Postfix a spam (vyřešeno)

Ahoj, minuly tyzden som riesil u jedneho klienta podobny spam bordel. Po analyze servera som nasiel u neho problem ze to robil drupal verzia 7.3x. Do drupal adresarov boli nakopirovane rozne php subory a aj txt v php hex kodovani. Tieto subory sa volali navzajom. + to malo odkaz do adresara opt. ten bol ale prazdy. Nasiel som tam jeden binar subor a ten po analyze bol v rustine. Maldet nieco nasiel ale nie vsetko. Musel som to preliezt rucne a najst zmeny v datumoch adresarov. Odporucam zapnut v php.ini logovanie do nejakeho suboru a najdes probelm od kial to ide ak to ide cez php mail(). Alebo zakaz php mail(). Jozef

Do smtpd_relay_restrictions dejte permit_sasl_authenticated a zrušte permit_mynetworks. Ale dejte si pozor na to, že útočník nemusí posílat e-maily jen přes váš server, ale může se je pokoušet odesílat i přímo. Nejjednodušší je, když máte poštovní server na jiném počítači a zakážete webovému serveru komunikaci na port 25 na jinou IP adresu, než na váš server. Pokud jsou oba servery na jednom stroji, můžete spojení blokovat např. podle uživatele (uživateli Postfix povolit spojení na port 25 kamkoli, ostatním uživatelům jen na localhost).

12.11.2014 15:31 NN
Rozbalit Rozbalit vše Re: Postfix a spam

13.11.2014 11:38 pupala | skóre: 21
Rozbalit Rozbalit vše Re: Postfix a spam

Mám to všetko na jednom serveri. smtpd_relay_restriction použijem podľa doporučenia. Posiela to niekto z localhostu. Server má okrem root-a len dve systémové kontá, a tie sú OK. Takže zostáva apache resp. nejaké z web aplikácií virtual userov. Lebo odosielateľ sa neautentifikuje, t.j. pripája sa ako client=127.0.0.1. Chcel by som dosiahnuť stav, kedy sa legitímny serverový užívatelia nemusia autentifiikovať postfixu, ale web aplikácie by museli použiť autentifikáciu. A následne by som chcel, aby aj odchádzajúca pošta, ktorej autormi sú legitímny klienti môjho mail servera bola kontrolovaná amavis-om a spamasassinom. Len neviem ako. Inak firewalujem aj outgoing traffic, takže skutočne to išlo z portu 25. Ďakujem za pomoc.

13.11.2014 16:35 Filip Jirsák
Rozbalit Rozbalit vše Re: Postfix a spam

Web aplikace běží pod účtem, pod kterým běží webový server, takže jsou to také legitimní serveroví uživatelé. Můžete to teoreticky udělat tak, že webové aplikace se budou připojovat jen přes SMTP k lokálnímu serveru, a ti dva uživatelé nebudou používat protokol SMTP, ale budou spouštět přímo sendmail, který vloží e-mail přímo do fronty. To ale záleží na tom, jak ty dva systémové účty e-maily odesílají a zda to můžete upravit tak, aby používaly program sendmail. Jakmile použijete SMTP, server už neví nic o tom, který uživatel spojení navázal.

Dotaz: Postfix a spam

Odpovědi