Rileva gli spammer sul mio server

Recentemente ne ho ricevuto uno Undelivered Mail Returned to Sendermentre invio la mia newsletter a uno dei miei 1500 clienti. Il mio sito Web utilizza una procedura di double opt-in per assicurarsi che l'utente desideri esplicitamente ricevere la mia newsletter.

Il messaggio di errore:

smtp; 554 ...
    Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
    refer to xyz.com if you feel this is in error.

Ho ricevuto un esempio di posta indesiderata (dal provider di posta del server di posta ricevente):

Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500

Il provider ha anche dichiarato che il mio server sembra essere stato violato. Ha inoltre affermato che "il server di posta del destinatario ha semplicemente registrato l'rDNS che gli è stato presentato dall'IP di connessione, in questo caso mail.com ([94.130.34.42])" - che NON è sicuramente come ho configurato la mia voce rDNS (mail.lotsearch.de) per il mio indirizzo IP. Quindi, se ho capito correttamente rDNS, il server di posta in arrivo richiede all'IP del mittente una voce rDNS (94.130.34.42 => dovrebbe risolversi in => mail.lotsearch.de, cosa che sicuramente fa, quando lo collaudo dal mio computer locale tramite $ host 94.130.34.42).

Come è possibile falsificare l'rDNS? Non riesco a immaginare come possa funzionare tecnicamente (solo con un attacco man-in-the-middle da qualche parte nell'infrastruttura tra il mailserver ricevente e il mio server).

Il provider ha anche menzionato che "è probabile che una macchina che si collega dal mio IP sia stata compromessa e che invii questi messaggi tramite connessioni dirette al server di posta del destinatario (noto anche come MX diretto)". Cosa direct MXsignifica? Qualcuno ha rubato o trovato credenziali di posta trapelate a uno dei miei account di posta e le ha utilizzate per l'invio di posta?

Quello che ho fatto finora per assicurarmi che il mio server NON sia / non sarà violato:

• cercato nei log di posta ( var/log/mail*): niente di speciale lì dentro
• controllato i log di login ssh ( last, lastb): niente di insolito
• controllato se postfix sta eseguendo l'inoltro: no non lo fa (controllato tramite telnet)
• verificato malware tramite clamav: nessun risultato
• installato e configurato fail2ban per ssh, postfix e dovecot
• installato le ultime patch / aggiornamenti per Ubuntu 16.04 (lo faccio ogni settimana)
• controllato se il mio indirizzo IP è su una lista nera: non lo è
• voce rDNS verificata nella console di gestione del mio provider di hosting: è correttamente impostata su mail.lotsearch.de.
• password modificate di tutti gli account di posta
• chiavi pubbliche modificate per l'accesso alla shell

Più importante: non c'erano informazioni posteitaliane@test123.itnei registri. Quindi, se il mio server fosse stato utilizzato in modo improprio da uno spammer (ad esempio a causa delle credenziali smtp trapelate di uno degli account di posta) lo vedrei nei file di registro.

L'ultima possibilità che mi viene in mente è che un intruso ha messo malware sul mio server che non ho ancora trovato.

Come posso monitorare il traffico di posta in uscita (per processo e per porta)?

Solo il monitoraggio della porta 25 in uscita non sarebbe di aiuto in quanto intrappolerebbe solo le mail irregolari inviate tramite Postfix, ma non il traffico di posta causato da una potenziale infezione da malware (se il malware utilizza un'altra porta diversa da 25 per inviare e-mail / comunicare direttamente con i server di posta del destinatario) . Se monitoro il traffico in uscita su tutte le porte otterrò un modo per accedere a enormi file di registro che non riesco a cercare in modo efficiente attività sospette.

EDIT - Aggiunto test per relè aperto:

$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied

EDIT - Esecuzione di webapps

• Piattaforma personalizzata basata su Zend Framework 3 ( https://framework.zend.com/ )
• Mediawiki ( https://www.mediawiki.org/ )
• Mantis Bug Tracker ( https://www.mantisbt.org/ )

Prima di ricevere il mio suggerimento, voglio commentare un po 'qualcosa che il tuo provider ti ha detto:

 Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100

Ciò non indica che il DNS inverso per 94.130.34.42 sia (o fosse) mail.com. Piuttosto, indica che il client SMTP ha inviato la mail.comsua HELO(o EHLO) linea. (Un server di posta ben configurato avrebbe rifiutato del tutto questa connessione, ma è su Swisscom, non tu ...) Questa riga non indica alcuna voce DNS inversa. Se così fosse, sarebbe apparso tra parentesi. Per esempio:

Received: from mail-io0-f197.google.com (mail-io0-f197.google.com [209.85.223.197])

In questo caso, il primo nome host è quello che il server di posta si è identificato come nel suo EHLO. Il secondo nome host è il DNS inverso registrato al momento della connessione.

RFC 5321 sezione 4.4 spiega il formato della linea Received:, con una grammatica formale.

Nel tuo caso, non è stato registrato alcun DNS inverso. Poiché il tuo indirizzo IP ha un record PTR, ciò può essere dovuto al fatto che non l'hanno cercato o che si è verificato un errore DNS temporaneo.

Ora sembra che tu gestisca un servizio di web hosting e disponga di numerose app web. Se uno di questi è compromesso, potrebbe iniziare a inviare spam. Questi spesso effettuano connessioni dirette ai server di posta remoti cercando i loro record MX e connettendosi alla porta 25, come se fossero effettivamente un server di posta, piuttosto che consegnare posta allo spool di posta locale o un servizio di posta autenticato sulle porte 587 o 465 come fanno le app Web legittime.

Un modo per fermarlo è implementando una regola firewall che impedisce le connessioni in uscita sulla porta 25 a meno che l'utente non sia l'utente del server di posta. Per esempio:

iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT

Le app Web non possono più recapitare la posta direttamente ai server SMTP remoti, ma devono utilizzare lo spool di posta locale o un servizio di posta autenticato.

Al giorno d'oggi, provare a creare il proprio server di posta è, per la maggior parte, una battaglia persa e faresti meglio a trovare un servizio conveniente. Avendolo detto..

• Guarda i tuoi registri andando al provider che ti ha bloccato e vedi se riesci a trovare qualcosa di sospetto. È possibile, e succede spesso, che qualcuno dimentichi di essersi iscritto alla tua newsletter e ti contrassegni come spam. Quindi, a seconda del provider, puoi accedere alla blacklist del provider anche se non hai fatto nulla di male.

• Separare le comunicazioni di massa da tutte le altre e-mail in due server.

• Conservare i registri per settimane al minimo e mesi migliori. Quindi ogni volta che succede qualcosa, fai delle ricerche.

• Controlla quotidianamente i tuoi registri per situazioni simili di qualsiasi provider e analizzali quotidianamente o più velocemente. Il secondo che ti viene bloccato e se continui a provare a inviarlo può peggiorare. Puoi passare da un blocco temporaneo a un blocco permanente ... per essere segnalato in una lista nera.

• Non sono sicuro di come lo implementino, ma una cosa che so che molti provider fanno per i servizi di posta in uscita è che il secondo in cui un provider / IP blocca un'e-mail, quindi nessun'altra e-mail viene tentata di essere inviata. Idealmente vuoi qualcosa del genere. Poiché il secondo viene bloccato, l'invio di altri aggraverà semplicemente il problema.