The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Postfix взломан или неправильно настроен?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Postfix взломан или неправильно настроен?"  –1 +/
Сообщение от Makioro (ok), 12-Ноя-18, 13:53 
Пришло письмо от злоумышленника что мой комп взломан и т.п. с требованиями откупа с моего же и-мейла. Вот данные письма:

Return-Path: <user1@domain.net.ua>
X-Original-To: user1@domain.net.ua
Delivered-To: user1@domain.net.ua
Received: from dsl.49.150.140.89.pldt.net (unknown [49.150.140.89])
by mail.domain.net.ua (Postfix) with ESMTP id 8658A7D103A5
for <user1@domain.net.ua>; Sun, 11 Nov 2018 10:11:57 +0200 (EET)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua 8658A7D103A5
Message-ID: <ABEDFAD0E7BCC7CD8B9CB681DAA1ABED@Q8KN0I95>
From: <user1@domain.net.ua>
To: <user1@domain.net.ua>
Subject: Account Issue. Changed password.
Date: 11 Nov 2018 22:50:55 +0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="cp-850"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 15.4.3508.1109
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3508.1109

IP 49.150.140.89 не мой и его нет в mynetworks в main.cf. В maillog:

root@mail:/ # cat /var/log/maillog | grep 49.150.140.89
Nov 11 10:11:56 mail postfix/smtpd[42131]: warning: hostname dsl.49.150.140.89.pldt.net does not resolve to address 49.150.140.89: hostname nor servname provided, or not known
Nov 11 10:11:56 mail postfix/smtpd[42131]: connect from unknown[49.150.140.89]
Nov 11 10:11:57 mail postfix/smtpd[42131]: 8658A7D103A5: client=unknown[49.150.140.89]
Nov 11 10:11:58 mail opendkim[823]: 8658A7D103A5: [49.150.140.89] [49.150.140.89] not internal
Nov 11 10:11:58 mail postfix/smtpd[42131]: disconnect from unknown[49.150.140.89] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
root@mail:/ # cat /var/log/maillog | grep 8658A7D103A5
Nov 11 10:11:57 mail postfix/smtpd[42131]: 8658A7D103A5: client=unknown[49.150.140.89]
Nov 11 10:11:58 mail postfix/cleanup[42175]: 8658A7D103A5: message-id=<ABEDFAD0E7BCC7CD8B9CB681DAA1ABED@Q8KN0I95>
Nov 11 10:11:58 mail opendkim[823]: 8658A7D103A5: [49.150.140.89] [49.150.140.89] not internal
Nov 11 10:11:58 mail opendkim[823]: 8658A7D103A5: not authenticated
Nov 11 10:11:58 mail postfix/qmgr[95101]: 8658A7D103A5: from=<user1@domain.net.ua>, size=3451, nrcpt=1 (queue active)
Nov 11 10:11:58 mail postfix/virtual[42177]: 8658A7D103A5: to=<user1@domain.net.ua>, relay=virtual, delay=0.69, delays=0.66/0/0/0.03, dsn=2.0.0, status=sent (delivered to maildir)
Nov 11 10:11:58 mail postfix/qmgr[95101]: 8658A7D103A5: removed

Если я правильно понимаю, он без авторизации каким-то образом всё же отправил письмо
Меня взломали или postfix настроен неправильно?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Postfix взломан или неправильно настроен?"  +/
Сообщение от ыы (?), 12-Ноя-18, 14:32 
> Пришло письмо от злоумышленника что мой комп взломан и т.п. с требованиями
> откупа с моего же и-мейла. Вот данные письма:
> Если я правильно понимаю, он без авторизации каким-то образом всё же отправил
> письмо

Он ПРИСЛАЛ письмо.
Вот эта строка:
> Received: from dsl.49.150.140.89.pldt.net (unknown [49.150.140.89])

Поищите в словаре что такое "Received"

> Меня взломали или postfix настроен неправильно?

Постфикс не настроен вообще вероятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Makioro (ok), 14-Ноя-18, 11:56 
Немного порыскав по форуму нашел несколько тем о том, что sendmail по-умолчанию не использует smtp-аутентификацию для локальных пользователей.
Провёл несколько тестов, если подключиться телнетом на 25ый порт с левого айпи, то для локальных пользователей можно отправить почту представившись любым сервером, не только локальным. Прислал себе представившись gmail и собственным доменом. На другие сервера почта не уходит - выдаёт
RCPT TO: user1@gmail.com
554 5.7.1 <user1@gmail.com>: Relay access denied
Т.е. выходит у меня для входящей почты вообще никакой проверки нет - хоть от барака обамы письма присылай. Фиг с ними: дмарками, спф, дкимами, как заставить его хотя бы реверс днс проверять и реагировать на него?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Makioro (ok), 14-Ноя-18, 12:44 
Что-то как ни ужесточаю правила, всё равно почта доходит когда представляюсь кем попало

mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.x/32, x.x.x.y/32
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_helo_hostname, reject_invalid_hostname, reject_non_fqdn_hostname
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_rbl_client bl.spamcop.net
smtpd_sender_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Bootmen10 (?), 15-Ноя-18, 17:43 
>[оверквотинг удален]
> попало
> mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.x/32, x.x.x.y/32
> smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname,
> reject_unknown_helo_hostname
> smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination,
> reject_unknown_helo_hostname, reject_invalid_hostname, reject_non_fqdn_hostname
> smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender,
> reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining,
> reject_rbl_client bl.spamcop.net
> smtpd_sender_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks

Чтобы не подписывались кем попало:
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch,
reject_sender_login_mismatch,
permit_sasl_authenticated,
reject_non_fqdn_sender,
permit_mynetworks

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Makioro (ok), 16-Ноя-18, 09:19 
> Чтобы не подписывались кем попало:
> smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch,
> reject_sender_login_mismatch,
> permit_sasl_authenticated,
> reject_non_fqdn_sender,
> permit_mynetworks

Спасибо за ответ, но не помогает. Вот правила:
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch, permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks

А вот данные письма, которое я себе смог отправить после их установки:

Return-Path: <admin@bbc.com>
X-Original-To: user1@domain.net.ua
Delivered-To: user1@domain.net.ua
Received: from yahoo.com (test.domain.net.ua [x.x.x.x])
    by mail.domain.net.ua (Postfix) with ESMTP id BAF067D10466
    for <user1@domain.net.ua>; Fri, 16 Nov 2018 08:14:45 +0200 (EET)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua BAF067D10466
To: user1@domain.net.ua
From: fuckadmin@gmail.com
Subject: test message
Date: Today

Т.е. отправляя письмо сделал разными домены в EHLO, MAIL FROM и в From, но всё равно пришло даже несмотря на несоответствие EHLO и реального домена

Может ли быть что где-то в другом месте настроек эти правила просто игнорируются?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Bootmen10 (?), 16-Ноя-18, 11:15 
>[оверквотинг удален]
> DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua BAF067D10466
> To: user1@domain.net.ua
> From: fuckadmin@gmail.com
> Subject: test message
> Date: Today
> Т.е. отправляя письмо сделал разными домены в EHLO, MAIL FROM и в
> From, но всё равно пришло даже несмотря на несоответствие EHLO и
> реального домена
> Может ли быть что где-то в другом месте настроек эти правила просто
> игнорируются?

Непонятно. Вы из консоли отправляете?


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Makioro (ok), 16-Ноя-18, 12:37 
> Непонятно. Вы из консоли отправляете?

Техническая информация из писем - это в roundcube "Исходный текст"
А отправляю из консоли, подключаясь к нему "telnet mail.domain.net.ua 25" с левого сервера, которого нет в mynetworks, т.е. как будто из инета, а дальше командами:
EHLO yahoo.com
MAIL FROM: admin@bbc.com
RCPT TO: user1@domain.net.ua
DATA
To: user1@domain.net.ua
From: fuckadmin@gmail.com
Subject: test message
Date: Today
sending test message
.
QUIT

(точка в предпоследней строке - это команда "конец сообщения")

P.S. что-то я доигрался, теперь исходящая почта не ходит, выдаёт ошибку 4.7.1 Service unavailable - try again later
Зато входящая всё ещё приходит

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Bootmen10 (?), 16-Ноя-18, 12:50 
>[оверквотинг удален]
> From: fuckadmin@gmail.com
> Subject: test message
> Date: Today
> sending test message
> .
> QUIT
> (точка в предпоследней строке - это команда "конец сообщения")
> P.S. что-то я доигрался, теперь исходящая почта не ходит, выдаёт ошибку 4.7.1
> Service unavailable - try again later
> Зато входящая всё ещё приходит

Тогда main.cf в студию. Или выхлоп postconf -n


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Postfix взломан или неправильно настроен?"  +/
Сообщение от Makioro (ok), 16-Ноя-18, 13:07 
С неотправкой почты разобрался - это я после postconf check сменил права на dkim ключи (постконф сказал что надо root) и opendkim не смог их прочесть (запускался с пользователем mailnull)

UPD2 (залил текущий конфиг с кучей правил)

> Тогда main.cf в студию. Или выхлоп postconf -n

root@mail:/ # postconf -n
broken_sasl_auth_clients = yes
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5
html_directory = /usr/local/share/doc/postfix
mail_owner = postfix
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
message_size_limit = 20240000
milter_default_action = accept
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = domain.net.ua
myhostname = mail.domain.net.ua
mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.y/32, x.x.x.x/32
mynetworks_style = host
newaliases_path = /usr/local/bin/newaliases
non_smtpd_milters = $smtpd_milters
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
queue_directory = /var/spool/postfix
readme_directory = /usr/local/share/doc/postfix
relay_domains = proxy:mysql:/usr/local/etc/postfix/mysql_relay_domains_maps.cf
sample_directory = /usr/local/etc/postfix
sendmail_path = /usr/local/sbin/sendmail
setgid_group = maildrop
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname
smtpd_milters = inet:127.0.0.1:8891
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_helo_hostname, reject_invalid_hostname, reject_non_fqdn_hostname
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_rbl_client bl.spamcop.net
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch, permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks
smtpd_tls_CAfile = /usr/local/etc/ssl/postfix/smtpd.pem
smtpd_tls_cert_file = /usr/local/etc/ssl/postfix/smtpd.pem
smtpd_tls_key_file = /usr/local/etc/ssl/postfix/smtpd.pem
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/usr/local/etc/postfix/transport
unknown_local_recipient_reject_code = 550
vacation_destination_recipient_limit = 1
virtual_alias_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:125
virtual_mailbox_base = /usr/local/virtual
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_limit_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 125
virtual_transport = virtual
virtual_uid_maps = static:125
postconf: warning: /usr/local/etc/postfix/main.cf: unused parameter: virtual_maildir_limit_message=Sorry, this user has overdrawn their diskspace quota. Please try again later.
postconf: warning: /usr/local/etc/postfix/main.cf: unused parameter: virtual_mailbox_limit_override=yes
postconf: warning: /usr/local/etc/postfix/main.cf: unused parameter: virtual_overquota_bounce=yes
postconf: warning: /usr/local/etc/postfix/main.cf: unused parameter: virtual_create_maildirsize=yes
postconf: warning: /usr/local/etc/postfix/main.cf: unused parameter: virtual_mailbox_extended=yes


UPD3:
С настройками smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch не работала исходящая почта с ошибкой 5.7.1 Sender address rejected: not owned by user, что очень странно: ведь я отправлял почту от пользователя, под которым и был залогинен. Вот сообщение из maillog:
Nov 16 12:13:29 mail postfix/smtpd[4330]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 553 5.7.1 <user1@domain.net.ua>: Sender address rejected: not owned by user user1@domain.net.ua; from=<user1@domain.net.ua> to=<admin@gmail.com> proto=ESMTP helo=<mail.domain.net.ua>
Так что предложенные вами два параметра я уже убрал

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру