Konu Başlığı: Sunucumdan spam mail gönderiliyor

Merhaba arkadaşlar, 2-3 aydır sunucumuzu yoğun bir şekilde yoran bir spam gönderme problemimiz var. Sunucumuzda mevcut hesaplara gelen spam mailler dışında, sunucumuzdan spam mail gönderiliyor. Ve dolayısı ile spam mail listesine giriyoruz.

Fakat bunun nasıl yapıldığını bulamıyoruz. Gönderilen spam mailleri kullanıcı kendi kendine de gönderiyor görünüyor. Yani ornek@domainim.com maili internete spam mail gönderirken, kendisine de aynı şekilde spam gönderiyor. Kendisine gönderdiği mailler loglarda


Apr 30 11:02:44 ns1 postfix/local[4588]: B7DF7357E33: to=<ornek-domainim.com@ns1.mydomain.com>, orig_to=<ornek@domainim.com>, relay=local, delay=1064, status=sent (delivered to command: /usr/bin/procmail-wrapper -o -a $domain -d $LOGNAME)
Apr 30 11:02:44 ns1 postfix/qmgr[30193]: B7DF7357E33: removed

Yani kullanıcının sisteme girişi ile ilgili bir log yok. Sadece bu şeklide kendi kendine mail gönderiyor.

Bu şekilde direkt localden nasıl gönderebiliyor? Bunun için nereyi kontrol etmem gerekiyor?

şimdi devam eden problemde kontrolümüz dışında sunucudaki mail hesaplarından hem kendi kendilerine hem de internete spam gönderiliyor.

Apr 30 11:02:44 ns1 postfix/local[4588]: B7DF7357E33: to=<ornek-domainim.com@ns1.mydomain.com>, orig_to=<ornek@domainim.com>, relay=local, delay=1064, status=sent (delivered to command: /usr/bin/procmail-wrapper -o -a $domain -d $LOGNAME)
Apr 30 11:02:44 ns1 postfix/qmgr[30193]: B7DF7357E33: removed

bu kod ile local den kullanıcının kendi hesabına önderilyor. Fakat bu işlemin nereden nasıl gönderildiğini göremiyorum.

Bunu görüp buna kaynak teşkil eden işlemi durdurmam gerekiyor. Zira RBL lerden çıkmak mümkün olmuyor.

mow tarafından gönderilen mesaj:

/etc/postfix/master.cf dosyasında aşağıdakine benzer bir satır olmalı;



şu şekilde değiştir;



böylelikle daha detaylı log alır. Bundan başka;



komutunu kullanarak smtp portunda neler oluyor/kimler bağlanıyor detaylı olarak inceleyebilirsin ve elindeki loglarla karşılaştırabilirsin.

Eğer bir ağdaysan ve kullanıcılarının ayarlarını kontrol edebiliyorsan, smtp nin portunu değiştir ve kullanıcıların ayarlarını ona göre yap. Daha sonra gene tcpdump u kullanarak port 25 e gelen istek var mı yok mu kontrol et, eğer varsa kullanıcılarında worm/trojan benzeri şeyler var demektir.

/etc/postfix/main.cf içerisine şu satırları yazabilirsin;


ve gene aynı dosya içerisinde "mynetworks = xxx.xxx.xxx.xxx" yazmalı bu satırı kontrol et hatalı bir yapılandırma var mı diye. Eğer bir ağdaysan mynetworks içerisinde ağını tanımlayan subnet olMAmalı. Yoksa herhangi bir kontrolden geçmeden doğrudan relay yapar.

/home/<kullanıcı>/.procmailrc dosyalarını da ayrıca kontrol et. Son olarak, tüm hesapların şifresini değiştir.

Uzaktan ancak bu kadar

Yardımlarınız için çok teşekkürler.

master.cf deki (smtp inet n - n - - smtpd)

benim sunucumda

smtp inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes şeklinde.

Diğer satırlarda şu şekilde;

smtpd_client_restrictions = permit_mynetworks reject_rbl_client phishing.rbl.msrbl.net permit
#ben yukarıdaki gibi sadece network dışındakileri reject etiğimde, kullanıcılarımız mail gönderemiyor.
smtpd_sender_restrictions = permit_mynetworks reject_unknown_sender_domain reject_sender_login_mismatch reject_authenticated_sender_login_mismatch permit
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_sender_access hash:/etc/postfix/access_sender

sadece

smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions = check_policy_service unix/private/policy

satırları master.cf dosyamda yok. Bunlardan özellikle ikincisi işime yarar mı tam anlayamadım.

mynetworks = xxx.xxx.xxx.xxx,127.0.0.0/8 bilgisi de bu şekilde.


#tcpdump -s 0 port 25 komutunu bir süre çalıştırııp, durdurduğumda

3563 packets captured
4385 packets received by filter
822 packets dropped by kernel şeklinde bir sonuç veriyor.

Buradaki filter kullanıcısı ile ilgili konu ise şu şekilde;

Problemim ile ilgili http://www.akadia.com/services/postf...massassin.html adresinde tam benim işime yarayacağını düşündüğüm, Create your own Content Filter başlığı altındaki bölümü uygulamaya çalıştığımda oluşturdum.

Fakat ben bu filtrelemeyi buradaki gibi olumlu bir şeklide sonuçlandıramadım.

Benim mailloglarımdaki sonuc şu şekilde;

This is the Postfix program at host ns1.pw.com.tr.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The Postfix program

<info-mydomain.com@ns1.mydns.com> (expanded from
<info@mydomain.com>): Command died with status 1:
"/usr/local/bin/spamchk". Command output: /usr/local/bin/spamchk: line 2:
se:: command not found /usr/local/bin/spamchk: line 26:
/var/tempfs/out.11443: No such file or directory /usr/local/bin/spamchk:
line 29: /var/tempfs/out.11443: No such file or directory
/usr/local/bin/spamchk: line 41: /var/tempfs/out.11443: No such file or
directory

Problem mail kullanıcıları ile ilgili ise, birçok kullanıcıda nasıl aynı problem oluşuyor. 1000 den fazla mail kullanıcısının şifresini değiştireyim değiştirmesine ama çözüm olur mu ondan emin değilim.

Yardımlarınız için teşekkür ederim.

Ayrıca postfix'i durdurduğumda da tcpdump -s 0 port 25 komutu aşağıdaki gibi sonuçlar veriyor.

151 packets captured
182 packets received by filter
0 packets dropped by kernel

Bu normal mi?

Tüm Türkiye için SPAM Önlem Çalışma Esasları

BTK nezdinde ve yer sağlayıcı firmaların katılımı ile yapılan toplantıda pilot çalışma sonuçları paylaşıldı ve toplantıda alınan karar sonucunda bu çalışmanın tüm Türkiye için yapılmasına karar verildi.

Şimdi kalan 71 ilde 25. Port bloklanacak, bu port üzerinden yapılan e-posta gönderimleri engellenerek daha güvenli olan 587. Port'un kullanılması müşterilerden istenecektir.

Kalan 71 ilin 3 fazda bloklanmasına karar verildi.

1. Faz: 15 Haziran
2. Faz: 05 Temmuz
3. Faz: 25 Temmuz

İlgili fazlarda 25. Portu bloklanacak illerin dağılımını görmek için tıklayınız.

Faz-1'in bitimiyle birlikte elde edilen çıktılar değerlendirilecek, bu çıktılar ışığında gerek duyulması halinde Faz 2 ve Faz 3'ün süreleri yeniden belirlenecek, gerek duyulmaması halinde belirlenen plana göre uygulama tamamlanacaktır. Bazı iller gerek yoğunluk gerekse teknik altyapı nedeniyle bir kaç faza bölünerek bloklanacaktır. Örneğin, yoğunluk nedeniyle 3 büyük şehir (İstanbul, Ankara, İzmir) üçe bölünerek bloklanacaktır.

E-posta gönderiminde sorun yaşayan müşterilerimiz e-posta hizmeti aldıkları firmalara başvurarak 25. Port'larının 587. Port'a değiştirilmesi konusunda destek alacaklardır. Herhangi bir nedenden dolayı sorunu giderilemeyen müşterilerimiz 444 0 375 TTNET Müşteri Hizmetleri'ni arayarak destek alabilecektir.