Saya baru-baru mendapat satu Undelivered Mail Returned to Sender
saat mengirim buletin saya ke salah satu dari 1500 pelanggan saya. Situs web saya menggunakan prosedur opt-in ganda untuk memastikan, pengguna secara eksplisit ingin menerima buletin saya.
Pesan kesalahan:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
Saya mendapat contoh spam mail (dari penyedia mailserver penerima):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
Penyedia juga menyatakan, bahwa server saya tampaknya diretas. Dia lebih lanjut menyatakan, bahwa "server email penerima hanya mencatat rDNS yang disajikan kepadanya oleh IP penghubung, dalam hal ini mail.com ([94.130.34.42])
" - yang jelas BUKAN ketika saya mengkonfigurasi entri rDNS saya (mail.lotsearch.de) untuk alamat IP saya. Jadi jika saya mengerti rDNS dengan benar, server e-mail penerima meminta IP pengirim untuk entri rDNS (94.130.34.42 => harus menyelesaikan ke => mail.lotsearch.de, yang pasti, ketika saya mengujinya dari mesin lokal saya melalui $ host 94.130.34.42
).
Bagaimana mungkin melakukan spoof rDNS? Saya tidak dapat membayangkan bagaimana cara ini secara teknis dapat bekerja (hanya dengan serangan man-in-the-middle di suatu tempat di infrastruktur antara server surat penerima dan server saya).
Penyedia juga menyebutkan, bahwa "kemungkinan mesin yang menghubungkan dari IP saya telah dikompromikan dan mengirim pesan-pesan ini melalui koneksi langsung ke server mail penerima (juga dikenal sebagai MX langsung)". Apa direct MX
artinya Seseorang mencuri atau menemukan kredensial surat bocor ke salah satu akun surat saya dan menggunakannya untuk mengirim surat?
Apa yang telah saya lakukan sejauh ini untuk memastikan server saya TIDAK / tidak akan diretas:
- mencari log surat (
var/log/mail*
): tidak ada yang istimewa di sana - memeriksa log masuk ssh (
last
,lastb
): tidak ada yang aneh - dicek jika postfix tidak merelay: tidak tidak (diperiksa melalui telnet)
- memeriksa malware melalui clamav: tidak ada hasil
- diinstal dan dikonfigurasi fail2ban untuk ssh, postfix dan dovecot
- menginstal tambalan / pembaruan terbaru untuk Ubuntu 16.04 (saya melakukannya setiap minggu)
- memeriksa apakah alamat IP saya ada di daftar hitam: tidak
- entri rDNS yang diverifikasi di konsol manajemen penyedia hosting saya: diatur dengan benar ke
mail.lotsearch.de
. - kata sandi yang diubah dari semua akun email
- kunci publik yang diubah untuk akses shell
Lebih penting: Tidak ada informasi tentang posteitaliane@test123.it
dalam log. Jadi jika server saya akan disalahgunakan oleh spammer (karena bocornya smtp dari salah satu akun mail) saya akan melihatnya di file log.
Kemungkinan terakhir yang dapat saya pikirkan adalah bahwa seorang penyusup menempatkan malware di server saya yang belum saya temukan.
Bagaimana saya bisa memonitor lalu lintas surat keluar (per proses dan per port)?
Hanya memantau port keluar 25 tidak akan membantu karena ini hanya akan menjebak mail tidak teratur yang dikirim melalui postfix, tetapi tidak lalu lintas mail yang disebabkan oleh infeksi malware potensial (jika malware menggunakan port lain dari 25 untuk langsung mengirim email / berkomunikasi dengan server mail penerima) . Jika saya memantau lalu lintas keluar di semua port saya akan mendapatkan cara untuk file log besar yang saya tidak bisa mencari aktivitas mencurigakan secara efisien.
EDIT - Uji tambah untuk relai terbuka:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
EDIT - Menjalankan webapps
- Platform Kustom berdasarkan Zend Framework 3 ( https://framework.zend.com/ )
- Mediawiki ( https://www.mediawiki.org/ )
- Pelacak Bug Mantis ( https://www.mantisbt.org/ )