Jak opravím, aby můj server nerozesílal spam?

barneby

(1 hodnocení)

17. 1. 2016 17:05:42

Dobrý den,

Můj IPS my zablokoval SMTP server za to že rozesílám spam v emailový frontě mám mimo normálních emailů i takový

Posíla se to na hodně divný domény. Nevíte jak se z toho zbavit?

Děkuji.

17. 1. 2016 17:05:42

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166883

McFly

(4 hodnocení)

17. 1. 2016 17:10:02

Asi bych neřešil, na jaké domény se to posílá, ale řešil bych, proč se to posílá. Běží na tom serveru i něco jiného, např. web server? Je smtp server zabezpečen, aby nebyl open relay?

17. 1. 2016 17:10:02

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166882

barneby

(1 hodnocení)

17. 1. 2016 17:14:40

Běží tam celej ISPconfig. SMTP,Inap, Pop3, web server, MySql, dns.

Na smtp mám certifikát a jak poznám jestli je open relay?

17. 1. 2016 17:14:40

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166881

McFly

(4 hodnocení)

17. 1. 2016 17:17:31

Stačí otestovat třeba tu http://mxtoolbox.com/diagnostic.aspx

Jinak v logu smtp serveru by mělo být víc informací, jak jsou spamy posílány.

17. 1. 2016 17:17:31

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166880

barneby

(1 hodnocení)

17. 1. 2016 17:34:18

Dobře open relay to není. Pod čím to v tom logu najdu? A jde to nějak zablokovat?

17. 1. 2016 17:34:18

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166879

McFly

(4 hodnocení)

17. 1. 2016 17:55:40

Pravděpodobně se jedná o napadený web, co rozesílá spam, že by nějaký redakční systém na webu?

Jinak /var/log/maillog (nebo podobná cesta) by mohl prozradit více. Tohle by teoreticky mohlo také pomoci https://support.forpsi.com/kb/a3330/jak-zjistit-skript-pres-ktery-se-spamuje.aspx

17. 1. 2016 17:55:40

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166878

TomasX

(4 hodnocení)

17. 1. 2016 19:28:46

je velká šance, že se ti na to bude muset podívat zkušenější admin. Jednak sám nejspíš nedokážeš správně detekovat příčinu a jednak nebudeš umět zavřít vrátka pro opakované napadení. Rád bych poradil, ale možností je fůra.

17. 1. 2016 19:28:46

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166877

barneby

(1 hodnocení)

17. 1. 2016 19:36:44

Projíždel jsem ten log a našel jsem tam toto:

Jan 16 18:33:03 alpha postfix/smtpd: connect from localhostJan 16 18:33:03 alpha postfix/smtpd: 88F36C0882: client=localhostJan 16 18:33:03 alpha postfix/cleanup: 88F36C0882: message-id=<20160116190323.8994.qmail@netgear.freshost.cz>Jan 16 18:33:03 alpha opendkim: 88F36C0882: no signing table match for 'marindaa@dogs.net.au'Jan 16 18:33:04 alpha opendkim: 88F36C0882: no signature dataJan 16 18:33:04 alpha postfix/qmgr: 88F36C0882: from=<marindaa@dogs.net.au>, size=1073, nrcpt=1 (queue active)Jan 16 18:33:04 alpha postfix/smtpd: disconnect from localhostJan 16 18:33:05 alpha postfix/submission/smtpd: connect from unknownJan 16 18:33:05 alpha postfix/smtpd: connect from localhostJan 16 18:33:05 alpha postfix/smtpd: AE24EC0A4B: client=localhostJan 16 18:33:05 alpha postfix/cleanup: AE24EC0A4B: message-id=<20160116190323.8994.qmail@netgear.freshost.cz>Jan 16 18:33:05 alpha opendkim: AE24EC0A4B: no signing table match for 'marindaa@dogs.net.au'Jan 16 18:33:05 alpha opendkim: AE24EC0A4B: no signature dataJan 16 18:33:05 alpha postfix/qmgr: AE24EC0A4B: from=<marindaa@dogs.net.au>, size=1591, nrcpt=1 (queue active)Jan 16 18:33:05 alpha postfix/smtpd: disconnect from localhostJan 16 18:33:05 alpha amavis: (10937-12) Passed BAD-HEADER-8 {RelayedOutbound,Quarantined}, LOCAL :37344 <marindaa@dogs.net.au> -> <slslsl@xxxx.com>, quarantine: h/badh-hlYkS6lfjrC4, Queue-ID: 88F36C0882, Message-ID: <20160116190323.8994.qmail@netgear.freshost.cz>, mail_id: hlYkS6lfjrC4, Hits: 0.107, size: 1038, queued_as: AE24EC0A4B, 908 ms

Vypadý to že se ten spam rozesílá sám server na opravdu divný domény. To co to rozesíla se tváří jako MAILER-DAEMON normálně je u každého emailu napsáno kde to poslal třeba email@spolecnost.cz ale tady u těch je napsáno jenom MAILER-DAEMON nevíte co to je?

Plus by mě ještě zajímalo zda-li na to mají vliv a emaily odeslané z php? Můj poskytovatel má totiž filtr který dovoluje maximálně 10 připojení za 50 sekund takže jsem v Postfixu nastavil toho

To by mělo dělat že se odešle maximálně 5 mailů za 50 vteřin je to nastavené správně?

A má na to vliv i odesílání emailů přes php?

Děkuji.

17. 1. 2016 19:36:44

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166876

TomasX

(4 hodnocení)

17. 1. 2016 19:44:40

tenhle řádek je špatnej "postfix/submission/smtpd: connect from unknown", tj. někdo se ti tam připojuje na smtp přímo z venku, pravděpodobně si tam už udělal zadní vrátka.

Proč si to nedáš do googlu http://napoveda.seznam.cz/cz/email/vracene-zpravy/vratila-se-mi-zprava-od-mailer-daemon/?

Ano, má to vliv, ten limit se vztahuje na vše, pravděpodobně trvá poměrně dlouho než se ti reálně emaily z php rozešlou. Je také velká šance, že už jsi na spam filterech a budeš mít problémy s doručováním svých zpráv i v budoucnu. Zkontrolovat si to můžeš tady http://mxtoolbox.com/blacklists.aspx. Pokud se někde objevíš, musíš je kontaktovat a požádat o smazání, někdy na to mají formulář, někdy musíš emailem, někdy jim musíš doložit proč jsi tam byl atd. Tohle vše ti vyřeší admin, sám s tím akorát strávíš mraky času.

17. 1. 2016 19:44:40

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166875

barneby

(1 hodnocení)

17. 1. 2016 20:06:49

A dá se odesílání z php taky nějak omezit jako je to omezený v tom postfixu?

Jak se může někdo připojit přímo z venku? Když na to by potřeboval přihlašovací jméno a heslo bez něj to přece nejde pro jistotu sem hodím ještě můj main.cf Postfixu:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version# Debian specific:  Specifying a file name will cause the first# line of that file to be used as the name.  The Debian default# is /etc/mailname.#myorigin = /etc/mailnamesmtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)biff = no# appending .domain is the MUA's job.append_dot_mydomain = no# Uncomment the next line to generate "delayed mail" warnings#delay_warning_time = 4hreadme_directory = /usr/share/doc/postfix# TLS parameterssmtpd_tls_cert_file = /etc/letsencrypt/live/freshost.cz/fullchain.pemsmtpd_tls_key_file = /etc/letsencrypt/live/freshost.cz/privkey.pemsmtpd_use_tls = yessmtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scachesmtp_tls_session_cache_database = btree:${data_directory}/smtp_scache# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for# information on enabling SSL in the smtp client.#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destinationmyhostname = alpha.freshost.czalias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliasesalias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliasesmyorigin = /etc/mailnamemydestination = alpha.freshost.cz, localhost, localhost.localdomainmynetworks = 127.0.0.0/8 /128mailbox_command = procmail -a "$EXTENSION"mailbox_size_limit = 0recipient_delimiter = +inet_interfaces = allhtml_directory = /usr/share/doc/postfix/htmlvirtual_alias_domains = virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cfvirtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cfvirtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cfvirtual_mailbox_base = /var/vmailvirtual_uid_maps = static:5000virtual_gid_maps = static:5000inet_protocols = allsmtpd_sasl_auth_enable = yesbroken_sasl_auth_clients = yessmtpd_sasl_authenticated_header = yessmtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cfsmtpd_tls_security_level = maytransport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cfrelay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cfrelay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cfproxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworkssmtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cfsmtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cfsmtpd_client_message_rate_limit = 100maildrop_destination_concurrency_limit = 1maildrop_destination_recipient_limit = 1virtual_transport = dovecotheader_checks = regexp:/etc/postfix/header_checksmime_header_checks = regexp:/etc/postfix/mime_header_checksnested_header_checks = regexp:/etc/postfix/nested_header_checksbody_checks = regexp:/etc/postfix/body_checksowner_request_special = nosmtp_tls_security_level = maysmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3smtpd_tls_protocols = !SSLv2,!SSLv3smtp_tls_protocols = !SSLv2,!SSLv3dovecot_destination_recipient_limit = 1smtpd_sasl_type = dovecotsmtpd_sasl_path = private/authcontent_filter = amavis::10024receive_override_options = no_address_mappingsmessage_size_limit = 0milter_protocol = 2milter_default_action = acceptsmtpd_milters = inet:localhost:12301non_smtpd_milters = inet:localhost:12301default_destination_rate_delay = 10s

Vím že si může za X tísíc korun zaplatit člověka který mi to vše udělá ale já bych se to rád naučil :). Snad vám to nevadí.

---------- Příspěvek doplněn 17.01.2016 v 20:36 ----------

Jinak na blacklistu nejsem.

17. 1. 2016 20:06:49

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166874

TomasX

(4 hodnocení)

17. 1. 2016 20:39:16

Nedá, php je bezstavové, omezuje se to právě tím postfixem.

Pokud se ti na server třeba přes php dostane nějaká neplecha, často si právě pro sebe vytváří jména, hesla, účty a různá zadní vrátka. Ten řádek z logu, který jsem zmiňoval jasně říká, že z IP 46.148... se někdo připojil na submission port postfixu a nejspíš přesně takhle i rozesílá emaily.

První věc je, že nemáš nastavený firewall a postfix poslouchá na veřejném interfacu. Druhá závažná věc je, že pravidelně nesleduješ logy.

Chápu tě, ale nenaučíš se to z diskuzí, ale z knížek. Potřebuješ určité knowhow. V první řadě existuje fantastický nástroj https://cisofy.com/lynis/, který ti jako blbci řekne, co máš špatně nastavené. ISPConfig je zlo.

Pokud příjdeš k podobně kompromitovanému systému, nejprve se musíš dozvědět co tam běží, co s čím komunikuje a s kým vším server si povídá, k tomu slouží celá plejáda nástrojů https://s-media-cache-ak0.pinimg.com/736x/0b/dd/32/0bdd3285dcdb9a1ef26752cbef91ca5a.jpg.

Teď jako první věc bys měl zapnout postfix pouze na localhost, tj. změnit inet_interfaces na 127.0.0.1, lokálnímu php to vadit nebude a bude moci pořád posílat emaily, ale nikdo z venku již ne. Poté vymaž emailovou frontu, nejlépe bys měl smazat všechny kromě tvých emailů, tj. nejprve si je vylistovat přes "mailq" a pak vygrepovat co není tvoje. Pro tebe ale bude jednodušší rovnou smazat všechny emaily ve frontě "postsuper -d ALL" (snad si příkazy pamatuji správně)

Další věc je, že zkontroluješ, jestli na server není proces, který neznáš, což může být problém, pokud neznáš ani ty svoje ;). Měl bys prověřit intergritu svých php skriptů, že tem není nahraný nějaký, který neznáš nebo nebyl nějaký změněný. Ideálně smazat a nahrát znovu celý web.

17. 1. 2016 20:39:16

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166873

barneby

(1 hodnocení)

17. 1. 2016 21:25:23

Na serveru běží jen několik wordpresstu v kterých by nic být nemělo jsou to nové instalace. Všechny přihlašovací stránky webmail, webadmin atd.. běží přes SSL.

V postfixu jsem teda nastavil ten interfaces. Lynis je úžsnej nástroj děkuju že jsi mi ho úkázal a tady je mimochodem log zněj http://pastebin.com/M7ZWr0xj (schválně to nedávám jako odkaz).

Ještě by mě pak zajímalo certifikát v postfix mám nastavenej jako TLS jak to změní na SSL jako to bylo už od začátku připojeno šifrovaným spojeným plus bych se chtěl zeptat jestli je dobrej nápad postfix nastavit tak aby se dalo připojit jen přes certifikát. Jinak úlohy na serveru projíždím přes htop a zatím jsem nenašel nic co by tam nemělo být ale je tam toho hodně.

Děkuji.

---------- Příspěvek doplněn 17.01.2016 v 21:36 ----------

Ještě jesme chtěl jestli by jsi mi doporučil nějakou dobrou literaturu třeba něco z čeho jsi se učil ty jestli jsi se učil z knížek.

17. 1. 2016 21:25:23

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166872

TomasX

(4 hodnocení)

18. 1. 2016 00:10:03

S linuxem pracuji amatérsky 20 let. Z toho co jsem četl je velice dobrá Linux Bible, How Linux works, pohled do toho co je potřeba zabezpečit ti zase poskytne Kali Linux. Pokud jde o online zdroje tak ucelený přehled návodů je na https://github.com/Leo-G/DevopsWiki.

Pozor, nesdílej bezhlavě podobné logy, ač tady v tomhle nejsou přímo žádné důvěrné informace, nemusí to tak být vždy. Doporučení tam máš celou řadu, neber to jako mantru, některé pro tebe nejsou vhodné nebo některé potřebuješ, aby ti fungoval wordpress (allow_fopen_url)

Projdi si pečlivě doporučení, které tam máš, z mého pohledu mi připadá důležité:

- Install Apache mod_spamhaus to guard webserver against spammers

- Install Apache modsecurity to guard webserver against web application attacks

- Install Apache mod_qos to guard webserver against Slowloris attacks

- Install Apache mod_evasive to guard webserver against DoS/brute force attempts

- Run grpck manually and check your group files

Poměrně dost služeb ti poslouchá ven, namátkou mě zaujaly:

0.0.0.0:5353|udp

0.0.0.0:41392|tcp

0.0.0.0:143|tcp

0.0.0.0:110|tcp

Postfix (a obecně emaily) v SSL/TLS nejsou to stejné jako web. Jednak nemůžeš jednoduše striktně vynutit SSL/TLS, ne všechny emailové servery to podporují, pak by ti nemuseli odcházet nebo přicházet emaily. Postfix nevaliduje CA chain, tj. můžeš použít libovolný sám sebou podepsaný certifikát, to trošku snižuje užitečnost. Není dobrý nápad nastavit postfix pouze na SSL/TLS, v budoucnu ano, ale chce sledovat s kolika emailovými servery si povídáš nešifrovaně.

Z toho logu jsem si v rychlosti nevšiml žádné běžné neplechy, pravděpodobně jedinej vážnej problém jsi měl s otevřeným postfixem do světa. Vůbec nezáleží na tom, jak je server starý, jestli tam je wordpress čerstvě. Po internetu běhají roboti a skenují co se dá, může se stát, že nezabezpečený wordpress objeví i do několika hodin od spuštění.

18. 1. 2016 00:10:03

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166871

barneby

(1 hodnocení)

18. 1. 2016 10:11:58

Dobře děkuju. Teď mám ale problém ale s tím Postfixem jak jsem to nastavil jenom na localhost tak teď se nemohu připojit na SMTP z emailových klientů ale jen z toho localhostu. To je pro mě docela problém.

18. 1. 2016 10:11:58

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166870

TomasX

(4 hodnocení)

18. 1. 2016 10:18:54

ok, to jsi ale zatím nezmínil, že používáš emailové klienty :). Co to je zač, odkud se připojují? Ta IP adresa, co jsem sem dával je z Ukrajiny, je šance, že to je regulérní klient? Je možné třeba nastavit pro každého klienta pevnou IP adresu (síť), z které se připojuje?

Ono pak totiž stačí, když nějakému klientovi utečou přihlašovací údaje a je to zase v řiti.

PS: pro připojení klientů určitě vynucuj SSL/TLS

18. 1. 2016 10:18:54

https://webtrh.cz/diskuse/jak-opravim-aby-muj-server-nerozesilal-spam/#reply1166869