Борьба со спамом рассылаемым через почтовый сервер
В один прекрасный день, позвонил ко мне провайдер и сообщил, что через наш сервер рассылается СПАМ. На сервере использовался exim4, поэтому, я сразу начал искать логи, чтоб просмотреть информацию о отправках.
Начал анализировать логи Exim4:
tail -f /var/log/exim4/mainlog - логи писем.
Как оказалось, из внешнего релея шла отправка писем, причем из ящиков, которые не были заведены в exim4.
Поэтому, я сразу с помощью файервола закрыл все порты, которые касаются почты.
После этого, очистил очередь от чуждых спамерских сообщений:
exipick -zi | xargs exim -Mrm //очистит все замороженные сообщения из очереди
exipick -i | xargs exim -Mrm //очистит все сообщения из очереди
Дальше, полез в конфиги exim4 и запретил отправку писем с других релеев, кроме локального сервера (у меня почтовые уведомления отправляют сайты).
Редактирую /etc/exim4/update-exim4.conf.conf :
dc_local_interfaces='127.0.0.1'
dc_readhost='localhost'
Перезагружаю exim4:
service exim4 restart
И теперь в логах вижу отторжение вредоносных писем:
2013-03-27 07:30:32 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F= rejected RCPT : relay not permitted
2013-03-27 07:30:35 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F= rejected RCPT : relay not permitted
2013-03-27 07:30:37 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F= rejected RCPT : relay not permitted
2013-03-27 07:30:37 unexpected disconnection while reading SMTP command from 118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] (error: Connection reset by peer)
2
Начал анализировать логи Exim4:
tail -f /var/log/exim4/mainlog - логи писем.
Как оказалось, из внешнего релея шла отправка писем, причем из ящиков, которые не были заведены в exim4.
Поэтому, я сразу с помощью файервола закрыл все порты, которые касаются почты.
После этого, очистил очередь от чуждых спамерских сообщений:
exipick -zi | xargs exim -Mrm //очистит все замороженные сообщения из очереди
exipick -i | xargs exim -Mrm //очистит все сообщения из очереди
Дальше, полез в конфиги exim4 и запретил отправку писем с других релеев, кроме локального сервера (у меня почтовые уведомления отправляют сайты).
Редактирую /etc/exim4/update-exim4.conf.conf :
dc_local_interfaces='127.0.0.1'
dc_readhost='localhost'
Перезагружаю exim4:
service exim4 restart
И теперь в логах вижу отторжение вредоносных писем:
2013-03-27 07:30:32 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F=
2013-03-27 07:30:35 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F=
2013-03-27 07:30:37 H=118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] F=
2013-03-27 07:30:37 unexpected disconnection while reading SMTP command from 118-232-93-18.dynamic.kbronet.com.tw [118.232.93.18] (error: Connection reset by peer)
2
Комментарии