मैंने हाल ही Undelivered Mail Returned to Sender
में अपने 1500 ग्राहकों में से एक को अपना समाचार पत्र भेजते समय एक मिला । मेरी वेबसाइट यह सुनिश्चित करने के लिए एक डबल-ऑप्ट-इन प्रक्रिया का उपयोग करती है, उपयोगकर्ता स्पष्ट रूप से मेरा न्यूज़लेटर प्राप्त करना चाहते हैं।
त्रुटि संदेश:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
मुझे एक उदाहरण स्पैम मेल मिला (मेल करने वाले के मेल प्रदाता से):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
प्रदाता ने यह भी कहा, कि मेरा सर्वर हैक किया गया लगता है। उन्होंने आगे कहा, "प्राप्तकर्ता मेल सर्वर ने कनेक्टिंग आईपी द्वारा प्रस्तुत rDNS को केवल इस मामले में दर्ज किया है mail.com ([94.130.34.42])
" - जो निश्चित रूप से नहीं है क्योंकि मैंने अपने आईपी पते के लिए अपने rDNS प्रविष्टि (mail.lotsearch.de) को कॉन्फ़िगर किया था। इसलिए अगर मैंने rDNS को सही ढंग से समझा, तो रिसीविंग मेल सर्वर rDNS प्रविष्टि के लिए प्रेषक IP पर सवाल करता है (94.130.34.42 => को => mail.lotsearch.de को हल करना चाहिए, जो यह निश्चित रूप से करता है, जब मैं अपने स्थानीय मशीन के माध्यम से इसका परीक्षण करता हूं। $ host 94.130.34.42
)।
RDNS को स्पूफ करना कैसे संभव है? मैं किसी भी तरह से कल्पना नहीं कर सकता कि यह तकनीकी रूप से कैसे काम कर सकता है (केवल मेलस्वर और मेरे सर्वर के बीच बुनियादी ढांचे में कहीं-कहीं एक आदमी के बीच का हमला)।
प्रदाता ने यह भी उल्लेख किया, "यह संभावना है कि मेरे आईपी से जुड़ने वाली एक मशीन से समझौता किया गया है और इन संदेशों को सीधे प्राप्तकर्ता के माध्यम से प्राप्तकर्ता मेल गंभीर (जिसे प्रत्यक्ष एमएक्स के रूप में भी जाना जाता है) भेज रहा है"। क्या direct MX
मतलब है? मेरे मेल खातों में से किसी ने लीक किए गए मेल क्रेडेंशियल्स चुरा लिए या उनका उपयोग मेल भेजने के लिए किया?
मैंने अब तक यह सुनिश्चित करने के लिए क्या किया है कि मेरा सर्वर हैक नहीं हुआ है / हैक नहीं किया जाएगा:
- मेल लॉग खोजा (
var/log/mail*
): वहाँ कुछ खास नहीं है - जाँच की ssh लॉगिन लॉग (
last
,lastb
): असामान्य कुछ भी नहीं - जाँच की जाती है कि पोस्टफिक्स रिले करता है: नहीं यह नहीं है (टेलनेट के माध्यम से जाँच की जाती है)
- क्लैमव के माध्यम से मैलवेयर के लिए जाँच की गई: कोई परिणाम नहीं
- ssh, postfix और dovecot के लिए स्थापित और कॉन्फ़िगर किया गया fail2ban
- Ubuntu 16.04 के लिए नवीनतम पैच / अपडेट स्थापित करें (मैं हर हफ्ते ऐसा करता हूं)
- यदि मेरा IP पता किसी ब्लैकलिस्ट पर है तो जाँच की गई: यह नहीं है
- मेरे होस्टिंग प्रदाता के प्रबंधन कंसोल में सत्यापित rDNS प्रविष्टि: यह सही तरीके से सेट है
mail.lotsearch.de
। - सभी मेल खातों के परिवर्तित पासवर्ड
- शेल एक्सेस के लिए सार्वजनिक कुंजी बदली गई
अधिक महत्वपूर्ण: posteitaliane@test123.it
लॉग में कोई जानकारी नहीं थी । तो अगर मेरे सर्वर का स्पैममर द्वारा गलत इस्तेमाल किया गया होगा (मेल खातों में से किसी एक के लीक हुए smtp क्रेडेंशियल के कारण) मैं लॉग फाइलों में देखूंगा।
आखिरी संभावना जो मैं सोच सकता हूं, वह यह है कि एक घुसपैठिया मेरे सर्वर पर मैलवेयर रखता है जो मुझे अभी तक नहीं मिला।
मैं आउटगोइंग मेल ट्रैफ़िक (प्रति प्रक्रिया और प्रति पोर्ट) की निगरानी कैसे कर सकता हूं?
केवल आउटगोइंग पोर्ट 25 की निगरानी करने से मदद नहीं मिलेगी क्योंकि यह केवल पोस्टफ़िक्स के माध्यम से भेजे गए अनियमित मेल को ही फँसाएगा, लेकिन संभावित मैलवेयर संक्रमण के कारण मेल ट्रैफ़िक नहीं (यदि मैलवेयर सीधे मेल भेजने / प्राप्तकर्ता सर्वर से संचार करने के लिए 25 से अधिक पोर्ट का उपयोग करता है) । यदि मैं सभी बंदरगाहों पर आउटगोइंग ट्रैफ़िक की निगरानी करता हूं तो मुझे विशाल लॉग फ़ाइल का एक रास्ता मिलेगा, जिसे मैं संदिग्ध गतिविधि के लिए कुशलता से खोज नहीं सकता।
EDIT - खुले रिले के लिए जोड़ा गया परीक्षण:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
EDIT - रनिंग वेबैप्स
- Zend फ्रेमवर्क 3 ( https://framework.zend.com/ ) पर आधारित कस्टम प्लेटफॉर्म
- Mediawiki ( https://www.mediawiki.org/ )
- मंटिस बग ट्रैकर ( https://www.mantisbt.org/ )