ฉันเพิ่งได้รับหนึ่งUndelivered Mail Returned to Sender
ในขณะที่ส่งจดหมายข่าวของฉันไปยังหนึ่งใน 1,500 ลูกค้าของฉัน เว็บไซต์ของฉันใช้ขั้นตอนการเลือกเข้าคู่เพื่อให้แน่ใจว่าผู้ใช้ต้องการรับจดหมายข่าวของฉันอย่างชัดเจน
ข้อความแสดงข้อผิดพลาด:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
ฉันได้รับตัวอย่างจดหมายขยะ (จากผู้ให้บริการจดหมายของผู้รับอีเมล):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
ผู้ให้บริการยังกล่าวอีกว่าเซิร์ฟเวอร์ของฉันดูเหมือนจะถูกแฮ็ก เขากล่าวเพิ่มเติมว่า "เซิร์ฟเวอร์อีเมลผู้รับได้บันทึก rDNS ที่นำเสนอโดย IP ที่เชื่อมต่อในกรณีนี้mail.com ([94.130.34.42])
" - ซึ่งไม่แน่นอนเนื่องจากฉันกำหนดค่ารายการ rDNS ของฉัน (mail.lotsearch.de) สำหรับที่อยู่ IP ของฉัน ดังนั้นถ้าฉันเข้าใจ rDNS อย่างถูกต้องเซิร์ฟเวอร์การรับจะสอบถาม IP ของผู้ส่งสำหรับรายการ rDNS (94.130.34.42 => ควรแก้ไขเป็น => mail.lotsearch.de ซึ่งจะทำอย่างแน่นอนเมื่อฉันทดสอบจากเครื่องท้องถิ่นของฉันผ่านทาง$ host 94.130.34.42
)
เป็นไปได้ที่จะหลอก rDNS ได้อย่างไร ฉันไม่สามารถจินตนาการได้ว่าวิธีการนี้สามารถทำงานได้ทางเทคนิค (เฉพาะกับการโจมตีแบบคนกลางกลางบางแห่งในโครงสร้างพื้นฐานระหว่างเมลเซิร์ฟเวอร์ที่รับและเซิร์ฟเวอร์ของฉัน)
ผู้ให้บริการดังกล่าวยังกล่าวว่า "เป็นไปได้ว่าเครื่องที่เชื่อมต่อจาก IP ของฉันถูกโจมตีและส่งข้อความเหล่านี้ผ่านการเชื่อมต่อโดยตรงไปยังเซิร์ฟเวอร์จดหมายของผู้รับ (หรือที่เรียกว่า Direct MX)" อะไรdirect MX
หมายถึง? มีคนขโมยหรือพบข้อมูลประจำตัวของอีเมลที่รั่วไหลไปยังหนึ่งในบัญชีอีเมลของฉันและใช้พวกเขาสำหรับการส่งจดหมาย?
สิ่งที่ฉันได้ทำไปแล้วเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ของฉันไม่เป็น / จะไม่ถูกแฮ็ก:
- ค้นหาบันทึกจดหมาย (
var/log/mail*
): ไม่มีสิ่งใดในนั้น - ตรวจสอบบันทึกการเข้าสู่ระบบ ssh (
last
,lastb
): ไม่มีอะไรผิดปกติ - ตรวจสอบว่า postfix กำลังทำการส่งสัญญาณ: ไม่มีมันไม่ใช่ (ทำเครื่องหมายผ่าน telnet)
- ตรวจสอบมัลแวร์ผ่านทาง clamav: ไม่มีผลลัพธ์
- ติดตั้งและกำหนดค่า fail2ban สำหรับ ssh, postfix และ dovecot
- ติดตั้งแพทช์ / อัปเดตล่าสุดสำหรับ Ubuntu 16.04 (ฉันทำทุกสัปดาห์)
- ตรวจสอบว่าที่อยู่ IP ของฉันอยู่ในบัญชีดำหรือไม่: ไม่ใช่
- ได้รับการยืนยันรายการ rDNS
mail.lotsearch.de
ในคอนโซลการจัดการของผู้ให้บริการโฮสติ้งของเรามีการตั้งค่าอย่างถูกต้อง - เปลี่ยนรหัสผ่านของบัญชีเมลทั้งหมด
- เปลี่ยนพับลิกคีย์สำหรับการเข้าถึงเชลล์
สำคัญกว่า: ไม่มีข้อมูลเกี่ยวกับposteitaliane@test123.it
ในบันทึก ดังนั้นหากเซิร์ฟเวอร์ของฉันถูกผู้ใช้สแปมเมอร์ใช้ในทางที่ผิด (fe เนื่องจากข้อมูลประจำตัว smtp ที่รั่วไหลของหนึ่งในบัญชีอีเมล) ฉันจะเห็นว่าในไฟล์บันทึก
ความเป็นไปได้สุดท้ายที่ฉันคิดได้ก็คือผู้บุกรุกวางมัลแวร์ที่เซิร์ฟเวอร์ของฉันซึ่งฉันยังไม่พบ
ฉันจะตรวจสอบปริมาณการใช้งานจดหมายขาออก (ต่อกระบวนการและต่อพอร์ต) ได้อย่างไร
การตรวจสอบพอร์ตขาออก 25 เท่านั้นจะไม่ช่วยเท่านี้จะดักจับอีเมลที่ผิดปกติที่ส่งผ่าน postfix เท่านั้น แต่ไม่ใช่ปริมาณการรับส่งจดหมายที่เกิดจากการติดเชื้อมัลแวร์ที่อาจเกิดขึ้น (หากมัลแวร์ใช้พอร์ตอื่นมากกว่า 25 สำหรับการส่งอีเมลโดยตรง . หากฉันตรวจสอบปริมาณการใช้ข้อมูลขาออกในทุกพอร์ตฉันจะหาวิธีไปยังไฟล์บันทึกขนาดใหญ่ซึ่งฉันไม่สามารถค้นหากิจกรรมที่น่าสงสัยได้อย่างมีประสิทธิภาพ
แก้ไข - เพิ่มการทดสอบสำหรับรีเลย์แบบเปิด:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
แก้ไข - เรียกใช้ webapps
- แพลตฟอร์มที่กำหนดเองขึ้นอยู่กับ Zend Framework 3 ( https://framework.zend.com/ )
- Mediawiki ( https://www.mediawiki.org/ )
- Mantis Bug Tracker ( https://www.mantisbt.org/ )