Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: zvukarmiso 28 Února 2015, 16:57:13
-
Ahojte
Mám taky mali serverik na nom 4 domeny.
z nicoho nic som spozoroval ze mi emaily prestali chodit. tak som sa mrkol do logov a nasiel som tam pokoc toho ze mi to generuje strasne množstvo emailov.
Hladam po nete ako tomu zabraniť ale nic som nenasiel. skor som dospel do stadia ze som emaily uplne rozbil. Skusil som rekonfigurovať a nejak to spojazdnit ale uz to nechodi.
Moc sa mi nechce cely server preinstalovavat a pod... Chcel by som nejak dospiet k veci ako k to nejak spojazdnit.
Zaujimalo by ma hlavne ako zabezpecim to aby mi to negenerovale vseliake nahodne emaily ?
Feb 28 16:42:43 webserver postfix/qmgr[3849]: B0952149752B: from=<elvira_jackson@domain.tld>, size=780, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0FA0014922AE: from=<johanna_carney@domain.tld>, size=834, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0C3371496186: from=<imogene_macias@domain.tld>, size=833, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: C1D42149A79C: from=<cornelia_villarreal@domain.tld>, size=771, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 7C1221494C5B: from=<susana_lamb@domain.tld>, size=766, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 104C71493A40: from=<jeri_lane@domain.tld>, size=791, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 526D2149683F: from=<estelle_stephens@domain.tld>, size=808, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 75B411498CAE: from=<audrey_burke@domain.tld>, size=732, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 77E44149A181: from=<della_johnson@domain.tld>, size=770, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: CA16E1493886: from=<ruthie_herman@domain.tld>, size=795, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: E72DC1496791: from=<nadine_bender@domain.tld>, size=748, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 16C681498F66: from=<sheri_graham@domain.tld>, size=732, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 0DDCA1496F0C: from=<wendy_barnett@domain.tld>, size=765, nrcpt=1 (queue active)
Feb 28 16:42:43 webserver postfix/qmgr[3849]: 3E31E14962EA: from=<veronica_king@domain.tld>, size=776, nrcpt=1 (queue active)
cely log ma okolo 1500MB a to som ho mazal vcera.
Pozeral som vseliake spamove filtre, hladal som rozne nastroje ale nic nevedel spraviť tak aby to negenerovalo. Dokonca neviem najst ani odkial to generuje.
PS: pouzivam postfix, dovecot
Za kazdu radu vopred ďakujem
-
Nekdo ti to prostrelil, tomu serveru nemuzes verit. Nejake maily jsou ted tvuj posledni problem.
-
Ake navrhujes riešenie ?
-
Preinstalovat, pregenerovat privatni klice a sehnat nekoho kdo rozumi zabezpeceni serveru.
-
Mam par otazok
1. Pripustme moznost ze sa to da odsrtanit. co by si ty robil ? nechcem prist o tie emaily co tam mam.
2. ak to uz mam preinstalovať ako by si spravil to že tie emaily chces preniest na druhy server ?
-
1. Stopni postfix do doby kdy odstraníš probém
2. Zjisti odkus se injektují emaily ( www přes PHP (phpmail, formulare, php shell atd ) nebo okradeným loginem k mailu,
3. oprav
Zdroj bude v mail logu uvidíš odkud se to připojilo a vychrlilo emaily do fronty.
-
Problém je ze v email logu nic takeho nieje odkial sa to berie
-
ale musí být, aby to postfix převzal tak tam bude uveden klient který to tomu postfixu předal.
Co postal kompletní log.
Také máme mail.info, mail.warn a mail.err.
ideálně můžeš vyhledat podle ID toho mailu viz poslední řádek 3E31E14962EA [/size]
[/size]
grep [/size]3E31E14962EA /var/log/mail.log[/size]
--------------------------------------------------------------------------------------------------------------
Příkald:
grep 90A6D10E0D1 /var/log/mail.log
Mar 1 14:02:41 hs postfix/smtpd[30089]: 90A6D10E0D1: client=antirelay23.smtp.cz[81.95.105.153]
Mar 1 14:02:41 hs postfix/cleanup[30857]: 90A6D10E0D1: message-id=<22B10CDC62F5454BB6432532712E536B4BAE918D@EXCHSRV.xxxxxxxxxxx>
Mar 1 14:02:41 hs opendkim[26917]: 90A6D10E0D1: antirelay23.smtp.cz [81.95.105.153] not internal
Mar 1 14:02:41 hs opendkim[26917]: 90A6D10E0D1: not authenticated
Mar 1 14:02:42 hs postfix/qmgr[25620]: 90A6D10E0D1: from=<xxxxxxxxxxz>, size=7441801, nrcpt=1 (queue active)
Mar 1 14:03:03 hs postfix/smtp[30858]: 90A6D10E0D1: to=<xxxxxxxxxxxxxxxxxxxxxxx>, relay=127.0.0.1[127.0.0.1]:10024, delay=22, delays=0.81/0/0/21, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 4A5BF10E0D2)
Mar 1 14:03:03 hs postfix/qmgr[25620]: 90A6D10E0D1: removed
-------------------------------------------------------------------------------------------------------------------------------
-
Asi mi to spravne neloguje lebo ja jedine co vidim je tento vypis
grep 38084148EC44 /var/log/mail.log
Mar 1 06:36:54 webserver postfix/error[8209]: 38084148EC44: to=<jerminatorna@yahoo.com>, relay=none, delay=108743, delays=108743/0.02/0/0.3, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[98.138.112.34] while sending RCPT TO)
Dá sa to nejak nastavit nejak aby mi ukazoavalo s kadial to ide ?
-
Opravdu máš ve všech mail log souborech jen jeden řádek?
-
Takto to vyzera v mail.log
Mar 2 02:23:17 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar 2 02:24:17 webserver postfix/smtp[32659]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=181324, delays=181265/28/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar 2 03:33:18 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar 2 03:34:18 webserver postfix/smtp[6457]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=185526, delays=185466/28/32/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar 2 04:44:19 webserver postfix/smtp[12622]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=189727, delays=189668/27/32/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar 2 05:53:20 webserver postfix/qmgr[3969]: EEA1A148A7EC: from=<sheena_wiggins@domain.tld>, size=1252, nrcpt=1 (queue active)
Mar 2 05:54:19 webserver postfix/smtp[18792]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=193927, delays=193867/28/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
Mar 2 07:04:21 webserver postfix/smtp[25247]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=198128, delays=198070/27/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
mail.info
Mar 2 07:04:21 webserver postfix/smtp[25247]: EEA1A148A7EC: to=<sdfs@sdgfj.com>, relay=none, delay=198128, delays=198070/27/31/0, dsn=4.4.1, status=deferred (connect to mail.sdgfj.com[123.100.7.24]:25: Connection timed out)
err a warn su bez záznamu.
Všetkym emailovym kontam som pomenil hesla aj root a vsetko co s tym suvisii.
-
viz odpovědi #1 a #3 ...
-
Ono v tom logu už asi nic moc nebude jiného, protože ten vznik bude v logu např. mail.log.1 nebo mail.log.2.gz či tak podobně. Tušil bych, že bude pěkně dlouhá fronta mailů, kterou se snaží dokolečka postfix odeslat.
Takže prvně bych se podíval do těla těch mailů odkud vlastně jsou, pak bych zrušil tuhle frontu pomocí
postsuper -d ALL
A pak zabezpečil server. Pokud se jedná o profláknuté heslo, už bych té instalaci moc nevěřil.
Může se ale taky jednat jen o otevřený relay například kvůli blbě nastaveným mynetworks v posfixu, nebo nechutně napsaný php script, který umožňuje rozesílání mailů na všechny strany ... ale to jsou všechno dohady.
Buď v uvedených souborech logu, nebo v těle toho deferred mailu bude uvedený původ.
-
1 vymaž frontu jak psal Merlin,
2. jak se rozesílání objeví znovu, pošli komplet log soubory a ne jen pár řádek.
-
Nějaké novinky?