最近我的qmail邮件服务器频繁出错,检查服务器发现邮箱服务器类似如下结果
/service/qmail-send: up (pid 3638) 11383 seconds
/service/qmail-send/log: up (pid 3640) 11383 seconds
/service/qmail-smtpd: up (pid 3635) 11383 seconds
/service/qmail-smtpd/log: up (pid 3641) 11383 seconds
messages in queue: 22247
messages in queue but not yet preprocessed: 100
查看smtp日志,发现有很多类似如下的日志
@400000004bb9821e31dd210c CHKUSER relaying rcpt: from
<:>
remote
<hfkdgfb.com:unknown:59.35.103.66>
rcpt <>
: client allowed to relay
再看看 qmail日志:
@400000004bb9d3653112a904 delivery 2993: deferral:
Connected_to_203.188.197.10_but_greeting_failed./Remote_host_said:_421_4.7.1_[TS03]_All_messages_from_122.11.48.155_will_be_permanently_deferred;_Retrying_will_NOT_succeed._See_http://postmaster.yahoo.com/421-ts03.html/
于是我判定为我的服务器被人利用成了垃圾邮件转发服务器了,可是别人是通过手段来达到的呢?我去请教大麻兄,他说从日志上来看,我的垃圾邮件发送者已经通过了账号审核了,我百思不得其解。
更新qmail-smtpd模块,没有效果,研究了N天spamassassin ,并且加入了N多的rblsmtpd过滤,痛苦的通过ip屏蔽的方法。
今天测试smtp验证的时候,我想如果我利用的账号冒充别人的账号发送会是一个什么效果,结果发现日志的格式和
@400000004bb9821e31dd210c CHKUSER relaying rcpt: from
<sasdfasdf@zzg.com:lee:>
remote
<luoqifeng658:unknown:12.34.56.78>
rcpt <poguntakki@sina.com>
: client allowed to relay
雷同,解决问题的方法出现了,我发现后面有一个lee,正是这个lee救了我,因为我的账号就是lee@,然后我分析了所有的日志,发现所有的垃圾邮件都是格式的,正常日志中,email地址后面的名字应该是邮箱地址的账号名,于是我确认是test@这个email账号被黑客破解导致。
再观察收信的smtp转发到本地服务器的日志为:
@400000004bb9820235220ef4 CHKUSER accepted rcpt: from <::> remote <AJSQUVOIXP:unknown:112.149.175.93> rcpt <lee@mydomain.com> : found existing recipient
那个地方是个冒号。
我的服务器终于安全了 捏一把汗。