2 votes

ceebee avatar

Déboguer ou désactiver l'authentification sendmail = SERVER

Demandé el 9 de Novembre, 2015
Quand la question a-t-elle été
683 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il semble que des gens envoient du spam à travers mon serveur de messagerie en utilisant l'authentification du serveur SMTP.

  • Je reçois des rebonds de courriers non distribués
  • Les rebonds contiennent les en-têtes Received: corrects de mon serveur de messagerie
  • Mon serveur de messagerie n'est pas un relais ouvert
  • J'ai changé les mots de passe de tous les comptes sur le serveur

En-têtes d'exemple du courrier d'origine :

Received: from mydomain.net ([190.236.249.21])
    (bits d'authentification=0)
    par mymailserver.net avec l'identifiant ESMTP tA9FuD9m015519
    pour ; Lun, 9 Nov 2015 16:56:34 +0100

L'IP ne m'appartient pas, en fait c'est du Pérou, et les mêmes types de courriers sont envoyés à partir d'IP en Inde, en Malaisie, etc.

Entrée correspondante dans le mail.log :

Nov  9 16:56:17 mymailserver sm-mta[15519]: AUTH=server, relais=[190.236.249.21], identifiant=my@email.net, mécanisme=PLAIN, bits=0
Nov  9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: from=, taille=428, classe=0, destinataires=1, msgid=, proto=ESMTP, démon=MTA, relais=[190.236.249.21]
Nov  9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: Milter insert (0): en-tête: Received-SPF: pass (mymailserver.net: connexion authentifiée) destinataire=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; envelope-from=my@email.net; x-logiciel=spfmilter 0.97 http://www.acme.com/software/spfmilter/ avec libspf-inconnu;
Nov  9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: from=, taille=451, classe=0, destinataires=1, msgid=<53E69BF1-310E-4814-BF49-311956EF726D@mydomain.net>, proto=ESMTP, démon=MTA, relais=[190.236.249.21]
Nov  9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: Milter insert (0): en-tête: Received-SPF: pass (mymailserver.net: connexion authentifiée) destinataire=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; envelope-from=my@email.net; x-logiciel=spfmilter 0.97 http://www.acme.com/software/spfmilter/ avec libspf-inconnu;

Je suis perplexe - je ne suis pas sûr comment ils obtiennent a) AUTH=server et b) identifiant=my@email.net. Mais je ne sais pas comment déboguer cela, et je ne trouve rien sur Google sur la désactivation de ce type d'authentification, tout se réfère uniquement à l'authentification des clients (ce que je fais) et à l'identification envers d'autres serveurs lorsque sendmail est un client (ce que je ne fais pas).

Demandé el 9 de Novembre, 2015 par ceebee

Réponse

Trop de publicités?

0voto

ceebee avatar
ceebee Points 41

Cela pourrait ne pas être général, mais lorsque nous avons finalement démantelé ce serveur, nous avons découvert un shell PHP qui avait été déposé via une faille WordPress. Il avait seulement été utilisé pour ajouter un utilisateur pour le retransmission de courrier dans la base de données sasl, autant que nous puissions en juger. Donc, si vous rencontrez un problème similaire, vérifiez absolument les rootkits et les droppers, et si vous avez le moindre doute que quelqu'un ait pu accéder à votre serveur, détruisez-le et reconstruisez-le.

Répondu el 13 de Février, 2020 par ceebee (41 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X