Общие

Как определить, стал ли / почему / где мой почтовый сервер источником спама?

NB: хотя я ни в коем случае не эксперт по почте, я использую свои собственные почтовые серверы с 90-х годов. Я самостоятельно размещаю на AWS с 2011 года и использую эту конфигурацию с 7 февраля 2020 года.

Я самостоятельно размещаю свои собственные почтовые серверы, использую postfix, amavisd с clamAV и spamassassin. TLS включен. У меня настроены SPF, DKIM и DMARC. Долгое время это было нормально, но сегодня утром я получил несколько загадочных писем.

Я не получаю тысячи или даже сотни из них, как будто произошел какой-то серьезный компромисс, но сегодня утром я получил два уведомления о сбое доставки на свой общий адрес электронной почты, которые выглядели следующим образом:

To: prvs=743e3f235=[realUser]@[mydomain].com 
Content-Type: multipart/report; report-type=delivery-status; boundary="2CcTr.5mDMSZCBb.1suc9C.8qfSAkJ"
Mime-Version: 1.0
Return-Path: <>
X-Virus-Scanned: amavisd-new at example.com
X-Original-To: [catchall]@[mydomain].com
<20210426005612.8849B874A1@[primaryMailServer].[mydomain].com>
Received: from localhost (unknown [127.0.0.1]) by [primaryMailServer].[mydomain].com (Postfix) with ESMTP id 8849B874A1 for <[catchall]@[mydomain].com>; Mon, 26 Apr 2021 00:56:12 +0000 (UTC)
Received: from [primaryMailServer].[mydomain].com ([127.0.0.1]) by localhost (ip-10-0-200-85.eu-central-1.compute.internal [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 7y9xYeF6dq_C for <[catchall]@[mydomain].com>; Mon, 26 Apr 2021 00:56:11 +0000 (UTC)
Received: from mail02.ssp-europe.eu (mail02.ssp-europe.eu [94.16.0.22]) by [primaryMailServer].[mydomain].com (Postfix) with ESMTP id 7CA87874AB for <prvs=743e3f235=[realUser]@[mydomain].com>; Mon, 26 Apr 2021 00:56:10 +0000 (UTC)
Received: from localhost by mail02.ssp-europe.eu; 26 Apr 2021 02:56:10 +0200
Delivered-To: [catchalll]@[mydomain].com
Dkim-Filter: OpenDKIM Filter v2.11.0 [primaryMailServer].[mydomain].com 7CA87874AB

За ним следовало сообщение о недоставке, в котором все выглядело так, как будто [realUser] отправил электронное письмо (подробности см. ниже); тем не мение, [realUser] оказывается моей женой, и я знаю, что она никогда не входила в учетную запись (которая была создана в течение последних нескольких месяцев).

Вдобавок, основываясь на этом, я проверил mxtoolbox.com, и он вернул в основном нормально, но с моим сервером примерно в дюжине списков спама. Периодически в течение последнего десятилетия я появлялся в одном или двух списках, потому что в них была вся моя подсеть AWS, но я никогда не был в таком количестве.

Сочетание этих двух вещей заставляет меня думать … что-то плохое происходит. Но я понятия не имею, где искать.

Есть идеи, как мне выяснить, был ли я каким-то образом скомпрометирован и стал ли я источником / ретранслятором спама? (и если да, то как это остановить)?

Сообщение о полном отказе, которое наверняка было отправлено не предполагаемым пользователем:

Delivery has failed to these recipients or groups:

[remote@email.user]
The email address you entered couldn't be found. Please check the recipient's email address and try to resend the message. If the problem continues, please contact your helpdesk.








Diagnostic information for administrators:

Generating server: SOPPEXC06.MEGroup.Global

[remote@email.user]
Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not found'

Original message headers:
Received: from soppexc03.MEGroup.Global (10.6.2.7) by SOPPEXC06.MEGroup.Global
 (10.6.2.20) with Microsoft SMTP Server (TLS) id 15.0.1497.2; Mon, 26 Apr 2021
 05:44:17 +0200
Received: from relay2.murrelektronik.de (212.211.170.71) by
 soppexc03.MEGroup.Global (10.6.2.7) with Microsoft SMTP Server id 15.0.1497.2
 via Frontend Transport; Mon, 26 Apr 2021 05:44:17 +0200
IronPort-SDR: KHK5mjTYHQ5uFdIN7fPMs2UbdYYLVgmMmYmVZW8Si8st5gdF1h50oxwUVpEGnYRs+Fvo56Ofio
 3s0Pc7UKH6MkZ3qVcDtn2VtTzgW+InJnOrkqD3zME0lEqaTQ/DXyirCumKQPmpalQs791w8dUe
 Yj4PSurFHsmNENGdLiM7n6LdlCvtjkqbfPkODauBrpVI5IlxGTiafzSSvds/ZzWZQjogkGDEpk
 cLY6xjuFtloMKEVTISHThjWoL6QEJoSPgbskBlK7xZIgmg2mmO8HycBksz5HSk2KO/kYyA7agZ
 JNQ=
X-IronPort-AV: E=Sophos;i="5.82,251,1613430000";
   d="scan'208";a="1849799"
Received: from muc-mta01.mas.t-systems-service.com ([46.29.101.1])
  by relay2.[remote].de with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 26 Apr 2021 05:44:16 +0200
Received: from mgb-mta06.aptp.t-systems-service.com ([94.100.245.106] helo=sp1-mgb-mta06.aptp.t-systems-service.com)
        by muc-mta01.mas.t-systems-service.com with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
        (envelope-from <[realUser]@[mydomain].com>)
        id 1lasAS-0001XD-71
        for [remote@email.user]; Mon, 26 Apr 2021 05:44:16 +0200
X-APTPEXTRACT: True
Received: from localhost (localhost [127.0.0.1])
        by sp1-mgb-mta06.aptp.t-systems-service.com (Postfix) with ESMTP id 4FT9jZ03V5z7dfD
        for <[remote@email.user]>; Mon, 26 Apr 2021 05:43:46 +0200 (CEST)
X-MTA-CheckPoint: {608636F2-0-16695D06-4020}
X-APTPEXTRACT: True
Received: from muc-mta01.mas.t-systems-service.com (muc-mta01.mas.t-systems-service.com [46.29.101.1])
        by sp1-mgb-mta06.aptp.t-systems-service.com (Postfix) with ESMTPS id 4FT9jY70hjz7dcD
        for <[remote@email.user]>; Mon, 26 Apr 2021 05:43:45 +0200 (CEST)
Received: from [primaryMailServer].[mydomain].com ([54.93.189.174])
        by muc-mta01.mas.t-systems-service.com with esmtp (envelope-from <[realUser]@[mydomain].com>)
        id 1las9x-0007gQ-9J
        for [remote@email.user]; Mon, 26 Apr 2021 05:43:45 +0200
Received: from localhost (unknown [127.0.0.1])
        by [primaryMailServer].[mydomain].com (Postfix) with ESMTP id 36DC38B0BA;
        Mon, 26 Apr 2021 02:24:50 +0000 (UTC)
X-Virus-Scanned: amavisd-new at example.com
Received: from [primaryMailServer].[mydomain].com ([127.0.0.1])
        by localhost (ip-10-0-200-85.eu-central-1.compute.internal [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id aJBzl167MVfu; Mon, 26 Apr 2021 02:24:49 +0000 (UTC)
Received: from [192.168.43.233] (82-132-222-88.dab.02.net [82.132.222.88])
        (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
        (No client certificate requested)
        by [primaryMailServer].[mydomain].com (Postfix) with ESMTPSA id 0C85E8B0B4;
        Mon, 26 Apr 2021 02:24:46 +0000 (UTC)
DKIM-Filter: OpenDKIM Filter v2.11.0 [primaryMailServer].[mydomain].com 0C85E8B0B4
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=[mydomain].com;
        s=default; t=1619403888;
        bh=t+jJU+6FAGLB/KZpiyopWy9E4xNItGldV2M31xlV8Ek=;
        h=Subject:To:From:Date:Reply-To:From;
        b=VbdF2dsMDlwSzgytuMzRkRxCeOkNXMH4FSq4qOImGrQT5WEmgbi3vODhWGhS9/1Zq
         JZIlsjpYGK3dgbZJ5zFSeQnX2SaSj4JA57wshOKDFBFLnOIviTNemYV8QBeuDMnZpn
         HW1UhUoxe5USWkYBj3TtoLmt2GScHCUSXJw332+k=
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Garantie Darlehen Angebot gelten jetzt
To: Recipients <[realUser]@[mydomain].com>
X-APTPEXTRACT: True
X-APTPEXTRACT: True
From: <[realUser]@[mydomain].com>
Date: Mon, 26 Apr 2021 03:24:44 +0100
Reply-To: [remote@email.usr]
X-Antivirus: Avast (VPS 210425-24, 25/04/2021), Outbound message
X-Antivirus-Status: Clean
Message-ID: <20210426022450.36DC38B0BA@[primaryMailServer].[mydomain].com>
X-SGG-UMAMSID: 20210426034345Z29538muc-mta01.mas.t-systems-service.com 1las9x-0007gQ-9J
X-SGG-RESULT: 20210426034345Z29538muc-mta01.mas.t-systems-service.com C1:OK E1:OK MX1:OK BL:OK SPF:pass  CT:Confirmed CM: SIP:54.93.189.174 SMF:[realUser]@[mydomain].com
X-SGG-MF: [realUser]@[mydomain].com
X-SGG-CTRefId: str=0001.0A782F15.6085DF3D.0063,ss=4,sh,re=0.000,recu=0.000,reip=0.000,cl=4,cld=1,fgs=0
X-SGG-Platform: 481ba73ae510d215d7d91bff9f2a28ac
X-SGG-FLAGS-481ba73ae510d215d7d91bff9f2a28ac: C1=OK E1=OK MX1=OK BL=OK SPF=pass SPFLIST=""
X-APTPEXTRACT: TRUE
X-SGG-RESULT: 20210426034416Z5903muc-mta01.mas.t-systems-service.com C1:OK E1:OK MX1:OK BL:OK SPF:off  CT:Confirmed CM: SIP:94.100.245.106 SMF:[realUser]@[mydomain].com
X-SGG-MF: [realUser]@[mydomain].com
X-SGG-CTRefId: str=0001.0A782F15.6085DF3D.0063,ss=4,sh,re=0.000,recu=0.000,reip=0.000,cl=4,cld=1,fgs=0
X-SGG-DKIM-Signing: off
Return-Path: prvs=74350cd7e=[realUser]@[mydomain].com
Reporting-MTA: dns;SOPPEXC06.MEGroup.Global
Received-From-MTA: dns;relay2.murrelektronik.de
Arrival-Date: Mon, 26 Apr 2021 03:44:17 +0000

Final-Recipient: rfc822;[remote@email.usr]
Action: failed
Status: 5.1.1
Diagnostic-Code: smtp;550 5.1.1 RESOLVER.ADR.RecipNotFound; not found


From: <[realUser]@[mydomain].com>
Subject: Garantie Darlehen Angebot gelten jetzt
Date: 26 April 2021 at 04:24:44 CEST
To: Recipients <[realUser]@[mydomain].com>
Reply-To: <[remote@email.usr]>


Guten Tag, Herr / Frau

Benötigen Sie ein Garantiedarlehensangebot? Ich meine zuverlässiges Garantiedarlehensangebot mit einem Zinssatz von 0,5% nur für den Zeitraum von 1 bis 45 Jahren? Marery Financial Loan Company ist die zuverlässige Kreditgesellschaft, die Sie jederzeit und an jedem Tag kontaktieren können, da Marery Financial Loan Company verschiedene Arten von zuverlässigen Krediten anbietet

Wenn Sie weitere Informationen zu Marery Financial Loan Company benötigen, erreichen Sie mich bitte unter der unten angegebenen E-Mail-Adresse

0

Похожие записи:

  1. Почему после настройки новой сети соединение с моим сервером minecraft (через nginx) было потеряно, в то время как все другие службы, обслуживаемые nginx, работают нормально?
  2. Как отправлять почту через внешний SMTP с локальных ящиков сервера ClearOS?
  3. ServerSocket не отправляет данные клиенту на button_click [closed]
  4. Функция сброса пароля в Codeigniter 3
  5. Найдите решение квадратного уравнения

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *