use*_*664 5 email centos postfix
昨天我在邮件日志中注意到以下消息时,只有 10,000 多个奇数点击:
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<tori>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<last>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
我像这样将 67.228.94.206 添加到我的防火墙
iptables -I RH-Firewall-1-INPUT -s 67.228.94.206 -j DROP
服务ip表保存
攻击立即停止,但在此过程中,它设法成功获取了用户帐户并开始对其进行欺骗。我删除了该用户帐户,但是它似乎仍然被欺骗,因为我收到了来自各种邮件服务器的退回电子邮件的淹没:
Jun 22 15:08:08 exi-svr-2 postfix/smtp[27219]: connect to vahoo.com[216.151.212.175]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27158]: connect to mail.gamdak.co.za[196.215.56.13]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: A72A61068460: to=<dbuttarazzi@keywordranking.com>, relay=none, delay=33839, delays=33839/0.13/0.51/0, dsn=4.4.1, status=deferred (connect to keywordranking.com[208.87.35.105]: Connection refused)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: connect to keywordranking.com[208.87.35.105]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27179]: 40A9C1068515: to=<jkminek@graintech-makeway.com>, relay=none, delay=32038, delays=32038/0.22/0.19/0, dsn=4.4.1, status=deferred (connect to graintech-makeway.com[50.116.103.74]: Connection refused)
我不完全确定如何解决这个问题以及我需要采取哪些预防措施来阻止这种情况的发生。我在其他地方读到过这种事情是不可避免的,并且可以通过不将这些消息捕获在日志中而几乎被忽略。我对这个解决方案并不完全满意。
我正在使用 Postfix、Dovecot、AMaViS、SpamAssassin 和 ClamAV 运行 CentOS 5.6。
如果邮件是从您的用户发送的,则外部服务器可能会向您发送错误。一旦他们看到用户不可用,他们就会停止。检查您的 postfix 队列以查看是否没有等待发送的邮件(通过mailq命令)
| 归档时间: |
|
| 查看次数: |
668 次 |
| 最近记录: |