Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Problem so spamom  (Přečteno 3708 krát)

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Problem so spamom
« kdy: 28 Února 2015, 16:57:13 »
Ahojte
Mám taky mali serverik na nom 4 domeny.
z nicoho nic som spozoroval ze mi emaily prestali chodit. tak som sa mrkol do logov a nasiel som tam pokoc toho ze mi to generuje strasne množstvo emailov.

Hladam po nete ako tomu zabraniť ale nic som nenasiel. skor som dospel do stadia ze som emaily uplne rozbil. Skusil som rekonfigurovať a nejak to spojazdnit ale uz to nechodi.

Moc sa mi nechce cely server preinstalovavat a pod... Chcel by som nejak dospiet k veci ako k to nejak spojazdnit.

Zaujimalo by ma hlavne ako zabezpecim to aby mi to negenerovale vseliake nahodne emaily ?
Kód: [Vybrat]
Feb 28 16:42:43 webserver postfix/qmgr[3849]: B0952149752B: from=<elvira_jackson@domain.tld>, size=780, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0FA0014922AE: from=<johanna_carney@domain.tld>, size=834, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0C3371496186: from=<imogene_macias@domain.tld>, size=833, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: C1D42149A79C: from=<cornelia_villarreal@domain.tld>, size=771, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 7C1221494C5B: from=<susana_lamb@domain.tld>, size=766, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 104C71493A40: from=<jeri_lane@domain.tld>, size=791, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 526D2149683F: from=<estelle_stephens@domain.tld>, size=808, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 75B411498CAE: from=<audrey_burke@domain.tld>, size=732, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 77E44149A181: from=<della_johnson@domain.tld>, size=770, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: CA16E1493886: from=<ruthie_herman@domain.tld>, size=795, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: E72DC1496791: from=<nadine_bender@domain.tld>, size=748, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 16C681498F66: from=<sheri_graham@domain.tld>, size=732, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0DDCA1496F0C: from=<wendy_barnett@domain.tld>, size=765, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 3E31E14962EA: from=<veronica_king@domain.tld>, size=776, nrcpt=1 (queue active)

cely log ma okolo 1500MB a to som ho mazal vcera.
Pozeral som vseliake spamove filtre, hladal som rozne nastroje ale nic nevedel spraviť tak aby to negenerovalo. Dokonca neviem najst ani odkial to generuje.

PS: pouzivam postfix, dovecot

Za kazdu radu vopred ďakujem

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re:Problem so spamom
« Odpověď #1 kdy: 28 Února 2015, 18:04:39 »
Nekdo ti to prostrelil, tomu serveru nemuzes verit. Nejake maily jsou ted tvuj posledni problem.
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Re:Problem so spamom
« Odpověď #2 kdy: 28 Února 2015, 19:35:25 »
Ake navrhujes riešenie ?

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re:Problem so spamom
« Odpověď #3 kdy: 28 Února 2015, 19:53:54 »
Preinstalovat, pregenerovat privatni klice a sehnat nekoho kdo rozumi zabezpeceni serveru.
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Re:Problem so spamom
« Odpověď #4 kdy: 28 Února 2015, 20:03:05 »
Mam par otazok

1. Pripustme moznost ze sa to da odsrtanit. co by si ty robil ? nechcem prist o tie emaily co tam mam.
2. ak to uz mam preinstalovať ako by si spravil to že tie emaily chces preniest na druhy server ?


Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:Problem so spamom
« Odpověď #5 kdy: 28 Února 2015, 22:52:16 »
1. Stopni postfix  do doby kdy odstraníš probém
2. Zjisti odkus se injektují emaily ( www přes PHP  (phpmail, formulare, php shell atd ) nebo okradeným loginem k mailu,
3. oprav


  Zdroj bude v mail logu  uvidíš odkud se to připojilo a vychrlilo emaily do fronty.
jabber:  Armus69@jabber.cz

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Re:Problem so spamom
« Odpověď #6 kdy: 28 Února 2015, 23:26:27 »
Problém je ze v email logu nic takeho nieje odkial sa to berie

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:Problem so spamom
« Odpověď #7 kdy: 01 Března 2015, 13:53:02 »
ale musí být, aby to postfix převzal  tak tam bude uveden klient který to tomu postfixu předal.
 Co postal kompletní log.
 Také máme mail.info, mail.warn a mail.err. 


 ideálně můžeš vyhledat podle ID  toho mailu  viz poslední řádek 3E31E14962EA [/size]

[/size]
    grep [/size]3E31E14962EA /var/log/mail.log[/size]
--------------------------------------------------------------------------------------------------------------
Příkald:

grep 90A6D10E0D1 /var/log/mail.log
Mar  1 14:02:41 hs postfix/smtpd[30089]: 90A6D10E0D1: client=antirelay23.smtp.cz[81.95.105.153]
Mar  1 14:02:41 hs postfix/cleanup[30857]: 90A6D10E0D1: message-id=<22B10CDC62F5454BB6432532712E536B4BAE918D@EXCHSRV.xxxxxxxxxxx>
Mar  1 14:02:41 hs opendkim[26917]: 90A6D10E0D1: antirelay23.smtp.cz [81.95.105.153] not internal
Mar  1 14:02:41 hs opendkim[26917]: 90A6D10E0D1: not authenticated
Mar  1 14:02:42 hs postfix/qmgr[25620]: 90A6D10E0D1: from=<xxxxxxxxxxz>, size=7441801, nrcpt=1 (queue active)
Mar  1 14:03:03 hs postfix/smtp[30858]: 90A6D10E0D1: to=<xxxxxxxxxxxxxxxxxxxxxxx>, relay=127.0.0.1[127.0.0.1]:10024, delay=22, delays=0.81/0/0/21, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 4A5BF10E0D2)
Mar  1 14:03:03 hs postfix/qmgr[25620]: 90A6D10E0D1: removed

-------------------------------------------------------------------------------------------------------------------------------



« Poslední změna: 01 Března 2015, 14:09:35 od Armus69 »
jabber:  Armus69@jabber.cz

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Re:Problem so spamom
« Odpověď #8 kdy: 01 Března 2015, 17:52:31 »
Asi mi to spravne neloguje lebo ja jedine co vidim je tento vypis

Kód: [Vybrat]
grep 38084148EC44 /var/log/mail.log
Mar  1 06:36:54 webserver postfix/error[8209]: 38084148EC44: to=<jerminatorna@yahoo.com>, relay=none, delay=108743, delays=108743/0.02/0/0.3, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[98.138.112.34] while sending RCPT TO)

Dá sa to nejak nastavit nejak aby mi ukazoavalo s kadial to ide ?

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:Problem so spamom
« Odpověď #9 kdy: 01 Března 2015, 21:52:46 »
Opravdu máš ve všech mail log souborech jen jeden řádek?
jabber:  Armus69@jabber.cz

zvukarmiso

  • Návštěvník
  • Příspěvků: 79
Re:Problem so spamom
« Odpověď #10 kdy: 02 Března 2015, 07:12:48 »
Takto to vyzera v mail.log
Kód: [Vybrat]
Mar  2 02:23:17 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar  2 02:24:17 webserver postfix/smtp[32659]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=181324, delays=181265/28/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar  2 03:33:18 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar  2 03:34:18 webserver postfix/smtp[6457]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=185526, delays=185466/28/32/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar  2 04:44:19 webserver postfix/smtp[12622]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=189727, delays=189668/27/32/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar  2 05:53:20 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar  2 05:54:19 webserver postfix/smtp[18792]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=193927, delays=193867/28/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar  2 07:04:21 webserver postfix/smtp[25247]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=198128, delays=198070/27/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)

mail.info
Kód: [Vybrat]
Mar  2 07:04:21 webserver postfix/smtp[25247]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=198128, delays=198070/27/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)

err a warn su bez záznamu.
Všetkym emailovym kontam som pomenil hesla aj root a vsetko co s tym suvisii.

jmp

  • Host
Re:Problem so spamom
« Odpověď #11 kdy: 02 Března 2015, 07:49:46 »
viz odpovědi #1 a #3 ...

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re:Problem so spamom
« Odpověď #12 kdy: 02 Března 2015, 08:04:02 »
Ono v tom logu už asi nic moc nebude jiného, protože ten vznik bude v logu např. mail.log.1 nebo mail.log.2.gz či tak podobně. Tušil bych, že bude pěkně dlouhá fronta mailů, kterou se snaží dokolečka postfix odeslat.

Takže prvně bych se podíval do těla těch mailů odkud vlastně jsou, pak bych zrušil tuhle frontu pomocí
Kód: [Vybrat]
postsuper -d ALL

A pak zabezpečil server. Pokud se jedná o profláknuté heslo, už bych té instalaci moc nevěřil.
Může se ale taky jednat jen o otevřený relay například kvůli blbě nastaveným mynetworks v posfixu, nebo nechutně napsaný php script, který umožňuje rozesílání mailů na všechny strany ... ale to jsou všechno dohady.

Buď v uvedených souborech logu, nebo v těle toho deferred mailu bude uvedený původ.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Armus69

  • Aktivní člen
  • *
  • Příspěvků: 297
    • http://www.netlancers.cz
Re:Problem so spamom
« Odpověď #13 kdy: 02 Března 2015, 16:25:15 »
 1 vymaž frontu jak psal Merlin,
2. jak se rozesílání objeví znovu, pošli komplet log soubory a ne jen pár řádek.
jabber:  Armus69@jabber.cz

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re:Problem so spamom
« Odpověď #14 kdy: 08 Března 2015, 08:20:17 »
Nějaké novinky?
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

 

Provoz zaštiťuje spolek OpenAlt.