа се, че в локалното кошче седят писмата ... поне някои:

Слагам headarite както ми ги дава Thundebird-a на All Headers:

Код:

Return-Path: <>
Delivered-To: lucifer@anavaro.com
Received: (qmail 1638 invoked by uid 1008); 20 Aug 2009 11:50:03 +0300
Message-ID: <20090820085003.1637.qmail@mail.anavaro.com>
Delivered-To: root@anavaro.com
Received: (qmail 1634 invoked by alias); 20 Aug 2009 11:50:03 +0300
Delivered-To: root@mail.anavaro.com
Received: (qmail 1631 invoked for bounce); 20 Aug 2009 11:50:03 +0300
Date: 20 Aug 2009 11:50:03 +0300
From: MAILER-DAEMON@mail.anavaro.com
To: root@mail.anavaro.com
Subject: failure notice

Hi. This is the qmail-send program at mail.anavaro.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<sign_alex@yahoo.it>:
66.196.97.250 failed after I sent the message.
Remote host said: 554 Message not allowed - UP Email not accepted for policy reasons.  Please visit http://help.yahoo.com/help/us/mail/defer/defer-04.html [120]

--- Below this line is a copy of the message.

Return-Path: <root@mail.anavaro.com>
Received: (qmail 862 invoked by uid 80); 19 Aug 2009 15:56:01 +0300
Date: 19 Aug 2009 15:56:01 +0300
Message-ID: <20090819125601.857.qmail@mail.anavaro.com>
To: sign_alex@yahoo.it
Subject:  Verifica
From: Popolare di Vicenza <sicurezza@popolarevicenza.it>
Content-Type: text/html


<style type="text/css">
<!--
.style1 {font-family: "Courier New", Courier, mono}
-->
</style>
<p class="style1"> Gentile Cliente, </p>
<p class="style1"> Nell'ambito di un progetto di verifica dei data anagrafici forniti <br>
durante la sottoscrizione dei servizi di Banca Popolare di Vicenza e <br>
stata riscontrata una incongruenza relativa ai dati anagrafici in <br>
oggetto da Lei forniti all momento della sottoscrizione contrattuale. </p>
<p class="style1"> L'inserimento dei dati alterati puo costituire motivo di interruzione <br>
del servizio secondo gli art. 135 e 137/c da Lei accettati al momento <br>
della sottoscrizione, oltre a costituire reato penalmente perseguibile <br>
secondo il C.P.P art.415 del 2001 relativo alla legge contro il <br>
riciclaggio e la trasparenza dei dati forniti in autocertificazione. </p>
<p class="style1"> Per ovviare al problema e' necessaria la verifica e l'aggiornamento <br>
dei dati relativi all'anagrafica dell'Intestatario del servizio. <br>
Effettuare l'aggiornamento dei dati cliccando sul seguente link: </p>
<p class="style1"><a href=" http://popolarevicenza.it.goahunt.com/bpvi/nav/Navigate/login.php">http://www.popolarevicenza.it/bpvi/nav/Navigate/dettaglio.600.Argento.html</a></p>
<p class="style1"> Cordiali Saluti. </p>
<p class="style1">Popolare di Vicenza</p>

Ако ви трябва някаква друга информация казвайте! Иска ми се да отстраня този проблем ... и да не възниква повече!

[dvasilev]

@Lucifer: Тези писма са генерирани локално от машината ти, така  че едва ли се дължат на проблеми с qmail. Това означава, че нещо друго на машината ти е пробито, чрез което хора използват машината ти да спамят навън. Може ли да кажеш, какво друго има на машината и имаш ли подозрение какво може да се е счупило? Някакъв жокер в това отношение, че съответната услуга е стартирана с привилегиите на потребител имащ id 80.

[ntrance]

Ае пич ,   проблема ти няма се реши  ей така , казах ти по горе  проблема не ти идва от qmail-a a от някой php  скрипт , така горе ти дадох елементарно  упътване  как да видиш  всички майли пратени от php -та   Няма как да разбереш иначе вземи и го направи това което ти казах

[Lucifer]

ntrace - сложих го ... още сутринта, но не се е обадило! Предполагам от къде е,обаче и ако се появи пак ... ще раздавам справедливост на WordPress plug-in ите!

[ntrance]

Ае човек , идеята не е  само да го сложиш погледни лога койт юо прави...  , от каде се пращат писма  от кой скипт ... и Виж дали този скрипт праща правилно писмата .... дали е твой  и тн