このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

迷惑メールの不正中継されてしまっています このメッセージに返信する
日時: 2017/01/27(Fri) 05:33
名前: くみ
URL:
SMTPがスパムの踏み台にされてしまっている様で非常に困っております。
※メール送信から届くまでに12時間から1日で、ログも2時間程で100MB位になります。

メール送受信共に時間を要する様になり、mailログを調べたところ肥大化しており、下記の様に不正中継で一杯になっておりました
【maillog抜粋】
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.tommy@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.style@hotmail.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.styler.de@hotmail.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.tawfik@hotmail.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.stanielewitz@live.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.tawfik@outlook.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.thielemann@t-online.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.stefan060391web@web.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)
Jan 27 04:26:28 server postfix/smtp[8417]: D9C332EC1EF: to=<de.topf@web.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=27176, delays=27176/0.07/0/0.53, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 480742FC7CB)

2014年頃にこちらのサイトを見てサーバ構築をして、特にメール関係は手を加えておりませんが、下記の通りsasl_authを入れているので、
送信の際は認証が必須なはずが、何故か認証なしで不正中継されてしまっている様です。

【main.cf】
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination

content_filter=smtp-amavis:[127.0.0.1]:10024
virtual_maps = hash:/etc/postfix/virtual
message_size_limit = 20971520

# cat /etc/sasl2/smtpd.conf
pwcheck_method: saslauthd
mech_list: plain login

sasl_authを入れているのに踏み台にされてしまっている様で、
メールもまともに使えず困っております。

詳しくは理解できていませんが、スパムが踏み台となり、糞詰まり状態で本来送受信するメールができなくなっているのではと考えております。
私が考える対応が必要なことは一不正中継できない様にさせる事?A糞詰まり状態のスパム(送信待ち?)の削除です。

尚、当方が構築した時は2014年だった為、現在の手順とは異なっている様です。
当時はcyrus-saslをインストールした記憶がございません。

どなたか助けて頂けませんでしょうか?
解決策をお教え頂きます様お願いします

CentOS release 6.8 (Final)になります。

以上、宜しくお願いします
記事編集 編集
Re: 迷惑メールの不正中継されてしまっています このメッセージに返信する
日時: 2017/01/27(Fri) 07:03
名前: aaa
URL:
>何故か認証なしで不正中継されてしまっている

不正中継されてるかここのサイトを確認。

http://www.rbl.jp/svcheck.php

不正中継されてるとがわかったら
saslauthdがうごいてないか?確認

ps -ef |grep saslauthdを実行してみる。


動いていれば下記出力
[redadmin@www ~]$ ps -ef |grep saslauthd
root 565 1 0 1月20 ? 00:00:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam
root 568 565 0 1月20 ? 00:00:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam
root 569 565 0 1月20 ? 00:00:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam
root 571 565 0 1月20 ? 00:00:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam
root 573 565 0 1月20 ? 00:00:00 /usr/sbin/saslauthd -m /run/saslauthd -a pa

動いてなければ下記(2)のCentOS6や5用で動かす。
http://centossrv.com/postfix.shtml

溜まったメールキューは強制削除するなり、
再配送させるなりする
やり方は下記を参考
http://jehupc.exblog.jp/19944472/

>cyrus-sasl
これはCentOS7だから関係ない。
記事編集 編集
Re: 迷惑メールの不正中継されてしまっています このメッセージに返信する
日時: 2017/01/28(Sat) 13:49
名前: くみ
URL:
aaa 様

ご教授ありがとうございます。

>不正中継されてるかここのサイトを確認。
>http://www.rbl.jp/svcheck.php

「全てのテストが行われました, no relays accepted.」となりました

>ps -ef |grep saslauthdを実行してみる。

root@server mailman]# ps -ef |grep saslauthd
root 4318 12408 0 13:11 pts/0 00:00:00 grep saslauthd
root 10484 1 0 Jan26 ? 00:00:02 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root 10490 10484 0 Jan26 ? 00:00:02 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root 10491 10484 0 Jan26 ? 00:00:02 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root 10492 10484 0 Jan26 ? 00:00:02 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam
root 10493 10484 0 Jan26 ? 00:00:01 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam

起動が確認できました

>溜まったメールキューは強制削除するなり、
>再配送させるなりする
>やり方は下記を参考
>http://jehupc.exblog.jp/19944472/

メールキューが26万ほどあり、手動で消せるレベルではなかったので全て削除致しました。
取り敢えず、時差なくメール送受信できる様になりました。
これで暫定的にはしのげそうです。ありがとうございました。

ただ、メールキューが随時50〜80あり、内容は下記といったものになります。
やはり、踏み台にされているのではないでしょうか?

F2D482E1810 984 Sat Jan 28 02:18:17 webmaster@***.com
(host mx4.hotmail.com[65.54.188.110] said: 421 RP-001 (BAY004-MC3F47) Unfortunately, some messages from ***.***.***.*** weren't sent. Please try again. We have limits for how many messages can be sent per hour and per day. You can also refer to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))
jreadus@live.com
(host mta5.am0.yahoodns.net[98.138.112.37] said: 421 4.7.0 [TSS04] Messages from ***.***.***.*** temporarily deferred due to user complaints - 4.16.55.1; see https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM command))
clmer1@frontiernet.net
(delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[98.136.217.203] while sending RCPT TO)
blackknightoftheforest@yahoo.com
leewatson38818@yahoo.com
n23a07@yahoo.com
theckman27@yahoo.com

F2DBB2E17A2 1025 Sat Jan 28 02:17:06 webmaster@***.com
(host mx1.hotmail.com[104.44.194.237] said: 421 RP-001 (SNT004-MC11F15) Unfortunately, some messages from ***.***.***.*** weren't sent. Please try again. We have limits for how many messages can be sent per hour and per day. You can also refer to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command))
zuozhuan-jc@hotmail.com
(host mx2.comcast.net[68.87.20.5] refused to talk to me: 554 resimta-ch2-25v.sys.comcast.net resimta-ch2-25v.sys.comcast.net ***.***.***.*** Comcast block for spam. Please see http://postmaster.comcast.net/smtp-error-codes.php#BL000000)
soonersjosh@comcast.net

先ほど、webmaster@***.comアカウント自体を削除しましたが、止まりません。/etc/shadowにもなし
※メールアカウント自体は3年前に既に削除済みで、今回はアカウントを削除しておりました。


また、maillogの肥大の原因については上記関連だけではなく、mailmanでループを繰り返しており、
tail -f で見ても目では追いつけない程の高速で下記の様なエラーを繰り返しております。

Jan 28 07:21:59 server postfix/local[31722]: 3C2082E1845: to=<mailman-owner@***.com>, relay=local, delay=0.2, delays=0.04/0.08/0/0.08, dsn=5.4.6, status=bounced (mail forwarding loop for mailman-owner@***.com)
Jan 28 07:21:54 server amavis[31966]: (31966-03-20) Passed CLEAN {RelayedInternal}, MYNETS LOCAL [::1]:35592 [::1] <mailman-bounces@***.com> -> <mailman-owner@***.com>, Message-ID: <20170127222134.343CB2E019A@mail.***.comt>, mail_id: nQhaAVsHhEfU, Hits: -, size: 51144, queued_as: A87752E182D, 201 ms
Jan 28 07:21:55 server amavis[31966]: (31966-03-21) Passed CLEAN {RelayedInternal}, MYNETS LOCAL [::1]:35594 [::1] <mailman-loop@***.com> -> <mailman-owner@***.com>, Message-ID: <20170127222151.D8D9D2E1322@mail.***.com>, mail_id: oLw8-whJXoUJ, Hits: -, size: 30611, queued_as: DA71A2E1839, 183 ms

尚、cat /etc/shadowで確認したところ、ユーザに「mailman」はございますが、「mailman-bounces」と「mailman-owner」がありません。
こちらの手順にある管理用メーリングリストでのリスト管理者のメールアドレス登録はしましたが・・・
「mailman-bounces」と「mailman-owner」のユーザ作成をしていない事が原因でしょうか?

また、今回の事象と関連しているか不明ですが、1週間程前からroot宛のメールを外部に転送しておりますが、
そちらも一切、飛ばなくなってしまいました。「echo test|mail root」をしても飛びません。

もう、何が何だか分からない状態です。
サーバがウィルスで蔓延してしまっているのでしょうか?

m(__)m
記事編集 編集
Re: 迷惑メールの不正中継されてしまっています このメッセージに返信する
日時: 2017/01/28(Sat) 15:34
名前: aaa
URL:
mailmanってつかったことがないからこれ以上よくわからんけど、
Mailmanから不正アクセスされてメールを送信してるんじゃないかな?
なんかの脆弱性をつかれたか?
http://centossrv.com/postfix-mailman.shtml

webサイトを表示できないようにして
maillogが肥大してないかみてみたら。

表示させない方法

# cd /etc/httpd/conf.d/
# mv mailman.conf mailman.conf_nouse
# httpd -t
# service httpd reload

元に戻す方法


# cd /etc/httpd/conf.d/
# mv mailman.conf_nouse mailman.conf
# httpd -t
# service httpd reload

それでもとまらないようだったら、
メールサーバーを止める
サーバー本体をネットから切り離なすとかして
調査することをお勧めします。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -