Detectar spambot no Ubuntu 12 TLS


0

Recentemente, descobri no meu registro de e-mail que há uma enorme quantidade de spam sendo enviado do meu servidor doméstico. Estou correndo sem sites, apenas zpanel. Fechei todas as portas e estou monitorando o mail.logarquivo.

As entradas são assim:

Jul 26 13:47:37 icarus postfix/smtp[19418]: EE28911C345A: to=<juliegarwood@juliegarwood.com>, relay=none, delay=29791, delays=29761/0.07/31/0, dsn=4.4.1, status=deferred (connect to inbound.juliegarwood.com.netsolmail.net[206.188.198.64]:25: Connection timed out)
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx2.comcast.net[76.96.40.147]:25: Connection timed out
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx1.comcast.net[2001:558:fe14:70::22]:25: Network is unreachable
Jul 26 13:47:37 icarus postfix/smtp[19438]: connect to mx2.comcast.net[2001:558:fe2d:70::22]:25: Network is unreachable
Jul 26 13:47:37 icarus postfix/smtp[19423]: connect to extmail.bigpond.com[61.9.189.122]:25: Connection timed out
Jul 26 13:47:37 icarus postfix/smtp[19430]: connect to extmail.bigpond.com[61.9.168.122]:25: Connection timed out
Jul 26 13:47:39 icarus postfix/smtp[19420]: connect to mail.manhattan.k12.ks.us[12.167.72.199]:25: Connection timed out
Jul 26 13:47:40 icarus postfix/smtp[19420]: ECD7711C3348: to=<lindasc@manhattan.k12.ks.us>, relay=none, delay=34075, delays=34042/0.08/33/0, dsn=4.4.1, status=deferred (connect to mail.manhattan.k12.ks.us[12.167.72.199]:25: Connection timed out)

Quais são algumas maneiras de rastrear a causa disso?


Fechado o que portas? O que sudo tcpdump port 25lhe dá (você pode precisar instalar isso), esudo netstat -pant | grep 25
Paul

@Paul tcpdumpestá escutando, mas nada está acontecendo desde que eu fechei a maioria das portas no iptables. O netstat não mostra nada na porta 25, mas há uma boa quantidade de instâncias de python:tcp 1 0 192.168.1.125:57535 194.71.107.17:80 CLOSE_WAIT 4326/python
Ortix92

Se a fonte estiver no próprio servidor, tcpdump -i lo port 25deverá mostrá-lo. Pode ser que você tenha mais coisas na sua fila postfix, e o postfix está tentando repetir, ou entregar notas subvalorizáveis.
Paul

@Paul Eu reconfigurei meu firewall que, por enquanto, não envia e-mails de spam estranhos. No entanto eu aleatoriamente recebo e-mail para root@icarus.ledi****.com. icarusfoi definido como DNS reverso, mas eu removi essa entrada da minha zona de DNS no registrador há alguns dias. Estes e-mails aparecem em rajadas nomail.log
Ortix92
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.