আমার সার্ভারে স্প্যামারগুলি সনাক্ত করুন


12

Undelivered Mail Returned to Senderআমার 1500 গ্রাহকের একজনকে আমার নিউজলেটার পাঠানোর সময় আমি একটি পেয়েছি । আমার ওয়েবসাইটটি একটি ডাবল-অপ্ট-ইন পদ্ধতি ব্যবহার করে তা নিশ্চিত করে, ব্যবহারকারী স্পষ্টভাবে আমার নিউজলেটারটি পেতে চান।

ত্রুটি বার্তা:

smtp; 554 ...
    Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
    refer to xyz.com if you feel this is in error.

আমি একটি স্প্যাম মেল একটি উদাহরণ পেয়েছি (গ্রাহক মেইল ​​সার্ভারের মেল সরবরাহকারী থেকে):

Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500

সরবরাহকারী আরও বলেছে যে আমার সার্ভারটি হ্যাক হয়ে গেছে বলে মনে হচ্ছে। তিনি আরও বলেছিলেন, "প্রাপক মেল সার্ভারটি কেবল সংযুক্ত আইপি দ্বারা এটি উপস্থাপন করা আরডিএনএসকে সহজভাবে লিপিবদ্ধ করেছে mail.com ([94.130.34.42])" - এটি অবশ্যই আমার আইপি ঠিকানার জন্য আমার আরডিএনএস এন্ট্রি (মেইল.লটসার্ক.ডি) কনফিগার করে না। সুতরাং আমি যদি আরডিএনএসকে সঠিকভাবে বুঝতে পেরেছি তবে রিসিভিং মেল সার্ভারটি প্রেরক আইপিটিকে একটি আরডিএনএস এন্ট্রি করার জন্য জিজ্ঞাসা করে (94.130.34.42 => => mail.lotsearch.de এ সমাধান করা উচিত যা এটি অবশ্যই আমার স্থানীয় মেশিনের মাধ্যমে পরীক্ষা করে দেখলে হয়) $ host 94.130.34.42)।

আরডিএনএসকে ফাঁকি দেওয়া কীভাবে সম্ভব? এটি প্রযুক্তিগতভাবে কীভাবে কাজ করতে পারে তা আমি কোনওভাবেই কল্পনা করতে পারি না (কেবলমাত্র প্রাপ্তি মেইল ​​সার্ভার এবং আমার সার্ভারের মধ্যে অবকাঠামোতে কোথাও একটি ম্যান-ইন-মধ্য-আক্রমণে)।

সরবরাহকারী আরও উল্লেখ করেছেন, "সম্ভবত আমার আইপি থেকে সংযোগকারী কোনও মেশিন আপোস হয়েছে এবং প্রাপক মেইল ​​সেভারে সরাসরি সংযোগের মাধ্যমে এই বার্তাগুলি প্রেরণ করেছে (এটি সরাসরি এমএক্স হিসাবেও পরিচিত)"। কী direct MXমানে? কেউ আমার কোনও মেইল ​​অ্যাকাউন্টে মেইল ​​শংসাপত্র ফাঁস করেছেন বা খুঁজে পেয়েছেন এবং মেল প্রেরণের জন্য সেগুলি ব্যবহার করেছেন?

আমার সার্ভারটি হ্যাক হবে না / হবে তা নিশ্চিত করার জন্য আমি এ পর্যন্ত যা করেছি তা হ'ল:

  • মেল লগ অনুসন্ধান ( var/log/mail*): সেখানে বিশেষ কিছুই
  • ssh লগইন লগগুলি ( last, lastb) চেক করেছেন : অস্বাভাবিক কিছু নয়
  • পোস্টফিক্স রিলে হচ্ছে কিনা তা পরীক্ষা করা হয়েছে: না এটি হয় না (টেলনেটের মাধ্যমে পরীক্ষা করা হয়)
  • ক্লেমাভের মাধ্যমে ম্যালওয়ারের জন্য চেক করা হয়েছে: ফলাফল নেই
  • ssh, postfix এবং dovecot এর জন্য ব্যর্থ 2ban ইনস্টল এবং কনফিগার করা হয়েছে
  • উবুন্টু 16.04 এর জন্য সর্বশেষ প্যাচগুলি / আপডেটগুলি ইনস্টল করেছেন (আমি প্রতি সপ্তাহে এটি করি)
  • আমার আইপি ঠিকানাটি কোনও ব্ল্যাকলিস্টে রয়েছে কিনা তা পরীক্ষা করে দেখুন: এটি নয় not
  • আমার হোস্টিং সরবরাহকারীর ম্যানেজমেন্ট কনসোলটিতে যাচাই করা rDNS এন্ট্রি: এটি সঠিকভাবে সেট করা আছে mail.lotsearch.de
  • সমস্ত মেল অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তিত হয়েছে
  • শেল অ্যাক্সেসের জন্য সর্বজনীন কীগুলি পরিবর্তন করা হয়েছে

আরও গুরুত্বপূর্ণ: posteitaliane@test123.itলগগুলি সম্পর্কে কোনও তথ্য ছিল না । সুতরাং যদি আমার সার্ভারটি কোনও স্প্যামার দ্বারা অপব্যবহার করা হত (মেইল অ্যাকাউন্টগুলির মধ্যে একটির SMTP শংসাপত্রের কারণে) আমি লগ ফাইলগুলিতে দেখতে পেতাম।

আমি শেষ সম্ভাবনাটি ভাবতে পারি তা হ'ল একজন প্রবেশকারী আমার সার্ভারে ম্যালওয়ার স্থাপন করেছিল যা আমি এখনও পাইনি।

আমি কীভাবে বহির্গামী মেল ট্রাফিক (প্রতিটি প্রক্রিয়া এবং প্রতি বন্দর) পর্যবেক্ষণ করতে পারি?

কেবলমাত্র বহির্গামী পোর্ট 25 পর্যবেক্ষণ করা সাহায্য করবে না কারণ এটি কেবল পোস্টফিক্সের মাধ্যমে প্রেরিত অনিয়মিত মেলগুলি ফাঁদে ফেলবে, তবে কোনও সম্ভাব্য ম্যালওয়ার সংক্রমণের কারণে তৈরি মেল ট্র্যাফিক নয় (যদি ম্যালওয়্যার সরাসরি মেইল ​​প্রেরণের জন্য / প্রাপক মেল সার্ভারের সাথে যোগাযোগ করার জন্য 25 এর চেয়ে বেশি বন্দর ব্যবহার করে) । আমি যদি সমস্ত বন্দরগুলিতে বহির্গামী যানজট নিরীক্ষণ করি তবে আমি বিশাল লগ ফাইলের একটি উপায় পাব যা সন্দেহজনক কার্যকলাপের জন্য দক্ষতার সাথে অনুসন্ধান করতে পারি না।

সম্পাদনা - ওপেন রিলে পরীক্ষা যুক্ত করা হয়েছে:

$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied

সম্পাদনা - চলমান ওয়েব অ্যাপস


"যদি আমি সমস্ত বন্দরগুলিতে বহির্গামী যানজট নিরীক্ষণ করি" ... কেন? এই মেইল ​​সার্ভারটি আর কী ট্র্যাফিক পাঠাচ্ছে? আপনি কি নিশ্চিত যে আপনি একটি উন্মুক্ত রিলে কনফিগার করেছেন না? এবং সার্ভারে মেল প্রেরণে অ্যাক্সেস সহ কেউই শংসাপত্র ফাঁস করেন না?
ড্যানিয়েল উইড্রিক

@ ড্যানিয়েলভিড্রিক মেলসভারটি একটি ওয়েবসভার হিসাবেও ব্যবহৃত হয়, সুতরাং ৪৪৩ এবং ৮০ এর ট্র্যাফিকও সম্ভব। আমি আমার সার্ভারে রাখা এমন এক ধরণের ম্যালওয়ারের কথা চিন্তা করেছি যা সরাসরি বাহ্যিক মেইল ​​সার্ভারের সাথে যোগাযোগ করে (ডিফল্ট মেল সার্ভার পোস্টফিক্সের মাধ্যমে নয়)। ওপেন রিলে সম্পর্কে: আমি নিশ্চিত করেছিলাম যে কোনও ওপেন রিলে নেই তা নিশ্চিত করার জন্য আমি আমার প্রশ্নটি সম্পাদন করেছি performed আপনার শেষ প্রশ্নের উত্তর দেওয়া শক্ত কারণ আমি আমার গ্রাহকদের কম্পিউটারের "স্বাস্থ্য" সম্পর্কে জানি না (যেখানে আমার সার্ভারের মেল অ্যাকাউন্টগুলি কনফিগার করা আছে) বা যদি তারা ম্যালওয়্যার / কীলগার দ্বারা সংক্রামিত হয় যা শংসাপত্রগুলি পেয়েছে ইত্যাদি
এমফিউসলিন

ডিস্ক সস্তা। আপনার পরিস্থিতিতে লগের এক বছরের মূল্য রাখার জন্য একটি বৈধ কেস রয়েছে। তাদের সার্ভার থেকে সরাসরি চালিত করার জন্য সিসলগ ইত্যাদি ব্যবহার বিবেচনা করুন।
ক্রিগগি

উত্তর:


13

আমার পরামর্শটি পাওয়ার আগে আমি আপনার সরবরাহকারী আপনাকে যা বলেছিল তার বিষয়ে কিছুটা মন্তব্য করতে চাই:

 Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100

এটি ইঙ্গিত দেয় না যে 94.130.34.42 এর বিপরীত ডিএনএস মেল ডটকম (বা ছিল)। বরং এটি নির্দেশ করে যে এসএমটিপি ক্লায়েন্ট mail.comতার HELO(বা EHLO) লাইনে প্রেরণ করেছে । (একটি ভাল-কনফিগার করা মেল সার্ভারটি এই সংযোগটি পুরোপুরি প্রত্যাখাত করত, তবে এটি সুইসকমের উপর, আপনি নয় ...) এই লাইনটি কোনও বিপরীত ডিএনএস এন্ট্রি নির্দেশ করে না। যদি এটি হয়, এটি প্রথম বন্ধনীগুলির মধ্যে উপস্থিত হত। উদাহরণ স্বরূপ:

Received: from mail-io0-f197.google.com (mail-io0-f197.google.com [209.85.223.197])

এই ক্ষেত্রে, প্রথম হোস্টনামটি মেল সার্ভারকে নিজের হিসাবে চিহ্নিত করেছিল EHLO। দ্বিতীয় হোস্টনামটি সংযোগটি তৈরি হওয়ার সময় রেকর্ড করা বিপরীত ডিএনএস।

আরএফসি 5321 বিভাগ 4.4 একটি প্রথাগত ব্যাকরণ সহ প্রাপ্ত: রেখার ফর্ম্যাটটি ব্যাখ্যা করে।

আপনার ক্ষেত্রে, কোনও বিপরীত ডিএনএস রেকর্ড করা হয়নি। যেহেতু আপনার আইপি ঠিকানায় একটি পিটিআর রেকর্ড রয়েছে তাই এটি হতে পারে কারণ তারা এটি সন্ধান করেনি বা অস্থায়ী ডিএনএস ব্যর্থ হয়েছে।


এখন, এটি প্রদর্শিত হচ্ছে আপনি একটি ওয়েব হোস্টিং পরিষেবা চালাচ্ছেন এবং অসংখ্য ওয়েব অ্যাপ্লিকেশন রয়েছে। এর মধ্যে যদি কোনওর সাথে আপস করা হয় তবে এটি স্প্যাম প্রেরণ শুরু করতে পারে। এগুলি প্রায়শই তাদের এমএক্স রেকর্ডগুলি সন্ধান করে এবং 25 পোর্টের সাথে সংযোগ স্থাপন করে দূরবর্তী মেল সার্ভারের সাথে সরাসরি সংযোগ স্থাপন করে, মনে হয় স্থানীয় মেল স্পুলে মেল সরবরাহ করার পরিবর্তে বা 587 বা 465-তে কোনও সত্যায়িত মেইল ​​সার্ভিসের পরিবর্তে তারা নিজেরাই একটি মেল সার্ভার ছিল 58 বৈধ ওয়েব অ্যাপ্লিকেশন হিসাবে।

আমি এটি বন্ধ করার একটি উপায় হ'ল ফায়ারওয়াল নিয়ম প্রয়োগ করা যা পোর্ট 25 এ বহির্গামী সংযোগগুলিকে প্রতিরোধ করে যদি না ব্যবহারকারী মেইল ​​সার্ভার ব্যবহারকারী হয়। উদাহরণ স্বরূপ:

iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT

ওয়েব অ্যাপ্লিকেশনগুলি আর দূরবর্তী এসএমটিপি সার্ভারগুলিতে সরাসরি মেইল ​​সরবরাহ করতে পারে না, তবে অবশ্যই অবশ্যই স্থানীয় মেল স্পুল বা একটি প্রমাণীকৃত মেল পরিষেবা ব্যবহার করতে হবে।


আপনার উত্তর করার জন্য আপনাকে ধন্যবাদ। iptablesপোস্টফিক্স এবং প্লেস্ক ব্যবহারকারী ইমেলগুলি প্রেরণ করার জন্য কীভাবে আমার বিধি নির্দিষ্ট করতে হবে (যেমন আমি মনে করি যে প্লেস্ক প্যানেল মেলগুলি পোস্টফিক্সের মাধ্যমে নয় সরাসরি পাঠায়)। পোস্টফিক্সের মাধ্যমে এসএমটিপি-র মাধ্যমে ইমেল প্রেরণের জন্য ক্রন্ডোমন (আমার ক্রোনজবস) কনফিগার করাও সম্ভব? আমি ক্রোন ব্যবহারকারীকে আইপটিবেলে যোগ করতে চাই না (অন্য একটি ব্যতিক্রম হিসাবে) মেল ট্র্যাফিক যেখানে পোস্টফিক্স দিয়ে যেতে দেওয়া সম্ভব হবে এটি আরও সুরক্ষিত হবে। ক্রোনটবকে ত্রুটিযুক্ত লগগুলি প্রেরণের জন্য পোস্টফিক্স ব্যবহার করা দেওয়া কি সম্ভব? আমি কি সার্ভারফল্ট এ এখানে একটি নতুন প্রশ্ন করা উচিত?
mfuesslin

প্লেস্কের সাথে এটি কীভাবে করা যায় তা আমি জানি না। আমরা এখানে যাইহোক প্লেস্ক সম্পর্কে প্রশ্নগুলি পরিচালনা করি না
মাইকেল হ্যাম্পটন

ঠিক আছে, তবে আমি যদি একাধিক ব্যবহারকারীকে নির্দিষ্ট করতে চাই যা 25 পোর্টের মাধ্যমে ডেটা প্রেরণের অনুমতি দেয় তবে আমি কি কেবল iptables নিয়মটি অনুলিপি করতে পারি এবং অন্য ব্যবহারকারীর সাথে একটি দ্বিতীয় যুক্ত করতে পারি বা আমাকে কি এটি একটি নিয়মের মধ্যে নির্দিষ্ট করতে হবে?
mfuesslin

সম্ভবত না; আমি মনে করি আপনাকে একটি ব্যবহারকারী শৃঙ্খলা তৈরি করতে হবে।
মাইকেল হ্যাম্পটন

প্রদত্ত iptables নিয়ম সম্পর্কে একটি বিষয়: আপনি কি নিশ্চিত যে ব্যবহারকারীর জন্য আমাদের নিয়ম সেট করার দরকার নেই root? কারণ পোস্টফিক্সের মাস্টার প্রক্রিয়া rootবেশিরভাগ ক্ষেত্রেই চালিত হয় । অথবা পোস্টফিক্স মাস্টার প্রক্রিয়াটি postfixইমেলগুলি প্রেরণ / জিনিসপত্র ব্যবহারকারীর ব্যবহার করে সাব-প্রসেসগুলি স্প্যান করে ? আমি আপনার iptables নিয়মটি চেষ্টা করেছিলাম, ইমেলগুলি সরবরাহ করা যায়নি ... যদি আমি ps -ef | grep "postfix"দেখি যে ব্যবহারকারীরা postfixএবং একটি মাস্টার প্রক্রিয়া চালিত কিছু উপ- প্রক্রিয়াগুলি চালাচ্ছে root...
mfuesslin

7

এই দিন এবং যুগে আপনার নিজের মেইল ​​সার্ভারটি করার চেষ্টা করা বেশিরভাগ অংশের জন্য হেরে যাওয়া যুদ্ধ এবং আপনি একটি সাশ্রয়ী মূল্যের পরিষেবাটি খুঁজে পাওয়ার চেয়ে ভাল। বলার পরে ..

  • সরবরাহকারী যা আপনার ব্লক করেছে এবং আপনার সন্দেহজনক কিছু খুঁজে পেতে পারে কিনা তা দেখুন your এটি সম্ভব এবং প্রায়শই ঘটে যায় যে কেউ আপনার নিউজলেটারে সাবস্ক্রাইব করে ভুলে যায় এবং আপনাকে স্প্যাম হিসাবে চিহ্নিত করে। তারপরে সরবরাহকারীর উপর নির্ভর করে আপনি কোনও ভুল না করে সত্ত্বেও সরবরাহকারীর ব্ল্যাকলিস্টে পেতে পারেন।

  • আপনার অন্য সমস্ত ইমেল থেকে দুটি সার্ভারে ভর মেলিং আলাদা করুন।

  • সর্বনিম্ন এবং আরও ভাল মাসগুলিতে সপ্তাহের জন্য লগগুলি রাখুন। সুতরাং যে কোনও সময় আপনার গবেষণা হয়।

  • যে কোনও সরবরাহকারীর কাছ থেকে অনুরূপ পরিস্থিতিতে আপনার লগগুলি প্রতিদিন পরীক্ষা করুন এবং এটি দৈনিক বা তাত্ক্ষণিকভাবে সন্ধান করুন .. দ্বিতীয়টি আপনি অবরুদ্ধ হয়ে যান এবং যদি আপনি এটি প্রেরণের চেষ্টা চালিয়ে যান তবে আরও খারাপ হতে পারে। আপনি একটি অস্থায়ী ব্লক থেকে স্থায়ী ব্লকে যেতে পারেন .. একটি কালো তালিকাতে প্রতিবেদন করতে।

  • তারা কীভাবে এটি বাস্তবায়ন করে তা নিশ্চিত নয়, তবে আমি জানি যে বহু সরবরাহকারী আউটবাউন্ড মেল পরিষেবাদির জন্য করছেন তা হ'ল দ্বিতীয় কোনও সরবরাহকারী / আইপি কোনও ইমেল ব্লক করে তারপরে অন্য কোনও ইমেল প্রেরণের চেষ্টা না করে। আদর্শভাবে আপনি যেমন কিছু চান। কারণ দ্বিতীয়টি অবরুদ্ধ হয়ে পড়েছে, আরও পাঠানো কেবল সমস্যাটিকে আরও বাড়িয়ে তুলবে।


4
@ এমফিউসলিন মেলচিম্প ব্যবহার করার জন্য ভুল প্ল্যাটফর্ম হতে পারে। মেলচিম্প একটি ইমেল বিপণন পরিষেবা, আপনার যা প্রয়োজন তা হ'ল একটি লেনদেনমূলক ইমেল পরিষেবা। ম্যান্ড্রিলকে দেখুন (মেলচিম্পের মালিকানাধীন একই ব্যক্তিদের মালিকানাধীন)। 25,000 ইমেলের ব্লকের জন্য এটি প্রতি মাসে 20 ডলার। খুব ব্যয়বহুল নয়। আপনার নিজের আইপি ঠিকানা থেকে প্রতিদিন এটির অনেকগুলি ইমেল প্রেরণার ফলে কেবলমাত্র একটি স্প্যাম-বাক্সের উচ্চ হার আসে ... এটি হেরে যাওয়া লড়াই। আপনি প্রতিদিন পুরোটা আপনার ডেলিভারিবিলিটি রেটের দিকে ঝোঁক ছাড়া আর কিছুই করার জন্য একটি পুরো দলকে নিয়োগ করতে পারেন এবং এখনও কোনও লেনদেন পরিষেবা ব্যবহারের মতো ভাল হতে পারেন না।
স্নেকডোক

1
সার্ভারফল্ট ডট কম ব্যবহার করা লোকেরা মেল সার্ভার চালাতে সক্ষম হতে হবে; এটি করা খুব কঠিন নয়। এটি বলেছিল, মেল সার্ভারটি দোষের মতো বলে মনে হচ্ছে না, এটি এমন কোনও আপসযুক্ত ওয়েব পৃষ্ঠার মতো দেখাচ্ছে যা সরাসরি স্প্যাম প্রেরণ করছে।
wurtel

1
@ উরটেল কেবল কারণ যে কেউ কিছু করতে পারে তার জ্ঞান আছে তার অর্থ এটি করা অর্থহীন নয়। আপনি যদি প্রয়োজন হয় তা করতে X / মাসের জন্য কোনও পরিষেবা খুঁজে পেতে পারেন এবং এটি করার জন্য আপনার কাছে 4X / মাসের মূল্য সময় / প্রচেষ্টার দরকার পড়ে তবে এটি নিজেরাই করা সত্যিকার অর্থে বোধগম্য নয়।
ফ্রান্সিসকো

1
@ উরটেল সক্ষম? হ্যাঁ. ইনবক্সে ধারাবাহিকভাবে বিতরণ করা হচ্ছে, দিনে 1500+ ইমেল প্রেরণ করা হচ্ছে? প্রশ্নবিদ্ধ এবং সম্ভবত একটি নং - কেউ বলছে না যে আপনি এটি করতে পারবেন না ... কেবল এটি ভালভাবে চালিয়ে যাওয়া, ধারাবাহিকভাবে এবং দীর্ঘ সময়ের জন্য, এটি আপনাকে মাসে $ 20 ডলারের বেশি ব্যয় করতে হবে ।
স্নেকডোক

2
আমি 15 বছরেরও বেশি সময় ধরে এমন একটি সার্ভার বজায় রেখেছি, নিয়মিত একাধিক ডোমেনের জন্য প্রতিদিন 30-50 হাজার মেলিংলিস্ট বার্তা প্রেরণ করি এবং আমি খুব কমই মাসে এক ঘণ্টার বেশি সময় ব্যয় করি (নিয়মিত প্রবণতা আপগ্রেড ছাড়াও)। সার্ভারটি যাইহোক একাধিক ওয়েবসাইট পরিবেশন করছে, সুতরাং সেখানে কোনও অতিরিক্ত বিনিয়োগ নেই। আমি কিছুটা দুঃখ পেয়েছি যে লোকেরা নিজেকে সহজেই করতে পারেন এমন কাজ করার জন্য পরিষেবা কেনার পক্ষে পরামর্শ দিচ্ছেন। পথে কিছুটা শেখার ক্ষেত্রে ভুল নেই।
wurtel
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.