作者 主題: 近日發現mail queue相當多,且有異常  (閱讀 4491 次)

0 會員 與 1 訪客 正在閱讀本文。

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
SMTP 為 Postfix
有設定不允許 Relay
且有啟用 AUTH
其中 main.cf 內 mynetworks 設定為
mynetworks = 219.84.24.50, 192.168.1.0/22 ,127.0.0.0/8 , hash:/etc/postfix/access

219.84.24.50 為 Mail Server 的真實IP位置
192.168.1.0/22 為內部網段

發現 queue 信件,大部分都如下:
以下內容是 cat 出來的

代碼: [選擇]

*** ENVELOPE RECORDS 3B2251F902B ***
message_size:            1664            1048              15               0
message_arrival_time: Thu Mar  8 10:49:24 2007
sender: btgf_bpzsl@xuite.net
named_attribute: client_name=NK219-91-72-152.adsl.dynamic.apol.com.tw
named_attribute: client_address=219.91.72.152
named_attribute: message_origin=NK219-91-72-152.adsl.dynamic.apol.com.tw[219.91.72.152]
named_attribute: helo_name=219.84.24.50
named_attribute: protocol_name=SMTP
warning_message_time: Thu Mar  8 11:49:24 2007
original_recipient: nbut1a@ms16.hinet.net
recipient: nbut1a@ms16.hinet.net
original_recipient: next@nextbusiness.com.tw
done_recipient: next@nextbusiness.com.tw
original_recipient: lvqzvem.qhj@msa.hinet.net
done_recipient: lvqzvem.qhj@msa.hinet.net
original_recipient: marshal@ms14.hinet.net
recipient: marshal@ms14.hinet.net
original_recipient: nschey@cm1.hinet.net
done_recipient: nschey@cm1.hinet.net
original_recipient: owner-yoho1@iclubs.com.tw
recipient: owner-yoho1@iclubs.com.tw
original_recipient: lieyow@ms56.hinet.net
done_recipient: lieyow@ms56.hinet.net
original_recipient: oikhsiad@ms11.hinet.net
recipient: oikhsiad@ms11.hinet.net
original_recipient: light12@ms51.hinet.net
recipient: light12@ms51.hinet.net
original_recipient: miketed@ms1.hinet.net
done_recipient: miketed@ms1.hinet.net
original_recipient: nc018174@ms31.hinet.net
done_recipient: nc018174@ms31.hinet.net
original_recipient: liou1018@ms12.hinet.net
recipient: liou1018@ms12.hinet.net
original_recipient: maxeric@mail.systex.com.tw
done_recipient: maxeric@mail.systex.com.tw
original_recipient: lh888@ms23.hinet.net
recipient: lh888@ms23.hinet.net
original_recipient: menglin@seed.net.tw
done_recipient: menglin@seed.net.tw
*** MESSAGE CONTENTS 3B2251F902B ***
Received: from 219.84.24.50 (NK219-91-72-152.adsl.dynamic.apol.com.tw [219.91.72.152])
        by mydomain.com.tw (Postfix) with SMTP id 04DB81F900F;
        Thu,  8 Mar 2007 10:49:24 +0800 (CST)
From: "大強" <mmg_eyu@xuite.net>
To: "nbut1a@ms16.hinet.net" <nbut1a@ms16.hinet.net>
Subject: 提升業績自己來就行了!
Date: Thu, 08 Mar 2007 10:36:24 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="--=_zhvugTDypTR7H"
Message-Id: <20070308024924.04DB81F900F@mydomain.com.tw>
X-Virus-Scanner-From: btgf_bpzsl@xuite.net

----=_zhvugTDypTR7H
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit


<A href="http://&#x000077;&#x000077;&#x000077;&#x00002e;&#x000076;&#x00006f;&#x000076;&#x00006f;&#x000031;&#x00002e;&#x000069;&#x000064;&#x000076;&#x00002e;&#x000074;&#x000077;&#x00002f;&#x000077;&#x000065;&#x000062;&#x00002f;&#x00006c;&#x00006f;&#x000076;&#x000065;&#x00002f;&#x00006d;&#x000061;&#x000069;&#x00006c;&#x00002e;&#x000068;&#x000074;&#x00006d;" target=_blank>
<IMG src="http://&#x000077;&#x000077;&#x000077;&#x00002e;&#x000076;&#x00006f;&#x000076;&#x00006f;&#x000031;&#x00002e;&#x000069;&#x000064;&#x000076;&#x00002e;&#x000074;&#x000077;&#x00002f;&#x000077;&#x000065;&#x000062;&#x00002f;&#x00006c;&#x00006f;&#x000076;&#x000065;&#x00002f;&#x000074;&#x000069;&#x000074;&#x00006c;&#x000065;&#x00002e;&#x00006a;&#x000070;&#x000067;" border=0></A></P>
</table>
</center>
<img src="http://www.noedm.com/cm/sp_pk/sp.php" width=0 height=0>
<body>


----=_zhvugTDypTR7H--

*** HEADER EXTRACTED 3B2251F902B ***
*** MESSAGE FILE END 3B2251F902B ***


很奇怪的是,怎麼會這樣呢?

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5392
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
近日發現mail queue相當多,且有異常
« 回覆 #1 於: 2007-03-08 13:51 »
open relay.
你確定你的 mynetworks 設定是正確的? 後頭怎麼會接著 access?

你所謂的不能 relay, 也許只是你認為吧.

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
近日發現mail queue相當多,且有異常
« 回覆 #2 於: 2007-03-08 14:02 »
我的也會出現卡住的現象. 但我卡住的全都不是垃圾信. 和一般可以進出的信相比, 就是..主旨是亂碼. 對方銀行或公司另外發過來的信都能正常過濾病毒後再轉寄給後面的postfix mail server.

目前懷疑卡信主機的效能不足...(準備換1U雙CPU雙核心, 1GB Memory, 2顆SAS 15K 72GB的來跑, 不然SATA-2 7200轉也可以..)

postfix + MailScanner + clamav, 除了 clamav 是最新版外, 其他都是 2005年搞的..

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5392
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
近日發現mail queue相當多,且有異常
« 回覆 #3 於: 2007-03-08 14:11 »
問題是... 樓主的信, 很明顯的就是 spam. 不是別人找到方法由外頭 relay, 就是內部的機器送的.
而上頭的內容, 也很明顯的可以看出是由外頭進來的. 要不是 auth smtp 被人猜到帳號密碼, 就是自己的 relay control 設定有問題. 看起來... 後者比較像吧.

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
近日發現mail queue相當多,且有異常
« 回覆 #4 於: 2007-03-08 14:19 »
樓主的 mynetworks 設定怪怪的....

躲在NAT後面的話, 不需要把真實IP也設進去吧...

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
近日發現mail queue相當多,且有異常
« 回覆 #5 於: 2007-03-08 14:29 »
感謝大家的回覆
1.會將 mynetworks 加入真實IP,是因為通常 openwebmail 寄出的信件 會是透
過 127.0.0.1 ,我不要讓他顯示這樣,所以我將 openwebmail 的設定
smtpserver 設定成,真實IP位置,然而在這種情況下  postfix 中的
mynetworks  設定 就必須加入 真實IP了,要不然會導致 openwebmail 信寄不出去

2.而 /etc/postfix/access  目前的內容如下:
dynamic.apol.com.tw     DISCARD We can't allow dynamic IP to relay!
dynamic.giga.net.tw     DISCARD We can't allow dynamic IP to relay!
dynamic.hinet.net       DISCARD We can't allow dynamic IP to relay!
dynamic.seed.net.tw     DISCARD We can't allow dynamic IP to relay!
dynamic.tfn.net.tw      DISCARD We can't allow dynamic IP to relay!
dynamic.ttn.net         DISCARD We can't allow dynamic IP to relay!
dynamic.lsc.net.tw      DISCARD We can't allow dynamic IP to relay!
dynamic.ebtnet.net      DISCARD We can't allow dynamic IP to relay!
dynamic.so-net.net.tw   DISCARD We can't allow dynamic IP to relay!

也沒有開放 Open Relay

所以現在才會一頭霧水...

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
近日發現mail queue相當多,且有異常
« 回覆 #6 於: 2007-03-08 14:35 »
樓主有先看過學園關於 postfix 的文章嗎? 你的 access 的內容, 我這邊是直接寫在 main.cf 裡. 我是看學園的文章的做法去設定的.

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5392
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
近日發現mail queue相當多,且有異常
« 回覆 #7 於: 2007-03-08 15:28 »
沒人說你的 access 內容有問題.
問題是.... 為什麼你的 access 會屬於 mynetworks 這個設定? 在那邊看到可以這樣用的?

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
近日發現mail queue相當多,且有異常
« 回覆 #8 於: 2007-03-09 11:38 »
忘了!之前網路上看到有人這樣用!

我現在從 mynetworks  將 access  給移除,再觀察看看!

謝謝各位指點!