मेरे सर्वर पर स्पैमर्स का पता लगाएं


12

मैंने हाल ही Undelivered Mail Returned to Senderमें अपने 1500 ग्राहकों में से एक को अपना समाचार पत्र भेजते समय एक मिला । मेरी वेबसाइट यह सुनिश्चित करने के लिए एक डबल-ऑप्ट-इन प्रक्रिया का उपयोग करती है, उपयोगकर्ता स्पष्ट रूप से मेरा न्यूज़लेटर प्राप्त करना चाहते हैं।

त्रुटि संदेश:

smtp; 554 ...
    Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
    refer to xyz.com if you feel this is in error.

मुझे एक उदाहरण स्पैम मेल मिला (मेल करने वाले के मेल प्रदाता से):

Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500

प्रदाता ने यह भी कहा, कि मेरा सर्वर हैक किया गया लगता है। उन्होंने आगे कहा, "प्राप्तकर्ता मेल सर्वर ने कनेक्टिंग आईपी द्वारा प्रस्तुत rDNS को केवल इस मामले में दर्ज किया है mail.com ([94.130.34.42])" - जो निश्चित रूप से नहीं है क्योंकि मैंने अपने आईपी पते के लिए अपने rDNS प्रविष्टि (mail.lotsearch.de) को कॉन्फ़िगर किया था। इसलिए अगर मैंने rDNS को सही ढंग से समझा, तो रिसीविंग मेल सर्वर rDNS प्रविष्टि के लिए प्रेषक IP पर सवाल करता है (94.130.34.42 => को => mail.lotsearch.de को हल करना चाहिए, जो यह निश्चित रूप से करता है, जब मैं अपने स्थानीय मशीन के माध्यम से इसका परीक्षण करता हूं। $ host 94.130.34.42)।

RDNS को स्पूफ करना कैसे संभव है? मैं किसी भी तरह से कल्पना नहीं कर सकता कि यह तकनीकी रूप से कैसे काम कर सकता है (केवल मेलस्वर और मेरे सर्वर के बीच बुनियादी ढांचे में कहीं-कहीं एक आदमी के बीच का हमला)।

प्रदाता ने यह भी उल्लेख किया, "यह संभावना है कि मेरे आईपी से जुड़ने वाली एक मशीन से समझौता किया गया है और इन संदेशों को सीधे प्राप्तकर्ता के माध्यम से प्राप्तकर्ता मेल गंभीर (जिसे प्रत्यक्ष एमएक्स के रूप में भी जाना जाता है) भेज रहा है"। क्या direct MXमतलब है? मेरे मेल खातों में से किसी ने लीक किए गए मेल क्रेडेंशियल्स चुरा लिए या उनका उपयोग मेल भेजने के लिए किया?

मैंने अब तक यह सुनिश्चित करने के लिए क्या किया है कि मेरा सर्वर हैक नहीं हुआ है / हैक नहीं किया जाएगा:

  • मेल लॉग खोजा ( var/log/mail*): वहाँ कुछ खास नहीं है
  • जाँच की ssh लॉगिन लॉग ( last, lastb): असामान्य कुछ भी नहीं
  • जाँच की जाती है कि पोस्टफिक्स रिले करता है: नहीं यह नहीं है (टेलनेट के माध्यम से जाँच की जाती है)
  • क्लैमव के माध्यम से मैलवेयर के लिए जाँच की गई: कोई परिणाम नहीं
  • ssh, postfix और dovecot के लिए स्थापित और कॉन्फ़िगर किया गया fail2ban
  • Ubuntu 16.04 के लिए नवीनतम पैच / अपडेट स्थापित करें (मैं हर हफ्ते ऐसा करता हूं)
  • यदि मेरा IP पता किसी ब्लैकलिस्ट पर है तो जाँच की गई: यह नहीं है
  • मेरे होस्टिंग प्रदाता के प्रबंधन कंसोल में सत्यापित rDNS प्रविष्टि: यह सही तरीके से सेट है mail.lotsearch.de
  • सभी मेल खातों के परिवर्तित पासवर्ड
  • शेल एक्सेस के लिए सार्वजनिक कुंजी बदली गई

अधिक महत्वपूर्ण: posteitaliane@test123.itलॉग में कोई जानकारी नहीं थी । तो अगर मेरे सर्वर का स्पैममर द्वारा गलत इस्तेमाल किया गया होगा (मेल खातों में से किसी एक के लीक हुए smtp क्रेडेंशियल के कारण) मैं लॉग फाइलों में देखूंगा।

आखिरी संभावना जो मैं सोच सकता हूं, वह यह है कि एक घुसपैठिया मेरे सर्वर पर मैलवेयर रखता है जो मुझे अभी तक नहीं मिला।

मैं आउटगोइंग मेल ट्रैफ़िक (प्रति प्रक्रिया और प्रति पोर्ट) की निगरानी कैसे कर सकता हूं?

केवल आउटगोइंग पोर्ट 25 की निगरानी करने से मदद नहीं मिलेगी क्योंकि यह केवल पोस्टफ़िक्स के माध्यम से भेजे गए अनियमित मेल को ही फँसाएगा, लेकिन संभावित मैलवेयर संक्रमण के कारण मेल ट्रैफ़िक नहीं (यदि मैलवेयर सीधे मेल भेजने / प्राप्तकर्ता सर्वर से संचार करने के लिए 25 से अधिक पोर्ट का उपयोग करता है) । यदि मैं सभी बंदरगाहों पर आउटगोइंग ट्रैफ़िक की निगरानी करता हूं तो मुझे विशाल लॉग फ़ाइल का एक रास्ता मिलेगा, जिसे मैं संदिग्ध गतिविधि के लिए कुशलता से खोज नहीं सकता।

EDIT - खुले रिले के लिए जोड़ा गया परीक्षण:

$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied

EDIT - रनिंग वेबैप्स


"अगर मैं सभी बंदरगाहों पर आउटगोइंग ट्रैफ़िक की निगरानी करूँ" ... क्यों? यह मेल सर्वर किस अन्य ट्रैफ़िक को भेज रहा है? क्या आप वाकई खुले रिले को कॉन्फ़िगर नहीं कर रहे हैं? और सर्वर पर मेल भेजने के लिए पहुंच वाले किसी ने भी क्रेडेंशियल लीक नहीं किया है?
डैनियल विड्रिक

@DanielWidrick mailserver को वेबसर्वर के रूप में भी उपयोग किया जाता है, इसलिए 443 और 80 पर ट्रैफ़िक भी संभव है। मुझे लगा कि मेरे सर्वर पर किसी तरह का मैलवेयर लगा है जो सीधे बाहरी मेल सर्वरों से संवाद कर रहा है (डिफ़ॉल्ट मेल सर्वर पोस्टफिक्स के जरिए नहीं)। खुले रिले के बारे में: मैंने अपने प्रश्न को उस चेक के साथ संपादित किया जिसे मैंने यह आश्वस्त करने के लिए किया था कि कोई खुला रिले नहीं है। आपके अंतिम प्रश्न का उत्तर देना कठिन है क्योंकि मैं अपने ग्राहकों के कंप्यूटरों के "स्वास्थ्य" के बारे में नहीं जानता (जहाँ मेरे सर्वर के मेल खाते कॉन्फ़िगर किए गए हैं) या यदि वे मैलवेयर / कीलॉगर से संक्रमित हैं जो क्रेडेंशियल्स प्राप्त करते हैं आदि
mfuesslin

डिस्क सस्ती है। आपकी स्थिति में एक वर्ष के लॉग को रखने के लिए एक वैध मामला है। उन्हें सीधे सर्वर से जहाज करने के लिए सिसालॉग आदि का उपयोग करने पर विचार करें।
क्रिग्गी

जवाबों:


13

इससे पहले कि मैं अपना सुझाव दूं, मैं आपके प्रदाता द्वारा आपसे कही गई बातों पर थोड़ा टिप्पणी करना चाहता हूं:

 Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100

यह इंगित नहीं करता है कि 94.130.34.42 के लिए रिवर्स DNS mail.com है (या था)। बल्कि, यह इंगित करता है कि एसएमटीपी ग्राहक mail.comइसकी HELO(या EHLO) लाइन में भेजा गया है । (एक अच्छी तरह से कॉन्फ़िगर किया गया मेल सर्वर ने इस कनेक्शन को पूरी तरह से अस्वीकार कर दिया होगा, लेकिन यह स्विसकॉम पर है, आप पर नहीं ...) यह लाइन किसी भी डीएनएस डीएनएस प्रविष्टि को इंगित नहीं करती है। यदि ऐसा होता, तो यह कोष्ठकों के भीतर प्रकट होता। उदाहरण के लिए:

Received: from mail-io0-f197.google.com (mail-io0-f197.google.com [209.85.223.197])

इस मामले में, पहला होस्टनाम वह है जो मेल सर्वर ने स्वयं की पहचान की है EHLO। दूसरा होस्टनाम उस समय रिवर्स डीएनएस है जिसे कनेक्शन बनाया गया था।

RFC 5321 सेक्शन 4.4 प्राप्त फॉर्मेट का प्रारूप बताता है: लाइन, एक औपचारिक व्याकरण के साथ।

आपके मामले में, कोई रिवर्स DNS दर्ज नहीं किया गया था। चूंकि आपके आईपी पते में एक पीटीआर रिकॉर्ड है, यह इसलिए हो सकता है क्योंकि उन्होंने इसे नहीं देखा था, या एक अस्थायी DNS विफलता थी।


अब, ऐसा प्रतीत होता है कि आप एक वेब होस्टिंग सेवा चलाते हैं और कई वेब ऐप हैं। यदि इनमें से एक समझौता किया जाता है, तो यह स्पैम भेजना शुरू कर सकता है। ये अक्सर अपने MX रिकॉर्ड्स और पोर्ट 25 को कनेक्ट करके दूरस्थ मेल सर्वरों से सीधे संबंध बनाते हैं, जैसे कि वे वास्तव में एक मेल सर्वर थे, बजाय स्थानीय मेल स्पूल या बंदरगाहों पर एक प्रमाणित मेल सेवा के 587 या 465 पर मेल पहुंचाने के लिए। के रूप में वैध वेब क्षुधा करते हैं।

एक तरीका है कि मैं इसे रोक देता हूं एक फ़ायरवॉल नियम को लागू करने से जो पोर्ट 25 पर आउटगोइंग कनेक्शन को रोकता है जब तक कि उपयोगकर्ता मेल सर्वर उपयोगकर्ता न हो। उदाहरण के लिए:

iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT

वेब ऐप्स अब दूरस्थ SMTP सर्वर पर सीधे मेल वितरित नहीं कर सकते, लेकिन स्थानीय मेल स्पूल या एक प्रमाणित मेल सेवा का उपयोग करना चाहिए।


आपके उत्तर के लिए धन्यवाद। मुझे iptablesपोस्टफ़िक्स और plesk उपयोगकर्ता को ईमेल भेजने के लिए नियम को निर्दिष्ट करने की आवश्यकता कैसे है (जैसा कि मुझे लगता है कि Plesk पैनल सीधे मेल भेजता है और पोस्टफ़िक्स के माध्यम से नहीं)। क्या पोस्टफ़िक्स के माध्यम से smtp के माध्यम से ईमेल भेजने के लिए crondaemon (मेरे cronjobs) को कॉन्फ़िगर करना भी संभव है? मैं cron उपयोगकर्ता को iptables (एक अन्य अपवाद के रूप में) में जोड़ना नहीं चाहता क्योंकि मेल ट्रैफ़िक को पोस्टफ़िक्स के माध्यम से जाना संभव होने के लिए अधिक सुरक्षित होगा। क्या त्रुटि लॉग भेजने के लिए crontab का उपयोग पोस्टफ़िक्स को करना संभव है? क्या मुझे सर्वरफॉल्ट पर यहां एक नए प्रश्न में डाल देना चाहिए?
mfuesslin

मुझे नहीं पता कि यह कैसे Plesk के साथ करना है। हम वैसे भी यहाँ Plesk के बारे में सवालों को नहीं संभालते
माइकल हैम्पटन

ठीक है, लेकिन अगर मैं कई उपयोगकर्ताओं को निर्दिष्ट करना चाहता हूं, जो पोर्ट 25 के माध्यम से डेटा भेजने की अनुमति देते हैं, तो क्या मैं सिर्फ iptables नियम की प्रतिलिपि बना सकता हूं और दूसरे उपयोगकर्ता के साथ एक दूसरे को जोड़ सकता हूं या क्या मुझे इसे एक नियम के भीतर निर्दिष्ट करना होगा?
14

शायद ऩही; मुझे लगता है कि आपको एक उपयोगकर्ता श्रृंखला बनानी होगी।
माइकल हैम्पटन

प्रदान किए गए iptables नियम के बारे में एक बात: क्या आप सुनिश्चित हैं कि हमें उपयोगकर्ता के लिए नियम निर्धारित करने की आवश्यकता नहीं है root? क्योंकि पोस्टफिक्स की मास्टर प्रक्रिया rootज्यादातर मामलों में चलती है । या पोस्टफ़िक्स मास्टर प्रक्रिया postfixईमेल भेजने / सामान करने के लिए -user का उपयोग करके उप- प्रक्रम का निर्माण करती है? मैंने आपके iptables नियम को आज़माया, ईमेल डिलीवर नहीं किए जा सके ... अगर मुझे ps -ef | grep "postfix"कुछ-कुछ postfixroot
उपप्रोसेस मिलते हैं

7

इस दिन और उम्र में, अपने स्वयं के मेल सर्वर को करने की कोशिश कर रहे हैं, अधिकांश भाग के लिए, एक हारने वाली लड़ाई और आप एक सस्ती सेवा खोजने से बेहतर हैं। यह कहने के बाद..

  • प्रदाता को जाने वाले अपने लॉग को देखें जिसने आपको अवरुद्ध किया है और देखें कि क्या आप कुछ भी संदिग्ध पा सकते हैं। यह संभव है, और अक्सर होता है, कि कोई भूल जाता है कि उन्होंने आपके न्यूज़लेटर की सदस्यता ली है और आपको स्पैम के रूप में चिह्नित किया है। फिर प्रदाता के आधार पर आप प्रदाता की ब्लैकलिस्ट पर प्राप्त कर सकते हैं, भले ही आपने कुछ भी गलत न किया हो।

  • अपने सभी अन्य ईमेल से दो मेलों में बड़े पैमाने पर मेलिंग करें।

  • न्यूनतम और बेहतर महीनों में हफ्तों तक लॉग रखें। तो कभी भी कुछ होता है आप अनुसंधान करते हैं।

  • किसी भी प्रदाता से समान स्थितियों के लिए दैनिक अपने लॉग की जाँच करें और इसे दैनिक या तेज़ी से देखें। आप एक अस्थायी ब्लॉक से एक स्थायी ब्लॉक तक जा सकते हैं .. एक ब्लैकलिस्ट को सूचित किया जा रहा है।

  • यह सुनिश्चित नहीं है कि वे इसे कैसे लागू करते हैं, लेकिन एक बात जो मुझे पता है कि कई प्रदाता आउटबाउंड मेल सेवाओं के लिए करते हैं, यह है कि दूसरा प्रदाता / आईपी एक ईमेल को ब्लॉक करता है फिर किसी अन्य ईमेल को भेजने की कोशिश नहीं की जाती है। आदर्श रूप से आप ऐसा कुछ चाहते हैं। क्योंकि दूसरा अवरुद्ध हो जाता है, अधिक भेजने से केवल समस्या बढ़ जाएगी।


4
@ mfuesslin Mailchimp उपयोग करने के लिए गलत प्लेटफ़ॉर्म होगा। Mailchimp एक Email Marketing Service है, जिसे आपको एक Transactional Email Service की आवश्यकता होती है। मैनड्रिल में देखें (उसी व्यक्ति के स्वामित्व में जो Mailchimp का मालिक है)। 25,000 ईमेल के ब्लॉक के लिए यह 20 डॉलर प्रति माह है। बहुत मूल्यवान नहीं। अपने खुद के आईपी पते से रोजाना कई ईमेल भेजने से केवल एक उच्च स्पैम-बॉक्स दर का परिणाम होगा ... यह एक हारी हुई लड़ाई है। आप कुछ भी नहीं करने के लिए एक पूरी टीम को रख सकते हैं, लेकिन हर दिन पूरे दिन आपकी वितरण दरों पर चलते हैं, और अभी भी एक लेन-देन सेवा का उपयोग करने के लिए उतना अच्छा नहीं है।
स्नेकडॉक

1
Serverfault.com का उपयोग करने वाले लोगों को एक मेल सर्वर चलाने में सक्षम होना चाहिए; ऐसा करना मुश्किल नहीं है। उस ने कहा, ऐसा नहीं लगता है कि मेल सर्वर गलती पर है, यह कुछ समझौता किए गए वेब पेज जैसा दिखता है जो सीधे स्पैम भेज रहा है।
वर्टेल

1
@ केवल इसलिए कि किसी को कुछ करने का ज्ञान है इसका मतलब यह नहीं है कि यह करने के लिए समझ में आता है। अगर आपको अपनी जरूरत के हिसाब से एक्स / महीने की सेवा मिल सकती है और आपको इसे खुद करने के लिए 4X / महीने का समय / प्रयास लगता है तो यह वास्तव में इसे खुद करने का कोई मतलब नहीं है।
फ्रांसिस्को

1
@ कर्टेल सक्षम? हाँ। लगातार इनबॉक्स में वितरित करना, एक दिन में 1500+ ईमेल भेजना? संदिग्ध, और शायद कोई नहीं - कोई भी यह नहीं कह रहा है कि आप इसे नहीं कर सकते ... केवल इसे अच्छी तरह से करने के लिए, लगातार, और समय की लंबी अवधि में, यह आपको $ 20 प्रति माह से बहुत अधिक खर्च करेगा ।
स्नेकडॉक

2
मैंने 15 वर्षों में इस तरह के सर्वर को बनाए रखा है, नियमित रूप से कई डोमेन के लिए प्रतिदिन संदेशों की गड़बड़ी के अलावा 30-50 हजार मेलिंगलिस्ट संदेश भेज रहा है, और मैं शायद ही कभी एक महीने (नियमित योग्यता उन्नयन के अलावा) एक घंटे से अधिक खर्च करता हूं। सर्वर वैसे भी कई वेबसाइटों की सेवा दे रहा है, इसलिए वहां कोई अतिरिक्त निवेश नहीं है। मैं थोड़ा दुखी हूं कि लोग उन चीजों को करने के लिए सेवाओं को खरीदने की वकालत कर रहे हैं जो आप आसानी से खुद कर सकते हैं। रास्ते में थोड़ी सीख के साथ कुछ भी गलत नहीं है।
11
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.