昨日、私のメールログで次のメッセージが見つかりましたが、クリック数は約10,000回に過ぎませんでした。
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<tori>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
Jun 21 10:47:10 exi-svr-2 dovecot: pop3-login: Disconnected: user=<last>, method=PLAIN, rip=67.228.94.206, lip=xxx.xxx.xxx.xxx
このようにファイアウォールに67.228.94.206を追加しました。
iptables -I RH-Firewall-1-INPUT -s 67.228.94.206 -j DROP
サービスIPテーブルの保存
攻撃はすぐに中断されましたが、その過程で正常にユーザーアカウントを獲得し、なりすましを開始しました。ユーザーアカウントを削除しましたが、さまざまなメールサーバーから返信メールを受け取ったため、まだなりすましているようです。
Jun 22 15:08:08 exi-svr-2 postfix/smtp[27219]: connect to vahoo.com[216.151.212.175]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27158]: connect to mail.gamdak.co.za[196.215.56.13]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: A72A61068460: to=<[email protected]>, relay=none, delay=33839, delays=33839/0.13/0.51/0, dsn=4.4.1, status=deferred (connect to keywordranking.com[208.87.35.105]: Connection refused)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27169]: connect to keywordranking.com[208.87.35.105]: Connection refused (port 25)
Jun 22 15:08:07 exi-svr-2 postfix/smtp[27179]: 40A9C1068515: to=<[email protected]>, relay=none, delay=32038, delays=32038/0.22/0.19/0, dsn=4.4.1, status=deferred (connect to graintech-makeway.com[50.116.103.74]: Connection refused)
この問題をどのように解決するのか、これが起こらないようにするには、どのような予防策を講じるべきかわかりません。私はこの種のことは避けられないし、ログにこれらのメッセージをキャプチャしなければ無視できることを他の場所で読んだ。私はこの解決策にあまり満足していません。
私はPostfix、Dovecot、AMaViS、SpamAssassin、ClamAVでCentOS 5.6を実行しています。
ベストアンサー1
ユーザーがメッセージを送信すると、外部サーバーからエラーを送信できます。ユーザーが利用できないことを確認すると停止します。 postfixキューを確認して(mailqコマンドを介して)送信待ちのメッセージがないことを確認してください。