作者 主題: [求救]mailq出現別人的帳號(好像被當跳板了?)  (閱讀 5872 次)

0 會員 與 1 訪客 正在閱讀本文。

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
在mailq裡面總是塞滿了幾千封的信件,而且寄件者跟收信者均不是我們主機內的帳號... 造成主機正常帳號無法順利收發信件...
請問該怎麼樣檢查是哪裡的設定出了問題呢??

我在http://spam.gsnmm.gov.tw/cgi-bin/relayall.cgi的網頁上測試Open Relay是顯示:很好,有拒絕relay.
主機也有設定認證AUTH

下面是我列出其中一封郵件檔頭的內容:
(211.78.82.201是我的郵件主機IP,但該IP後面括號中的124.11.145.37是我不認識的IP...且寄件者均是來自gmail,然後內容全都是這類垃圾廣告信,收件者也是一長串的其他網域的使用者...)

收信時間:   17/02/10 02:01:50
收信主機:   mail.jmag.com.tw
上層主機IP:   124.11.145.37

郵件路由:   
IP / 主機名稱 / 國家
124.11.145.37 / 124-11-145-37.dynamic.tfn.net.tw / Taiwan
175.100.143.36 / (Reverse Lookup Failed) / India

ID:   AF0BF73C414.A968C
郵件檔頭:   Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37]) by mail.jmag.com.tw (Postfix) with SMTP id AF0BF73C414; Wed, 17 Feb 2010 00:52:11 +0800 (CST) Received: from dns0.yahoo.com.tw (dns0.yahoo.com.tw [175.100.143.36]) by with Microsoft SMTPSVC(5.0.2195.6824); Thu, 10 Jan 2002 21:56:32 -0100 Message-ID: Date: Fri, 11 Jan 2002 02:55:32 +0400 From: "Yahoo!奇摩拍賣" Reply-To: "Yahoo!奇摩拍賣" To: sh_mei0208@yahoo.com.tw, n53390187@yahoo.com.tw, met_992000@yahoo.com.tw, isabella1007@yahoo.com.tw, roda0529@yahoo.com.tw, sai90140@yahoo.com.tw, shiweich@yahoo.com.tw, hyde5236@yahoo.com.tw, old506.tw@yahoo.com.tw, rebeca725@yahoo.com.tw, o1b3033@yahoo.com.tw, play4917@yahoo.com.tw, qq780813@yahoo.com.tw, sing00136@yahoo.com.tw, m8279999@yahoo.com.tw, angel1995118@yahoo.com.tw Subject: DTC廣告經典款*純銀八心八箭美鑽項鍊*免運費 Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="--NextPartt_vq_oiqj_y_tuxpl8hq17n0kqe"
寄件者:   nruass@gmail.com
收件者:   sing00136@yahoo.com.tw,sai90140@yahoo.com.tw,rebeca725@yahoo.com.tw,met_992000@yahoo.com.tw,m8279999@yahoo.com.tw,roda0529@yahoo.com.tw,play4917@yahoo.com.tw,isabella1007@yahoo.com.tw,o1b3033@yahoo.com.tw,old506.tw@yahoo.com.tw,shiweich@yahoo.com.tw,hyde5236@yahoo.com.tw,n53390187@yahoo.com.tw,sh_mei0208@yahoo.com.tw,qq780813@yahoo.com.tw,angel1995118@yahoo.com.tw
主旨:   DTC廣告經典款*純銀八心八箭美鑽項鍊*免運費
大小:   3679

列出此IP 124.11.145.37在maillog的信件內容:

Feb 17 03:13:29 mail postfix/cleanup[16354]: 3A13D73C3A8: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 3A13D73C3A8;??Wed, 17 Feb 2010 03:13:29 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<rcgnu@gmail.com> to=<g751216@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:30 mail postfix/smtpd[13019]: 53B9273C3B1: client=124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]
Feb 17 03:13:30 mail postfix/cleanup[16792]: 53B9273C3B1: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 53B9273C3B1;??Wed, 17 Feb 2010 03:13:30 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<houhcirpykzp@gmail.com> to=<fmyang7777@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:31 mail postfix/smtpd[13019]: 3B91173C3BE: client=124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]
Feb 17 03:13:31 mail postfix/cleanup[16354]: 3B91173C3BE: hold: header Received: from 211.78.82.201 (124-11-145-37.dynamic.tfn.net.tw [124.11.145.37])??by mail.jmag.com.tw (Postfix) with SMTP id 3B91173C3BE;??Wed, 17 Feb 2010 03:13:31 +0800 (CST) from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]; from=<txilm@gmail.com> to=<f129095070@yahoo.com.tw> proto=SMTP helo=<211.78.82.201>
Feb 17 03:13:32 mail postfix/smtpd[13019]: disconnect from 124-11-145-37.dynamic.tfn.net.tw[124.11.145.37]

gwstudy

  • 活潑的大學生
  • ***
  • 文章數: 205
    • 檢視個人資料
你有用 SASL + TLS 嗎?你的 mail log 看不到 sasl_method,是否不用認證也可以寄?(可是你說又測過沒有 open relay) 另一個原因是否有人的帳號密碼被猜到了,spammer 用那帳號寄。

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
你有用 SASL + TLS 嗎?你的 mail log 看不到 sasl_method,是否不用認證也可以寄?(可是你說又測過沒有 open relay) 另一個原因是否有人的帳號密碼被猜到了,spammer 用那帳號寄。

感謝回覆!!

我是安裝postfix版本的:
1.SASL
2.Clamv
3.Spamassassin
4.Mailscanner
5.MailWatch
6.dovecot

請問檢察認證是否有啟用是不是只要telnet localhost 25就可以看見了? (250-AUTH LOGIN PLAIN)
代碼: [選擇]
[root@mail log]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.jmag.com.tw ESMTP "Version not Available"
ehlo localhost
250-mail.jmag.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
你有用 SASL + TLS 嗎?你的 mail log 看不到 sasl_method,是否不用認證也可以寄?(可是你說又測過沒有 open relay) 另一個原因是否有人的帳號密碼被猜到了,spammer 用那帳號寄。
若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

帳號密碼只是當成授權的方式, 透過 SMTP 寄送時, E-mail 名稱是可以假造的.

建議:
1. 先從主機把 .dynamic.tfn.net.tw 的 SMTP 檔掉.
2. 看 log 大量發信最早的時間點.
3. 在那個時間點前, 檢查 ssh / web / 任何可能猜帳號密碼的連線方式.
4. 防堵簡易的密碼或修補程式漏洞.
9999. 備份重要設定與資料, 必要時砍掉重練.
冷笑話: 我的 IP 是 127.0.0.1

gwstudy

  • 活潑的大學生
  • ***
  • 文章數: 205
    • 檢視個人資料
我是安裝postfix版本的:
1.SASL
2.Clamv
3.Spamassassin
4.Mailscanner
5.MailWatch
6.dovecot

請問檢察認證是否有啟用是不是只要telnet localhost 25就可以看見了? (250-AUTH LOGIN PLAIN)
代碼: [選擇]
[root@mail log]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.jmag.com.tw ESMTP "Version not Available"
ehlo localhost
250-mail.jmag.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

看樣子,你沒有裝 TLS,沒有強迫使用 TLS,有可能帳號密碼被看光光。密碼被看到或猜到就能用那帳號寄信出去了。最好你的 mail log 能記錄使用 smpt 送信的 user 帳號。

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
請問有沒有什麼指令可以一次就將*.dynamic.tfn.net.tw這個寄件者的MAILQ通通刪除呢?
已經被塞了五萬多封在裡面,動彈不得@@~

denise

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
我是安裝postfix版本的:
1.SASL
2.Clamv
3.Spamassassin
4.Mailscanner
5.MailWatch
6.dovecot

請問檢察認證是否有啟用是不是只要telnet localhost 25就可以看見了? (250-AUTH LOGIN PLAIN)
代碼: [選擇]
[root@mail log]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 mail.jmag.com.tw ESMTP "Version not Available"
ehlo localhost
250-mail.jmag.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

若是帳號被盜的話,那也應該是顯示我的網域吧,但這些廣告信均是*@gmail.com寄出的

看樣子,你沒有裝 TLS,沒有強迫使用 TLS,有可能帳號密碼被看光光。密碼被看到或猜到就能用那帳號寄信出去了。最好你的 mail log 能記錄使用 smpt 送信的 user 帳號。

請問要強迫使用TLS的設定是不是在postfix裡面設 smtp_tls_auth_only = yes ?


我加入TLS後使用Microsoft Office Outlook設為使用TLS驗證是可以寄信的,但使用Outlook Express設為使用SSL收信時卻會出現錯誤...
伺服器不支援SSL連線。
通訊協定: SMTP,伺服器回應: '250 DSN',連接埠: 25,安全(SSL): 是,伺服器錯誤: 250,錯誤碼: 0x800CCC7D
請問該如何設定才能讓Outlook Express可以正常寄信呢?


已找到原因了... 因為我PC上的防毒軟體avast不支援TLS... 關掉防毒後就可以寄信了... Orz
« 上次編輯: 2010-02-26 11:51 由 denise »