J'en ai récemment reçu un Undelivered Mail Returned to Sender
en envoyant ma newsletter à l'un de mes 1500 clients. Mon site Web utilise une procédure de double opt-in pour s'assurer que l'utilisateur souhaite explicitement recevoir ma newsletter.
Le message d'erreur:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
J'ai reçu un exemple de courrier indésirable (du fournisseur de messagerie du serveur de réception):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
Le fournisseur a également déclaré que mon serveur semblait piraté. Il a en outre déclaré que "le serveur de messagerie destinataire a simplement enregistré le rDNS qui lui est présenté par l'IP de connexion, dans ce cas mail.com ([94.130.34.42])
" - ce qui n'est certainement PAS comme j'ai configuré mon entrée rDNS (mail.lotsearch.de) pour mon adresse IP. Donc, si j'ai bien compris rDNS, le serveur de messagerie receveur interroge l'IP de l'expéditeur pour une entrée rDNS (94.130.34.42 => devrait se résoudre en => mail.lotsearch.de, ce qu'il fait définitivement, lorsque je le teste depuis ma machine locale via $ host 94.130.34.42
).
Comment est-il possible d'usurper rDNS? Je ne peux pas imaginer comment cela peut fonctionner techniquement (uniquement avec une attaque man-in-the-middle quelque part dans l'infrastructure entre le serveur de messagerie récepteur et mon serveur).
Le fournisseur a également mentionné qu '"il est probable qu'une machine se connectant à partir de mon IP a été compromise et envoie ces messages via des connexions directes au serveur de messagerie du destinataire (également appelé MX direct)". Que veut direct MX
dire? Quelqu'un a volé ou trouvé une fuite d'informations d'identification de messagerie sur l'un de mes comptes de messagerie et les a utilisées pour l'envoi de courrier?
Ce que j'ai fait jusqu'à présent pour m'assurer que mon serveur n'est PAS / ne sera pas piraté:
- recherché les journaux de messagerie (
var/log/mail*
): rien de spécial là-dedans - vérifié les journaux de connexion ssh (
last
,lastb
): rien d'inhabituel - vérifié si postfix fait du relais: non il ne le fait pas (vérifié via telnet)
- vérifié pour les logiciels malveillants via clamav: aucun résultat
- fail2ban installé et configuré pour ssh, postfix et dovecot
- installé les derniers correctifs / mises à jour pour Ubuntu 16.04 (je le fais chaque semaine)
- vérifié si mon adresse IP est sur une liste noire: ce n'est pas
- entrée rDNS vérifiée dans la console de gestion de mon hébergeur: elle est correctement réglée sur
mail.lotsearch.de
. - mots de passe modifiés de tous les comptes de messagerie
- clés publiques modifiées pour l'accès au shell
Plus important: il n'y avait aucune information posteitaliane@test123.it
dans les journaux. Donc, si mon serveur avait été mal utilisé par un spammeur (par exemple en raison de la fuite d'informations d'identification smtp de l'un des comptes de messagerie), je verrais cela dans les fichiers journaux.
La dernière possibilité à laquelle je peux penser est qu'un intrus a placé un malware sur mon serveur que je n'ai pas encore trouvé.
Comment puis-je surveiller le trafic de courrier sortant (par processus et par port)?
Seule la surveillance du port sortant 25 n'aiderait pas car cela ne ferait que piéger les courriers irréguliers envoyés via postfix, mais pas le trafic de messagerie provoqué par une infection potentielle par un malware (si le malware utilise un autre port que 25 pour envoyer directement des mails / communiquer avec les serveurs de messagerie destinataires) . Si je surveille le trafic sortant sur tous les ports, j'aurai un moyen d'accéder à un énorme fichier journal que je ne peux pas rechercher efficacement pour une activité suspecte.
EDIT - Test ajouté pour relais ouvert:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
EDIT - Exécution d'applications Web
- Plateforme personnalisée basée sur Zend Framework 3 ( https://framework.zend.com/ )
- Mediawiki ( https://www.mediawiki.org/ )
- Mantis Bug Tracker ( https://www.mantisbt.org/ )