Naujausias pranešimas: Samba kritinis pažeidžiamumas
frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

SPAM laiškų siuntimo šaltinio identifikavimas PostFix serveryje

iv_almantasmiv_almantasm Super Moderator
edited 2021 sausio 12 Į Tipinės problemos
Problemos identikavimas

1. Pirmiausia prisijungte prie serverio su 'root' naudotoju. Įsitikinkite, kad serverio 'php.ini' faile yra įtraukta eilutė
mail.add_x_header = On

Šį failą greičiausiai rasite kataloge /etc/php5/cli/php.ini

2. Tuomet patikrinti serverio laiškų eilę galite su komanda:
mailq

3. Pateiktame rezultate matysite šiuo metu serverio siunčiamus laiškus. Rezultatas bus panašus į:
5CFC194C2D20*     422 Thu Feb 15 11:27:25  webmaster@domenas.com
                                         gavejas@domenas.lt

4. Norint matyti išsamesnę informaciją apie siunčiamą laišką išsirinkite vieną ID ir įveskite:
postcat -q <ID>

pavyzdžiui:
postcat -q 5CFC194C2D20

5. Šiuo atveju mums bus aktuali eilutė “X-PHP-Originating-Script”, kuri matoma laiško antraštėse. (Ši eilutė matysis, jei serverio nustatymuose bus įtraukta anksčiau minėta eilutė "mail.add_x_header = On"). Įveskite komandą:
postcat -q 5CFC194C2D20 | grep X-PHP-Originating-Script

ir gaunamas rezultatas bus panašus į:
X-PHP-Originating-Script: 45:spamas.php

Skaičius 45 nurodo, kuris Linux naudotojas atlieka siuntimą (UID), į pavadinimas "spamas.php", kuris failas atlieka laiškų siuntimą.

6. Taigi šiuo atveju telieka surasti reikiamą failą bei jį pašalinti. Žinoma, jei buvo įterptas vienas toks failas, tikėtina, kad Jūsų serveryje yra saugumo spragų, kurias reikėtų pašalinti.


7. Jei laiško antraštėse rezultatas, rezultatas "X-PHP-Originating-Script" nėra randamas, tai reikštų, kad greičiausiai nepageidaujamų laiškų siuntimui naudojamas ne įterptas žalingas kodas, tačiau viena iš pašto dėžučių. Įveskite komandą:
postcat -q 5CFC194C2D20 | grep sasl_username
Ji parodys, kurios pašto dėžutės prisijungimo duomenys buvo naudojami išsiunčiant laišką su ID 5CFC194C2D20.

Gautas rezultatas bus panašus į
named_attribute: sasl_username=info@mano-svetaine.lt

8. Taigi šiuo atveju reikėtų pakeisti pašto dėžutės "info@mano-svetaine.lt" prisijungimo duomenis, bei antivirusine programa patikrinti šio naudojo įrenginius iš kurių buvo jungtasi prie pašto dėžutės.

Laiškų išvalymas

1. Išvalyti siunčiamų laiškų eilę galėsite su komanda:
postsuper -d ALL

Jei serverio laiškų eilėje yra reikalingų laiškų, kuriuos gavėjai turi gauti, nepageidaujams laiškus galite ištrinti nurodant konkretaus nepageidaujamo laiško ID, pavyzdžiui:
postsuper -d 5CFC194C2D20
Pažymėtos temos:
Norėdami palikti komentarą, turite prisijungti arba registruokis.
Dedikuoti.lt
Šiame forume rasite informaciją kaip atlikti serverio administravimą, konfigūravimą, įvairių tarnybų bei papildomų aplikacijų diegimą. Taip pat pateiksime rekomendacijų, skirtų serverių saugumui, monitoringui ir optimizavimui. Kviečiame prisijungti prie dedikuotų serverių administratorių bendruomenės, dalyvauti diskusijose ir praplėsti savo žinias serverių administravimo srityje!
© 2007 - 2023 Dedikuoti.lt forumas, visos teisės saugumos.