Rileva spambot su Ubuntu 12 TLS

0

Recentemente ho scoperto nel mio registro di posta che c'è un'enorme quantità di spam inviato dal mio server di casa. Non gestisco siti Web, solo zpanel. Ho chiuso tutte le porte e sto monitorando il mail.logfile.

Le voci si presentano così:

Jul 26 13:47:37 icarus postfix/smtp[19418]: EE28911C345A: to=<juliegarwood@juliegarwood.com>, relay=none, delay=29791, delays=29761/0.07/31/0, dsn=4.4.1, status=deferred (connect to inbound.juliegarwood.com.netsolmail.net[206.188.198.64]:25: Connection timed out)
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx2.comcast.net[76.96.40.147]:25: Connection timed out
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx1.comcast.net[2001:558:fe14:70::22]:25: Network is unreachable
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx2.comcast.net[2001:558:fe2d:70::22]:25: Network is unreachable
Jul 26 13:47:37 icarus postfix/smtp[19423]: connect to extmail.bigpond.com[61.9.189.122]:25: Connection timed out
Jul 26 13:47:37 icarus postfix/smtp[19430]: connect to extmail.bigpond.com[61.9.168.122]:25: Connection timed out
Jul 26 13:47:39 icarus postfix/smtp[19420]: connect to mail.manhattan.k12.ks.us[12.167.72.199]:25: Connection timed out
Jul 26 13:47:40 icarus postfix/smtp[19420]: ECD7711C3348: to=<lindasc@manhattan.k12.ks.us>, relay=none, delay=34075, delays=34042/0.08/33/0, dsn=4.4.1, status=deferred (connect to mail.manhattan.k12.ks.us[12.167.72.199]:25: Connection timed out)

Quali sono alcuni modi per rintracciare la causa di questo?

ubuntu  spam-prevention  postfix 
Ortix92
fonte
Chiuso quali porte? Cosa sudo tcpdump port 25ti dà (potrebbe essere necessario installare questo), esudo netstat -pant | grep 25
Paul
@ Paul tcpdumpascolta ma non succede nulla da quando ho chiuso la maggior parte delle porte di iptables. netstat non mostra nulla sulla porta 25 ma ci sono una discreta quantità di istanze python:tcp 1 0 192.168.1.125:57535 194.71.107.17:80 CLOSE_WAIT 4326/python
Ortix92,
Se l'origine si trova sul server stesso, tcpdump -i lo port 25dovrebbe mostrarlo. È possibile che siano rimaste delle cose nella coda postfix e che Postfix stia tentando di riprovare o di inviare note non consegnabili.
Paul,
@Paul Ho riconfigurato il mio firewall che, per ora, non invia strane e-mail di spam. Tuttavia ricevo casualmente email a root@icarus.ledi****.com. icarusè stato impostato come DNS inverso ma ho rimosso quella voce dalla mia zona DNS presso il registrar un paio di giorni fa. Queste e-mail appaiono a raffica nelmail.log
Ortix92
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.