Postfix enviando SPAM pelo IP local 127.0.0.1 - Urgente

1. Postfix enviando SPAM pelo IP local 127.0.0.1 - Urgente

Sergio
tigerclaw3

(usa Outra)

Enviado em 21/09/2016 - 09:26h

Pessoal eu estou ficando louco, louco, louco, por favor me ajudem.
Eu configurei o Postfix, mas não entendo quase nada, estou sendo sincero.

O meu SPF estou normalizando hoje, esta com problemas.

Mas meu servidor esta enviando e-mails sem minha autorização, vejam mail.log:

Sep 21 04:20:24 cpro36057 postfix/smtpd[9103]: 2292311EAE3: client=localhost[127.0.0.1]
Sep 21 04:20:24 cpro36057 postfix/cleanup[9082]: 2292311EAE3: message-id=<20160921072024.2292311EAE3@meu_dominio.com.br>
Sep 21 04:20:24 cpro36057 postfix/qmgr[18684]: 2292311EAE3: from=<info@apple.dk>, size=9279, nrcpt=1 (queue active)
Sep 21 04:20:24 cpro36057 postfix/smtpd[9103]: disconnect from localhost[127.0.0.1]
Sep 21 04:20:24 cpro36057 postfix/smtpd[9103]: connect from localhost[127.0.0.1]

Sep 21 05:11:12 cpro36057 postfix/qmgr[18684]: 2AE8B11E182: from=<info@apple.dk>, size=9281, nrcpt=1 (queue active)
Sep 21 05:11:12 cpro36057 postfix/qmgr[18684]: 2F53011E249: from=<info@apple.dk>, size=9299, nrcpt=1 (queue active)
Sep 21 05:11:12 cpro36057 postfix/qmgr[18684]: 2DB3B11E1D7: from=<>, size=11263, nrcpt=1 (queue active)
Sep 21 05:11:12 cpro36057 postfix/qmgr[18684]: 250B811E129: from=<info@apple.dk>, size=9305, nrcpt=1 (queue active)
Sep 21 05:11:13 cpro36057 postfix/smtp[11937]: connect to gmail.dk[2800:3f0:4001:812::2005]:25: Network is unreachable
Sep 21 05:11:13 cpro36057 postfix/smtp[11927]: connect to apple.dk[17.178.96.17]:25: No route to host
Sep 21 05:11:14 cpro36057 postfix/smtp[11923]: 5548111E7C1: host mx1.gigahost.dk[89.186.169.167] said: 450 4.2.0 <u3vq1086oi9@trosfrihed.dk>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/trosfrihed.dk.ht
Sep 21 05:11:14 cpro36057 postfix/smtp[11928]: 5E0BB11E7DD: host mx1.gigahost.dk[89.186.169.167] said: 450 4.2.0 <u473zx4@trosfrihed.dk>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/trosfrihed.dk.html (
Sep 21 05:11:14 cpro36057 postfix/smtp[11929]: 5ED2B11E7D4: host mx3.gigahost.dk[185.130.99.12] said: 450 4.2.0 <u42j9ln8n1ys@trosfrihed.dk>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/trosfrihed.dk.ht
Sep 21 05:11:14 cpro36057 postfix/smtp[11660]: 55D5511E3EB: to=<info@eborneboger.dk>, relay=mail.eborneboger.dk[195.128.174.199]:25, delay=3259, delays=2957/0.24/301/0, dsn=4.4.2, status=deferred (conversation with mail.eborneboger.dk[19
Sep 21 05:11:14 cpro36057 postfix/smtp[11924]: 564A511E821: to=<u5e01fi@trosfrihed.dk>, relay=mx3.gigahost.dk[185.130.99.12]:25, delay=3129, delays=3127/0.1/1.7/0.78, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as F3D2768A349)
Sep 21 05:11:14 cpro36057 postfix/smtp[11925]: 5167B11E7DC: to=<u471okc@trosfrihed.dk>, relay=mx3.gigahost.dk[185.130.99.12]:25, delay=3136, delays=3134/0.17/1.7/0.75, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 09DD868A34B)
Sep 21 05:11:14 cpro36057 postfix/qmgr[18684]: 564A511E821: removed
Sep 21 05:11:14 cpro36057 postfix/qmgr[18684]: 5167B11E7DC: removed
Sep 21 05:11:15 cpro36057 postfix/smtp[11938]: 4898311E2D8: to=<www.soborg-antennelaug@soborg-bylaug.dk>, relay=mxcluster1.one.com[91.198.169.8]:25, delay=3293, delays=3290/0.45/2.3/0.34, dsn=5.7.1, status=bounced (host mxcluster1.one.co
Sep 21 05:11:15 cpro36057 postfix/smtp[11940]: 7198811E2F4: to=<www.jedig@ludomani-behandling.dk>, relay=mxcluster2.one.com[91.198.169.9]:25, delay=3297, delays=3294/0.44/2.3/0.35, dsn=5.7.1, status=bounced (host mxcluster2.one.com[91.19
Sep 21 05:11:15 cpro36057 postfix/smtp[11955]: F187011E2E9: to=<www.formand@soborg-bylaug.dk>, relay=mxcluster1.one.com[91.198.169.8]:25, delay=3299, delays=3296/0.35/2.3/0.39, dsn=5.7.1, status=bounced (host mxcluster1.one.com[91.198.16
Sep 21 05:11:15 cpro36057 postfix/smtp[11945]: 8934D11E2D1: to=<ts@kolding-squash.dk>, relay=mxcluster1.one.com[91.198.169.8]:25, delay=3305, delays=3302/0.41/2.4/0.44, dsn=5.7.1, status=bounced (host mxcluster1.one.com[91.198.169.8] sai

meu main.cf

smtpd_banner = meu_dominio ESMTP $mail_name (Ubuntu)
biff = no
append_dot_mydomain = no
readme_directory = no
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
myorigin = /etc/mailname
myhostname = meu_dominio.com.br
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = meu_dominio.com.br, localhost.localdomain, localhost, 127.0.0.1, 127.0.0.0
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
message_size_limit = 50000000
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_non_fqdn_recipient
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
home_mailbox = Maildir/

Por favor me ajudem, inclusive depois que analiso o log não sei o uid do usuário do Ubuntu que enviou, não sei onde vejo o conteúdo do email que foi enviado para checar... não consigo resolver nada.

Alguém presta este serviço??? ou pode me ajudar???



  


2. Re: Postfix enviando SPAM pelo IP local 127.0.0.1 - Urgente

Lucas Possamai
lpossamai

(usa Arch Linux)

Enviado em 06/10/2016 - 19:56h

De http://postgrey.schweikert.ch/help/trosfrihed.dk.ht:

Make sure that you did turn on encryption and authentication for the SMTP server in your mail client. Ask your system administrator if you are not sure about how to configure it.


Ou seja, está claro que sua autenticação e encriptação não estão funcionando.

1 - Faça um backup do seu arquivo main.cf
2- Mude a linha smtpd_tls_auth_only para:

smtpd_tls_auth_only = yes 


3 - Mude a linha myhostname para:

myhostname = mail.seudominio.com.br 


4 - Mude a linha mydestination para:

localhost.$mydomain, localhost, $myhostname 


5 - Reinicie seu postfix
6 - Teste novamente e caso erro poste o log aqui, juntamente com seu master.cf


3. Re: Postfix enviando SPAM pelo IP local 127.0.0.1 - Urgente

Sergio
tigerclaw3

(usa Outra)

Enviado em 07/10/2016 - 08:42h

Obrigado Psyscrew.

Vou fazer os testes a noite/final de semana para não ter muitos transtornos, depois posto aqui. Agradeço muito muito sua colaboração.
Na verdade eu tenho vários softwares que enviam email de NFe, Boletos e tal do meu servidor. Então quando mudo "smtpd_tls_auth_only = yes" a forma de autenticação acho que é diferente, eu inclusive não consigo usar, nem sei se tem que mudar algo no usuário e senha, e meus softwares vão parar de enviar e-mails. E para corrigir a autenticação de todos e mudar nos clientes vai ser um trabalhinho complicado.

Mas eu vou tentar verificar certinho as configurações e depois posto o main.cf além dos resultados, conforme me orientou, muito obrigado.


4. Re: Postfix enviando SPAM pelo IP local 127.0.0.1 - Urgente

Sergio
tigerclaw3

(usa Outra)

Enviado em 09/01/2017 - 17:01h

Pessoal meu email estava saindo de 127.0.0.1 mas aparentemente era do meu apache/php.

1-) Removi algumas páginas suspeitas
2-) coloquei só o root com uma senha gigantesca com permissão de alterar ou inserir novos arquivos php no meu /var/www/html/
3-) verifiquei meus phps de contatos melhorando a segurança
4-) Tirei o serviço de acesso a e-mails via site (agora só por pop3, SMTP ou imap)

Acho que era isso e não problemas no meu postfix, estou monitorando o serviço mas parece que resolveu.
Obrigado ai por contribuir meu amigo.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts