Recentemente ne ho ricevuto uno Undelivered Mail Returned to Sender
mentre invio la mia newsletter a uno dei miei 1500 clienti. Il mio sito Web utilizza una procedura di double opt-in per assicurarsi che l'utente desideri esplicitamente ricevere la mia newsletter.
Il messaggio di errore:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
Ho ricevuto un esempio di posta indesiderata (dal provider di posta del server di posta ricevente):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
Il provider ha anche dichiarato che il mio server sembra essere stato violato. Ha inoltre affermato che "il server di posta del destinatario ha semplicemente registrato l'rDNS che gli è stato presentato dall'IP di connessione, in questo caso mail.com ([94.130.34.42])
" - che NON è sicuramente come ho configurato la mia voce rDNS (mail.lotsearch.de) per il mio indirizzo IP. Quindi, se ho capito correttamente rDNS, il server di posta in arrivo richiede all'IP del mittente una voce rDNS (94.130.34.42 => dovrebbe risolversi in => mail.lotsearch.de, cosa che sicuramente fa, quando lo collaudo dal mio computer locale tramite $ host 94.130.34.42
).
Come è possibile falsificare l'rDNS? Non riesco a immaginare come possa funzionare tecnicamente (solo con un attacco man-in-the-middle da qualche parte nell'infrastruttura tra il mailserver ricevente e il mio server).
Il provider ha anche menzionato che "è probabile che una macchina che si collega dal mio IP sia stata compromessa e che invii questi messaggi tramite connessioni dirette al server di posta del destinatario (noto anche come MX diretto)". Cosa direct MX
significa? Qualcuno ha rubato o trovato credenziali di posta trapelate a uno dei miei account di posta e le ha utilizzate per l'invio di posta?
Quello che ho fatto finora per assicurarmi che il mio server NON sia / non sarà violato:
- cercato nei log di posta (
var/log/mail*
): niente di speciale lì dentro - controllato i log di login ssh (
last
,lastb
): niente di insolito - controllato se postfix sta eseguendo l'inoltro: no non lo fa (controllato tramite telnet)
- verificato malware tramite clamav: nessun risultato
- installato e configurato fail2ban per ssh, postfix e dovecot
- installato le ultime patch / aggiornamenti per Ubuntu 16.04 (lo faccio ogni settimana)
- controllato se il mio indirizzo IP è su una lista nera: non lo è
- voce rDNS verificata nella console di gestione del mio provider di hosting: è correttamente impostata su
mail.lotsearch.de
. - password modificate di tutti gli account di posta
- chiavi pubbliche modificate per l'accesso alla shell
Più importante: non c'erano informazioni posteitaliane@test123.it
nei registri. Quindi, se il mio server fosse stato utilizzato in modo improprio da uno spammer (ad esempio a causa delle credenziali smtp trapelate di uno degli account di posta) lo vedrei nei file di registro.
L'ultima possibilità che mi viene in mente è che un intruso ha messo malware sul mio server che non ho ancora trovato.
Come posso monitorare il traffico di posta in uscita (per processo e per porta)?
Solo il monitoraggio della porta 25 in uscita non sarebbe di aiuto in quanto intrappolerebbe solo le mail irregolari inviate tramite Postfix, ma non il traffico di posta causato da una potenziale infezione da malware (se il malware utilizza un'altra porta diversa da 25 per inviare e-mail / comunicare direttamente con i server di posta del destinatario) . Se monitoro il traffico in uscita su tutte le porte otterrò un modo per accedere a enormi file di registro che non riesco a cercare in modo efficiente attività sospette.
EDIT - Aggiunto test per relè aperto:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
EDIT - Esecuzione di webapps
- Piattaforma personalizzata basata su Zend Framework 3 ( https://framework.zend.com/ )
- Mediawiki ( https://www.mediawiki.org/ )
- Mantis Bug Tracker ( https://www.mantisbt.org/ )