1. Accueil
  2. Question et réponse
  3. trouver la source de spam à partir de l'en-tête de courrier

trouver la source de spam à partir de l'en-tête de courrier

2017-08-22 9 views
0

J'ai un serveur Centos avec Postfix. mon serveur a été abusé par quelqu'un pour envoyer des spams. Je scanne régulièrement le serveur avec la détection de logiciels malveillants et d'autres outils. Il y a également une limite de 50mails/heure définie par le panneau de contrôle Plesk. serveur OS et d'autres logiciels sur le serveur est mis à jour régulièrement.trouver la source de spam à partir de l'en-tête de courrier

Cependant, mon FAI m'a informé qu'il y avait beaucoup de spams envoyés depuis l'IP, donc ils ont bloqué l'IP. J'ai essayé tout le chemin pour détecter la source, mais j'ai échoué.

Si quelqu'un peut me suggérer une façon de trouver le spammeur/script spamming de l'en-tête, fera mon facile :) (je masqué mon ip serveur comme server.myserver.com/100.100.100.100)

########## courrier en-tête 
X-HmXmrOriginalRecipient: [email protected] 
Received: from BN3NAM04HT097.eop-NAM04.prod.protection.outlook.com 
(10.175.9.152) by MWHPR14MB1711.namprd14.prod.outlook.com with HTTPS via 
MWHPR18CA0038.NAMPRD18.PROD.OUTLOOK.COM; Sun, 13 Aug 2017 13:28:43 +0000 
Received: from BN3NAM04FT012.eop-NAM04.prod.protection.outlook.com 
(10.152.92.54) by BN3NAM04HT097.eop-NAM04.prod.protection.outlook.com 
(10.152.93.173) with Microsoft SMTP Server (version=TLS1_2, 
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.1304.16; Sun, 13 
Aug 2017 13:28:42 +0000 
Authentication-Results: spf=none (sender IP is 100.100.100.100) 
smtp.mailfrom=hotpop3.com; hotmail.com; dkim=none (message not signed) 
header.d=none;hotmail.com; dmarc=none action=none header.from=hotpop3.com; 
Received-SPF: None (protection.outlook.com: hotpop3.com does not designate 
permitted sender hosts) 
Received: from BAY004-MC1F21.hotmail.com (10.152.92.58) by 
BN3NAM04FT012.mail.protection.outlook.com (10.152.92.169) with Microsoft SMTP 
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 
15.1.1304.16 via Frontend Transport; Sun, 13 Aug 2017 13:28:41 +0000 
X-IncomingTopHeaderMarker: OriginalChecksum:F12CEF74F354E5E4529259D131D19D0E4D4442B5F4483E6B74E2D931A45FBA73;UpperCasedChecksum:76720E6505CE4C455F8D3F0CB51C70A39163C5E1791F81A33FB44509BB39FB53;SizeAsReceived:678;Count:13 
Received: from server.myserver.com ([100.100.100.100]) by BAY004-MC1F21.hotmail.com with Microsoft SMTPSVC(7.5.7601.23143); 
Sun, 13 Aug 2017 06:28:35 -0700 
Subject: Lizmay You have a message that will be deleted in 6 days legendary 
Feverishly-Vague-Notebooks: 16359 
To: [email protected] 
Content-Type: text/html; charset="UTF-8" 
Pectoral-Rises-Hobble: sense 
Date: Sun, 13 Aug 2017 09:28:34 +0000 
Content-Transfer-Encoding: 7bit 
Message-ID: [email protected] 
From: Notification Facebook [email protected] 
Return-Path: [email protected] 
X-OriginalArrivalTime: 13 Aug 2017 13:28:35.0988 (UTC) FILETIME=[11010540:01D31438] 
X-IncomingHeaderCount: 13 
X-MS-Exchange-Organization-Network-Message-Id: 10ae07f6-85af-416d-5f30-08d4e24f3700 
X-EOPAttributedMessage: 0 
X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0 
X-MS-Exchange-Organization-MessageDirectionality: Incoming 
CMM-sender-ip: 100.100.100.100 
CMM-sending-ip: 100.100.100.100 
CMM-Authentication-Results: hotmail.com; spf=none (sender IP is 
100.100.100.100) [email protected]; dkim=none 
header.d=hotpop3.com; x-hmca=none [email protected] 
CMM-X-SID-PRA: [email protected] 
CMM-X-AUTH-Result: NONE 
CMM-X-SID-Result: NONE 
CMM-X-Message-Status: n:n 
CMM-X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 
CMM-X-Message-Info: 3c21WZ1hAltI9DuizMAEE41BI5AyVQJy5WKTrkRtozy7n8uROmdGq+2lzhar6phB3KoijGvJ2eF4om5ai2JdojRslastfe6pj1PSlUSTzu43fu053gfRHmctpRBqOUpyGS3Vvp2i0dMdFEBn/V2FUePTQUv3iK5Hc6xpG2YhOg6feY2B48yB5jfebtnjBPmjRuGMUZjZRdLVNuhzm251tnrEfTwhUg4szJwHV/Dlf+P/AiA7NYuF6WUYldYez+RR 
X-MS-Exchange-Organization-PCL: 2 
X-MS-UserLastLogonTime: 8/13/2017 3:35:36 AM

Source

2017-08-22 Nathan

Répondre

0

S'il vous plaît assurez-vous de configurer Postfix avec les paramètres suivants:

... 
smtp_tls_security_level = may 
smtp_use_tls = no 
smtpd_tls_security_level = may 
smtpd_use_tls = yes 
smtpd_sasl_auth_enable = yes 
smtpd_tls_auth_only = no 

smtp_sasl_security_options = noanonymous 
smtp_sasl_tls_security_options = noanonymous 
smtpd_sasl_security_options = noanonymous 
smtpd_sasl_tls_security_options = noanonymous 
...

et

... 
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination 
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated 
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client xbl.spamhaus.org 
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination 
...

par exemple.

Pls. assurez-vous que "Autoriser les utilisateurs et les scripts à utiliser Sendmail" n'est PAS configuré sur => ACCUEIL> Outils et paramètres> Paramètres du serveur de messagerie, car cela empêche l'utilisation de sendmail et autorise uniquement l'envoi de courrier avec authentification SMTP (qui est recommandé dans votre cas!).

Pls. vérifier aussi bien l'officiel Plesk Base de connaissances - article:

=>Many email messages are sent from PHP scripts on a server. How to find domains on which these scripts are running if Postfix is used?

... et considérer aussi bien utiliser l'aide de la Communauté Forum Plesk au Forum communautaire officiel Plesk: =>https://talk.plesk.com

Source

2017-08-22 22:19:20 UFHH01

 Questions connexes

  • Aucun problème connexe^_^