আমার সার্ভারে স্প্যামারগুলি সনাক্ত করুন

Undelivered Mail Returned to Senderআমার 1500 গ্রাহকের একজনকে আমার নিউজলেটার পাঠানোর সময় আমি একটি পেয়েছি । আমার ওয়েবসাইটটি একটি ডাবল-অপ্ট-ইন পদ্ধতি ব্যবহার করে তা নিশ্চিত করে, ব্যবহারকারী স্পষ্টভাবে আমার নিউজলেটারটি পেতে চান।

ত্রুটি বার্তা:

smtp; 554 ...
    Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
    refer to xyz.com if you feel this is in error.

আমি একটি স্প্যাম মেল একটি উদাহরণ পেয়েছি (গ্রাহক মেইল ​​সার্ভারের মেল সরবরাহকারী থেকে):

Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500

সরবরাহকারী আরও বলেছে যে আমার সার্ভারটি হ্যাক হয়ে গেছে বলে মনে হচ্ছে। তিনি আরও বলেছিলেন, "প্রাপক মেল সার্ভারটি কেবল সংযুক্ত আইপি দ্বারা এটি উপস্থাপন করা আরডিএনএসকে সহজভাবে লিপিবদ্ধ করেছে mail.com ([94.130.34.42])" - এটি অবশ্যই আমার আইপি ঠিকানার জন্য আমার আরডিএনএস এন্ট্রি (মেইল.লটসার্ক.ডি) কনফিগার করে না। সুতরাং আমি যদি আরডিএনএসকে সঠিকভাবে বুঝতে পেরেছি তবে রিসিভিং মেল সার্ভারটি প্রেরক আইপিটিকে একটি আরডিএনএস এন্ট্রি করার জন্য জিজ্ঞাসা করে (94.130.34.42 => => mail.lotsearch.de এ সমাধান করা উচিত যা এটি অবশ্যই আমার স্থানীয় মেশিনের মাধ্যমে পরীক্ষা করে দেখলে হয়) $ host 94.130.34.42)।

আরডিএনএসকে ফাঁকি দেওয়া কীভাবে সম্ভব? এটি প্রযুক্তিগতভাবে কীভাবে কাজ করতে পারে তা আমি কোনওভাবেই কল্পনা করতে পারি না (কেবলমাত্র প্রাপ্তি মেইল ​​সার্ভার এবং আমার সার্ভারের মধ্যে অবকাঠামোতে কোথাও একটি ম্যান-ইন-মধ্য-আক্রমণে)।

সরবরাহকারী আরও উল্লেখ করেছেন, "সম্ভবত আমার আইপি থেকে সংযোগকারী কোনও মেশিন আপোস হয়েছে এবং প্রাপক মেইল ​​সেভারে সরাসরি সংযোগের মাধ্যমে এই বার্তাগুলি প্রেরণ করেছে (এটি সরাসরি এমএক্স হিসাবেও পরিচিত)"। কী direct MXমানে? কেউ আমার কোনও মেইল ​​অ্যাকাউন্টে মেইল ​​শংসাপত্র ফাঁস করেছেন বা খুঁজে পেয়েছেন এবং মেল প্রেরণের জন্য সেগুলি ব্যবহার করেছেন?

আমার সার্ভারটি হ্যাক হবে না / হবে তা নিশ্চিত করার জন্য আমি এ পর্যন্ত যা করেছি তা হ'ল:

• মেল লগ অনুসন্ধান ( var/log/mail*): সেখানে বিশেষ কিছুই
• ssh লগইন লগগুলি ( last, lastb) চেক করেছেন : অস্বাভাবিক কিছু নয়
• পোস্টফিক্স রিলে হচ্ছে কিনা তা পরীক্ষা করা হয়েছে: না এটি হয় না (টেলনেটের মাধ্যমে পরীক্ষা করা হয়)
• ক্লেমাভের মাধ্যমে ম্যালওয়ারের জন্য চেক করা হয়েছে: ফলাফল নেই
• ssh, postfix এবং dovecot এর জন্য ব্যর্থ 2ban ইনস্টল এবং কনফিগার করা হয়েছে
• উবুন্টু 16.04 এর জন্য সর্বশেষ প্যাচগুলি / আপডেটগুলি ইনস্টল করেছেন (আমি প্রতি সপ্তাহে এটি করি)
• আমার আইপি ঠিকানাটি কোনও ব্ল্যাকলিস্টে রয়েছে কিনা তা পরীক্ষা করে দেখুন: এটি নয় not
• আমার হোস্টিং সরবরাহকারীর ম্যানেজমেন্ট কনসোলটিতে যাচাই করা rDNS এন্ট্রি: এটি সঠিকভাবে সেট করা আছে mail.lotsearch.de।
• সমস্ত মেল অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তিত হয়েছে
• শেল অ্যাক্সেসের জন্য সর্বজনীন কীগুলি পরিবর্তন করা হয়েছে

আরও গুরুত্বপূর্ণ: posteitaliane@test123.itলগগুলি সম্পর্কে কোনও তথ্য ছিল না । সুতরাং যদি আমার সার্ভারটি কোনও স্প্যামার দ্বারা অপব্যবহার করা হত (মেইল অ্যাকাউন্টগুলির মধ্যে একটির SMTP শংসাপত্রের কারণে) আমি লগ ফাইলগুলিতে দেখতে পেতাম।

আমি শেষ সম্ভাবনাটি ভাবতে পারি তা হ'ল একজন প্রবেশকারী আমার সার্ভারে ম্যালওয়ার স্থাপন করেছিল যা আমি এখনও পাইনি।

আমি কীভাবে বহির্গামী মেল ট্রাফিক (প্রতিটি প্রক্রিয়া এবং প্রতি বন্দর) পর্যবেক্ষণ করতে পারি?

কেবলমাত্র বহির্গামী পোর্ট 25 পর্যবেক্ষণ করা সাহায্য করবে না কারণ এটি কেবল পোস্টফিক্সের মাধ্যমে প্রেরিত অনিয়মিত মেলগুলি ফাঁদে ফেলবে, তবে কোনও সম্ভাব্য ম্যালওয়ার সংক্রমণের কারণে তৈরি মেল ট্র্যাফিক নয় (যদি ম্যালওয়্যার সরাসরি মেইল ​​প্রেরণের জন্য / প্রাপক মেল সার্ভারের সাথে যোগাযোগ করার জন্য 25 এর চেয়ে বেশি বন্দর ব্যবহার করে) । আমি যদি সমস্ত বন্দরগুলিতে বহির্গামী যানজট নিরীক্ষণ করি তবে আমি বিশাল লগ ফাইলের একটি উপায় পাব যা সন্দেহজনক কার্যকলাপের জন্য দক্ষতার সাথে অনুসন্ধান করতে পারি না।

সম্পাদনা - ওপেন রিলে পরীক্ষা যুক্ত করা হয়েছে:

$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied

সম্পাদনা - চলমান ওয়েব অ্যাপস

• জেন্ডার ফ্রেমওয়ার্ক 3 ( https://framework.zend.com/ ) এর উপর ভিত্তি করে কাস্টম প্ল্যাটফর্ম
• মিডিয়াউইকি ( https://www.mediawiki.org/ )
• মান্টিস বাগ ট্র্যাকার ( https://www.mantisbt.org/ )

আমার পরামর্শটি পাওয়ার আগে আমি আপনার সরবরাহকারী আপনাকে যা বলেছিল তার বিষয়ে কিছুটা মন্তব্য করতে চাই:

 Received: from mail.com ([94.130.34.42])
        by smtp-27.iol.local with SMTP
        id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100

এটি ইঙ্গিত দেয় না যে 94.130.34.42 এর বিপরীত ডিএনএস মেল ডটকম (বা ছিল)। বরং এটি নির্দেশ করে যে এসএমটিপি ক্লায়েন্ট mail.comতার HELO(বা EHLO) লাইনে প্রেরণ করেছে । (একটি ভাল-কনফিগার করা মেল সার্ভারটি এই সংযোগটি পুরোপুরি প্রত্যাখাত করত, তবে এটি সুইসকমের উপর, আপনি নয় ...) এই লাইনটি কোনও বিপরীত ডিএনএস এন্ট্রি নির্দেশ করে না। যদি এটি হয়, এটি প্রথম বন্ধনীগুলির মধ্যে উপস্থিত হত। উদাহরণ স্বরূপ:

Received: from mail-io0-f197.google.com (mail-io0-f197.google.com [209.85.223.197])

এই ক্ষেত্রে, প্রথম হোস্টনামটি মেল সার্ভারকে নিজের হিসাবে চিহ্নিত করেছিল EHLO। দ্বিতীয় হোস্টনামটি সংযোগটি তৈরি হওয়ার সময় রেকর্ড করা বিপরীত ডিএনএস।

আরএফসি 5321 বিভাগ 4.4 একটি প্রথাগত ব্যাকরণ সহ প্রাপ্ত: রেখার ফর্ম্যাটটি ব্যাখ্যা করে।

আপনার ক্ষেত্রে, কোনও বিপরীত ডিএনএস রেকর্ড করা হয়নি। যেহেতু আপনার আইপি ঠিকানায় একটি পিটিআর রেকর্ড রয়েছে তাই এটি হতে পারে কারণ তারা এটি সন্ধান করেনি বা অস্থায়ী ডিএনএস ব্যর্থ হয়েছে।

এখন, এটি প্রদর্শিত হচ্ছে আপনি একটি ওয়েব হোস্টিং পরিষেবা চালাচ্ছেন এবং অসংখ্য ওয়েব অ্যাপ্লিকেশন রয়েছে। এর মধ্যে যদি কোনওর সাথে আপস করা হয় তবে এটি স্প্যাম প্রেরণ শুরু করতে পারে। এগুলি প্রায়শই তাদের এমএক্স রেকর্ডগুলি সন্ধান করে এবং 25 পোর্টের সাথে সংযোগ স্থাপন করে দূরবর্তী মেল সার্ভারের সাথে সরাসরি সংযোগ স্থাপন করে, মনে হয় স্থানীয় মেল স্পুলে মেল সরবরাহ করার পরিবর্তে বা 587 বা 465-তে কোনও সত্যায়িত মেইল ​​সার্ভিসের পরিবর্তে তারা নিজেরাই একটি মেল সার্ভার ছিল 58 বৈধ ওয়েব অ্যাপ্লিকেশন হিসাবে।

আমি এটি বন্ধ করার একটি উপায় হ'ল ফায়ারওয়াল নিয়ম প্রয়োগ করা যা পোর্ট 25 এ বহির্গামী সংযোগগুলিকে প্রতিরোধ করে যদি না ব্যবহারকারী মেইল ​​সার্ভার ব্যবহারকারী হয়। উদাহরণ স্বরূপ:

iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT

ওয়েব অ্যাপ্লিকেশনগুলি আর দূরবর্তী এসএমটিপি সার্ভারগুলিতে সরাসরি মেইল ​​সরবরাহ করতে পারে না, তবে অবশ্যই অবশ্যই স্থানীয় মেল স্পুল বা একটি প্রমাণীকৃত মেল পরিষেবা ব্যবহার করতে হবে।

এই দিন এবং যুগে আপনার নিজের মেইল ​​সার্ভারটি করার চেষ্টা করা বেশিরভাগ অংশের জন্য হেরে যাওয়া যুদ্ধ এবং আপনি একটি সাশ্রয়ী মূল্যের পরিষেবাটি খুঁজে পাওয়ার চেয়ে ভাল। বলার পরে ..

• সরবরাহকারী যা আপনার ব্লক করেছে এবং আপনার সন্দেহজনক কিছু খুঁজে পেতে পারে কিনা তা দেখুন your এটি সম্ভব এবং প্রায়শই ঘটে যায় যে কেউ আপনার নিউজলেটারে সাবস্ক্রাইব করে ভুলে যায় এবং আপনাকে স্প্যাম হিসাবে চিহ্নিত করে। তারপরে সরবরাহকারীর উপর নির্ভর করে আপনি কোনও ভুল না করে সত্ত্বেও সরবরাহকারীর ব্ল্যাকলিস্টে পেতে পারেন।

• আপনার অন্য সমস্ত ইমেল থেকে দুটি সার্ভারে ভর মেলিং আলাদা করুন।

• সর্বনিম্ন এবং আরও ভাল মাসগুলিতে সপ্তাহের জন্য লগগুলি রাখুন। সুতরাং যে কোনও সময় আপনার গবেষণা হয়।

• যে কোনও সরবরাহকারীর কাছ থেকে অনুরূপ পরিস্থিতিতে আপনার লগগুলি প্রতিদিন পরীক্ষা করুন এবং এটি দৈনিক বা তাত্ক্ষণিকভাবে সন্ধান করুন .. দ্বিতীয়টি আপনি অবরুদ্ধ হয়ে যান এবং যদি আপনি এটি প্রেরণের চেষ্টা চালিয়ে যান তবে আরও খারাপ হতে পারে। আপনি একটি অস্থায়ী ব্লক থেকে স্থায়ী ব্লকে যেতে পারেন .. একটি কালো তালিকাতে প্রতিবেদন করতে।

• তারা কীভাবে এটি বাস্তবায়ন করে তা নিশ্চিত নয়, তবে আমি জানি যে বহু সরবরাহকারী আউটবাউন্ড মেল পরিষেবাদির জন্য করছেন তা হ'ল দ্বিতীয় কোনও সরবরাহকারী / আইপি কোনও ইমেল ব্লক করে তারপরে অন্য কোনও ইমেল প্রেরণের চেষ্টা না করে। আদর্শভাবে আপনি যেমন কিছু চান। কারণ দ্বিতীয়টি অবরুদ্ধ হয়ে পড়েছে, আরও পাঠানো কেবল সমস্যাটিকে আরও বাড়িয়ে তুলবে।