作者 主題: sendmail mqueue中有大量信件一直產生,無法解決  (閱讀 13109 次)

0 會員 與 1 訪客 正在閱讀本文。

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
各位大大好:

這二天, 我們的sendmail 主機, 遇到了一問題 , 在 /var/spool/mqueue , 有大量信件, 刪了, 又一直產生

用mailq 隨便舉一個佇列的信, 給大家看一下
n3N8twD1011663     2255 Thu Apr 23 16:56 <ganniwills001@gmail.com>
                 (reply: read error from btopi.com.)
                                         <kbuckner@btopi.com>
                                         <kbashat2001@yahoo.com>
                                         <kayworld32002@yahoo.com>
                                         <kaymoney2001@yahoo.com>
                                         <kayhairston2000@yahoo.com>
                                         <kayengeyenge@yahoo.fr>
                                         <kbrittain@home.com>
                                         <kcarmich@cln.etc.bc.ca>


它的寄信來源, 和收信來源 都不是我們的網域 ; 為什麼仍一直有大量信呢?

我檢查了relay , 我把它關到除了 127.0.0.1 完全沒有開放, 用http://verify.abuse.net/cgi-bin/relaytest 也查過, 是完全沒有relay

原本後來以為是 MailScanner 的問題, 把它升級到最新的, 仍是一樣

己經搞了二個整天了, 也查過很多資料, 就是找不到解決方法, 請教各位, 不勝感激


可憐的mis

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
補一下 log

Apr 23 17:45:53 mail sendmail[17228]: n3N8twD1011663: to=<kbuckner@btopi.com>, delay=00:49:35, xdelay=00:03:09, mailer=e
smtp, pri=1682634, relay=btopi.com. [207.189.104.89], dsn=4.0.0, stat=Deferred: Connection reset by btopi.com.
Apr 23 17:45:53 mail sendmail[17228]: n3N8twD1011663: to=<kayengeyenge@yahoo.fr>,<kayhairston2000@yahoo.com>,<kaymoney20
01@yahoo.com>,<kayworld32002@yahoo.com>,<kbashat2001@yahoo.com>, delay=00:49:35, xdelay=00:00:00, mailer=esmtp, pri=1682
634, relay=d.mx.mail.yahoo.com., dsn=4.0.0, stat=Deferred





Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
內部有人發廣告信?  ::)

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
就有 spam... 如果確定沒有 open relay, 就是內部的機器寄的或那台機器被入侵? 或網頁有漏洞被用來寄信吧.
一切都在你的 log 中, 自己慢慢找吧. 看同一個收件者最初的源頭的時間與記錄是由那個 ip 寄進來的吧.

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
您好,感謝您的回覆, 再請教一下, 底下的這個log, from 和to 都不是我們公司的網域, 也會是我們己經被當spam的跳版了嗎


Apr 23 21:02:41 mail sendmail[1439]: n3ND0fgY001439: from=<abbam001@gmail.com>, size=3234, class=0, nrcpts=50, msgid=<20
0904231300.n3ND0fgY001439@mail.order.com.tw>, proto=ESMTP, daemon=MTA, relay=[82.128.27.126]
Apr 23 21:02:41 mail sendmail[1439]: n3ND0fgY001439: to=<oconnju@alltel.net>, delay=00:01:50, mailer=esmtp, pri=1503234,
 stat=queued
Apr 23 21:02:41 mail sendmail[1439]: n3ND0fgY001439: to=<obarrett9@aol.com>, delay=00:01:50, mailer=esmtp, pri=1503234,
stat=queued
Apr 23 21:02:41 mail sendmail[1439]: n3ND0fgY001439: to=<obxlghthouselvr@aol.com>, delay=00:01:50, mailer=esmtp, pri=150
3234, stat=queued




slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
您好,感謝您的回覆, 再請教一下, 底下的這個log, from 和to 都不是我們公司的網域, 也會是我們己經被當spam的跳版了嗎

看起來很像被當廣告信主機了.

特徵: 第一封收件人都是 k 開頭的帳號, 第三封的收件人都是 o 開頭的帳號.
而且數量上看起來不像一般轉寄信件.

建議先將服務轉到其他主機上, 將這台機器處理好再上線.
冷笑話: 我的 IP 是 127.0.0.1

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Apr 23 21:02:41 mail sendmail[1439]: n3ND0fgY001439: from=<abbam001@gmail.com>, size=3234, class=0, nrcpts=50, msgid=<20

nrcpts=50, 好像這類寄信的程式, 都喜歡一次寄給 50 個人.
上頭這個 sendmail 的 queueid 是 n3ND0fgY001439, 就把 log 裡頭這個 id 的都抓出來, 看看最前頭是那邊來的吧.

依據經驗, 應該是 127.0.0.1 或是直接用 sendmail 指令寄來的居多.
如果你的機器上頭有 web server 在跑, 我想九成以前是經由 web 寄的. 也許是某個寄信的功能... 或者是有 webmail 之類的程式, 被 bot 猜到密碼後用來寄信了.

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
因為n3ND0fgY001439, 己經被我砍了, 我列其它的, 可以再幫我看一下嗎?
謝謝

V8
T1240495611
K1240496617
N1
P1592908
I8/1/9048474
MUser unknown
Fs
$_ml82.128.3.240.multilinks.com [82.128.3.240]
$rESMTP
$sUser
${daemon_flags}
${if_addr}192.168.1.246(我們公司的虛擬ip)
S<ukbello101@gmail.com>
rRFC822; ballan@aplusdigitalmedia.com
RPFD:<ballan@aplusdigitalmedia.com>
MDeferred: 421 4.7.0 [TS01] Messages from 59.xxx.xxx.xxx(我們公司的實體ip) temporarily deferred due to user complaints - 4.16.55.1; see htt
p://postmaster.yahoo.com/421-ts01.html
rRFC822; ball813@btinternet.com
RPFD:<ball813@btinternet.com>
MDeferred: 421 4.7.1 - Connection refused - <59.xxx.xxx.xxx(我們公司的實體ip)> -  Too many concurrent connections from source IP
rRFC822; ballaire@maine.rr.com
RPFD:<ballaire@maine.rr.com>
rRFC822; ball_player_33@yahoo.com
RPFD:<ball_player_33@yahoo.com>
rRFC822; balla_chick26@yahoo.com
RPFD:<balla_chick26@yahoo.com>
rRFC822; balla_pinoys1@yahoo.com
RPFD:<balla_pinoys1@yahoo.com>
rRFC822; balla0540@yahoo.com
RPFD:<balla0540@yahoo.com>
rRFC822; balla14_00@yahoo.com
RPFD:<balla14_00@yahoo.com>
rRFC822; ballachick_25_4sho@yahoo.com
RPFD:<ballachick_25_4sho@yahoo.com>
MDeferred: 421 4.7.0 [TS01] Messages from 59.xxx.xxx.xxx(我們公司的實體ip) temporarily deferred due to user complaints - 4.16.55.1; see htt
p://postmaster.yahoo.com/421-ts01.html
rRFC822; balladeer712@yahoo.com
RPFD:<balladeer712@yahoo.com>
H?P?Return-Path: <<81>g>
H??Received: from User (ml82.128.3.240.multilinks.com [82.128.3.240])
        (authenticated bits=0)
        by mail.xxx我們公司.com.tw (8.13.8/8.13.8) with ESMTP id n3NE6gNU011509;
        Thu, 23 Apr 2009 22:06:51 +0800
H??Message-Id: <200904231406.n3NE6gNU011509@mail.xxx我們公司.com.tw>
H??Reply-To: <ukbello101@jmail.co.za>
H??From: "Uk Bello Esq."<ukbello101@gmail.com>
H??Subject: URGENT INFORMATION FOR YOU
H??Date: Thu, 23 Apr 2009 15:47:35 +0100
H??MIME-Version: 1.0
H??Content-Type: text/plain;
        charset="Windows-1251"
H??Content-Transfer-Encoding: 7bit
H??X-Priority: 3
H??X-MSMail-Priority: Normal
H??X-Mailer: Microsoft Outlook Express 6.00.2600.0000
H??X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
H??X-order-MailScanner-Information: Please contact the ISP for more information
H??X-order-MailScanner-ID: n3NE6gNU011509
H??X-order-MailScanner: Found to be clean
H??X-order-MailScanner-SpamCheck: not spam, SpamAssassin (cached,
        score=-989.475, required 6, autolearn=not spam, ADVANCE_FEE_1 0.00,
        ADVANCE_FEE_2 1.39, ADVANCE_FEE_3 3.34, ADVANCE_FEE_4 3.73,
        ALL_TRUSTED -1.80, BAYES_00 -2.60, FORGED_MUA_OUTLOOK 4.06,
        LOCAL_RCVD -1000.00, NA_DOLLARS 1.28, SUBJ_ALL_CAPS 1.00,
        TO_CC_NONE 0.13)
H??X-order-MailScanner-From: ukbello101@gmail.com
H??X-Spam-Status: No
.


twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
請找 sendmail 的 log, 不是找信件的內容.

代碼: [選擇]
Received: from User (ml82.128.3.240.multilinks.com [82.128.3.240])
        (authenticated bits=0)
        by mail.xxx我們公司.com.tw (8.13.8/8.13.酷 with ESMTP id n3NE6gNU011509;
        Thu, 23 Apr 2009 22:06:51 +0800

上頭這個 ip 的連線呢? 如果這筆 Received 是正確的, 那信應該是外頭來的吧. 那個 82 開頭的應該不會是你們內部的 ip 吧. 這樣看來, 也許是 open rely? 或者是有打開 auth smtp, 且密碼被猜到了吧.

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
因為n3ND0fgY001439, 己經被我砍了, 我列其它的, 可以再幫我看一下嗎?

目前看起來被當跳板是一個很可能的"結果", 但是問題點不在 sendmail 時,
個人建議把時間花在"修正問題", 而修正問題的方式不一定只有找出真正的問題點.
如果備份 -> 重灌 -> 上修正程式 -> 還原資料的時間很短, 直接砍掉重練也許比一直找不出問題快.

另外也多注意該主機是否有 CGI/ASP/PHP 等雙向連線的功能, 注意這些信件開始的時間點,
去找找網站或 login 記錄看看.

冷笑話: 我的 IP 是 127.0.0.1

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
/var/maillog 的記錄, 跟n3NE6gNU011509這封有關的, 如下

Apr 23 22:08:46 mail sendmail[11509]: n3NE6gNU011509: from=<ukbello101@gmail.com>, size=2908, class=0, nrcpts=50, msgid=
<200904231406.n3NE6gNU011509@mail.我們公司.com.tw>, proto=ESMTP, daemon=MTA, relay=ml82.128.3.240.multilinks.com [82.128.3.
240]
Apr 23 22:08:46 mail sendmail[11509]: n3NE6gNU011509: to=<ballan@alice.it>, delay=00:01:55, mailer=esmtp, pri=1502908, s
tat=queued
Apr 23 22:08:46 mail sendmail[11509]: n3NE6gNU011509: to=<ball457@aol.com>, delay=00:01:55, mailer=esmtp, pri=1502908, s
tat=queued
Apr 23 22:08:46 mail sendmail[11509]: n3NE6gNU011509: to=<ball481@aol.com>, delay=00:01:55, mailer=esmtp, pri=1502908, s
tat=queued
Apr 23 22:08:46 mail sendmail[11509]: n3NE6gNU011509: to=<balla100game@aol.com>, delay=00:01:55, mailer=esmtp, pri=15029
08, stat=queued
........
..省略..
........

Apr 23 22:14:49 mail MailScanner[12162]: Message n3NE6gNU011509 from 82.128.3.240 (ukbello101@gmail.com) ignored whiteli
st, had 50 recipients (>20)
Apr 23 22:14:49 mail MailScanner[12162]: SpamAssassin cache hit for message n3NE6gNU011509

Apr 23 22:14:55 mail MailScanner[12162]: Logging message n3NE6gNU011509 to SQL

Apr 23 22:16:31 mail sendmail[12212]: n3NE6gNU011509: to=<ballan@alice.it>, delay=00:09:40, xdelay=00:00:39, mailer=esmt
p, pri=1592908, relay=smtp.aliceposta.it. [85.33.2.53], dsn=2.0.0, stat=Sent ( <200904231406.n3NE6gNU011509@mail.我們公司.c
om.tw> Queued mail for delivery)

Apr 23 22:16:55 mail sendmail[12212]: n3NE6gNU011509: to=<ballanty4@aol.com>,<ballantine918@aol.com>,<ballamep2@aol.com>
,<ballaluva2004@aol.com>,<ballaholic037@aol.com>,<ballachik20@aol.com>,<ballablay8@aol.com>,<ballababyl@aol.com>,<balla1
00game@aol.com>,<ball481@aol.com>,<ball457@aol.com>, delay=00:10:04, xdelay=00:00:24, mailer=esmtp, pri=1592908, relay=m
ailin-01.mx.aol.com. [64.12.137.169], dsn=5.0.0, stat=Service unavailable

Apr 23 22:17:00 mail sendmail[12212]: n3NE6gNU011509: to=<ballads@arcacompanies.com>, delay=00:10:09, xdelay=00:00:05, m
ailer=esmtp, pri=1592908, relay=arcacompanies.com....und10.mxlogic.net. [208.65.144.2], dsn=5.0.0, stat=Service unavaila
ble

Apr 23 22:17:08 mail sendmail[12212]: n3NE6gNU011509: to=<ball379@bellsouth.net>, delay=00:10:17, xdelay=00:00:08, maile
r=esmtp, pri=1592908, relay=gateway-f1.isp.att.net. [204.127.217.16], dsn=5.0.0, stat=Service unavailable
Apr 23 22:17:08 mail sendmail[12460]: n3NEH7C1012460: from=<gilgameshfdf@swany.ne.jp>, size=18466, class=0, nrcpts=1, ms
gid=<000d01c9c423$993b2760$6400a8c0@gilgameshfdf>, proto=ESMTP, daemon=MTA, relay=[221.126.101.234]

Apr 23 22:17:10 mail sendmail[12212]: n3NE6gNU011509: to=<ball813@btinternet.com>, delay=00:10:19, xdelay=00:00:02, mail
er=esmtp, pri=1592908, relay=mx2.bt.mail.yahoo.com. [217.146.188.189], dsn=4.0.0, stat=Deferred: 421 4.7.0 [TS01] Messag
es from 59.124.72.246 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.
html

Apr 23 22:17:14 mail sendmail[12212]: n3NE6gNU011509: to=<ball5550@comcast.net>, delay=00:10:23, xdelay=00:00:04, mailer
=esmtp, pri=1592908, relay=mx2.comcast.net. [76.96.30.116], dsn=5.0.0, stat=Service unavailable



s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
因為這台server 上有600多個accout; 服務有太多了,  dns, ldap, openwebmail, mailscanner, spamassassin
, anitvirus,  所以不到不得以, 才會選擇重灌,

我有試過,關掉 httpd, 但mqueu仍 一直產生檔案, 我猜不是 web的問題,

感謝二位大大, 耐心幫我看, 真感動及感謝!



twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
不是有個 82 開頭的 IP 了嗎?
你真的確定你的 sendmail 不是 open relay 嗎? 如果是的話, 為什麼會那個 82 開頭的 ip 可以透過你的 smtp 來 relay?

或者再往前找找 relay=ml82.128.3.240.multilinks.com 看看, 如果有個 AUTH= 之類的 log, 上頭會有 authid 與 mech 的值, 那個就表示你們有打開 auth smtp, 而那個 authid 的使用者的密碼被猜出來了, 所以就透過這個帳號利用 auth smtp 來送信.
« 上次編輯: 2009-04-24 00:10 由 twu2 »

s2500110

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
嗯,沒錯, 問題應該解決了, 是 密碼被猜到的關係

之前因為log太龐大了, 不是很方便看 ;

朝 密碼被猜到 這個方向去 grep log , 再匯到excel 去排序一下, 看到有二個user 登入太頻繁,

測一下他的密碼, 果然帳號密碼是一樣的,

先停掉 MailScaner, sendmail 服務, 改了它的密碼 後  重開一下,  沒有再有 大量的信了, 問題解決了

(我覺得還是因為沒有 百分百 了解 所以 不能肯定問題出在那, 所以要花或說浪費時間, 在一個一個因素的排除)

......

感謝 這幾位回覆我的大大, 您的回答, 讓我有方向去找到答案,

再次感謝


timxn

  • 懷疑的國中生
  • **
  • 文章數: 72
    • 檢視個人資料
    • 睿碼資訊
sendmail預設的log太少,可以自行增加一些資訊,

例如來源IP,使用者認證ID.

代碼: [選擇]
LOCAL_CONFIG
Ksyslog syslog

LOCAL_RULESETS
Scheck_eoh
R$*     $: $(syslog SourceRoute=$&_", "auth_authen=$&{auth_authen}  $) $1

將以上設定加入sendmail.mc最後面,
執行m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
重新啟動sendmail.
log裡就會記錄來源IP(SourceRoute=$&_),使用者認證ID(auth_authen=$&{auth_authen})
就可以方便知道這封信的來源.及是否經由認證.

在queue裡的
$_ml82.128.3.240.multilinks.com [82.128.3.240]
就是來源IP.
但在queue裡是查不出是那個ID經由認證的,
因此還是要log下來,方便你的管理.

superdabin

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
可以查看看是否有帳號被盜用.
Apr 23 17:45:53 mail sendmail[17228]: n3N8twD1011663: to=<kbuckner@btopi.com>, delay=00:49:35, xdelay=00:03:09, mailer=e
smtp, pri=1682634, relay=btopi.com. [207.189.104.89], dsn=4.0.0, stat=Deferred: Connection reset by btopi.com.

#grep 207.189.104.89 maillog
找出207.189.104.89是使用哪一個帳號來寄信,及寄信方法
Feb  2 03:13:40 mail sendmail[3658]: AUTH=server, relay=btopi.com. [207.189.104.89] (may be forged), authid=test, mech=LOGIN, bits=0

找到的話就快改密碼或停用帳號吧.

Luke Lin

  • 活潑的大學生
  • ***
  • 文章數: 244
  • 性別: 男
  • 家裡的少爺
    • 檢視個人資料
找個設定,認証通過的,mail from不是自已的網域就拒絕。
你的問題,以前我前也有遇過,不過是其它套的郵件系統。
當好人叫行善  當壞人叫造孽 當爛好人叫自做孽

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
找個設定,認証通過的,mail from不是自已的網域就拒絕。

這個用處不大吧.
mail from 很容易假造, 一點都不難.
密碼不要太容易被猜到比較重要些.

Luke Lin

  • 活潑的大學生
  • ***
  • 文章數: 244
  • 性別: 男
  • 家裡的少爺
    • 檢視個人資料
找個設定,認証通過的,mail from不是自已的網域就拒絕。

這個用處不大吧.
mail from 很容易假造, 一點都不難.
密碼不要太容易被猜到比較重要些.
當然,有分輕重。只是避免使用者利用自已公司的郵件,卻改其它網域的來寄送郵件。算是變相的relay。
當好人叫行善  當壞人叫造孽 當爛好人叫自做孽