Undelivered Mail Returned to Sender
আমার 1500 গ্রাহকের একজনকে আমার নিউজলেটার পাঠানোর সময় আমি একটি পেয়েছি । আমার ওয়েবসাইটটি একটি ডাবল-অপ্ট-ইন পদ্ধতি ব্যবহার করে তা নিশ্চিত করে, ব্যবহারকারী স্পষ্টভাবে আমার নিউজলেটারটি পেতে চান।
ত্রুটি বার্তা:
smtp; 554 ...
Swisscom AG IP: 94.130.34.42, You are not allowed to send us mail. Please
refer to xyz.com if you feel this is in error.
আমি একটি স্প্যাম মেল একটি উদাহরণ পেয়েছি (গ্রাহক মেইল সার্ভারের মেল সরবরাহকারী থেকে):
Received: from mail.com ([94.130.34.42])
by smtp-27.iol.local with SMTP
id itOWeYZ6O42IFitOWe35TR; Tue, 13 Feb 2018 03:54:09 +0100
From: "Servizi online - Poste Italiane" <posteitaliane@test123.it>
Subject: Abbiamo ricevuto una segnalazione di accredito
Date: Mon, 12 Feb 2018 11:32:03 -0500
সরবরাহকারী আরও বলেছে যে আমার সার্ভারটি হ্যাক হয়ে গেছে বলে মনে হচ্ছে। তিনি আরও বলেছিলেন, "প্রাপক মেল সার্ভারটি কেবল সংযুক্ত আইপি দ্বারা এটি উপস্থাপন করা আরডিএনএসকে সহজভাবে লিপিবদ্ধ করেছে mail.com ([94.130.34.42])
" - এটি অবশ্যই আমার আইপি ঠিকানার জন্য আমার আরডিএনএস এন্ট্রি (মেইল.লটসার্ক.ডি) কনফিগার করে না। সুতরাং আমি যদি আরডিএনএসকে সঠিকভাবে বুঝতে পেরেছি তবে রিসিভিং মেল সার্ভারটি প্রেরক আইপিটিকে একটি আরডিএনএস এন্ট্রি করার জন্য জিজ্ঞাসা করে (94.130.34.42 => => mail.lotsearch.de এ সমাধান করা উচিত যা এটি অবশ্যই আমার স্থানীয় মেশিনের মাধ্যমে পরীক্ষা করে দেখলে হয়) $ host 94.130.34.42
)।
আরডিএনএসকে ফাঁকি দেওয়া কীভাবে সম্ভব? এটি প্রযুক্তিগতভাবে কীভাবে কাজ করতে পারে তা আমি কোনওভাবেই কল্পনা করতে পারি না (কেবলমাত্র প্রাপ্তি মেইল সার্ভার এবং আমার সার্ভারের মধ্যে অবকাঠামোতে কোথাও একটি ম্যান-ইন-মধ্য-আক্রমণে)।
সরবরাহকারী আরও উল্লেখ করেছেন, "সম্ভবত আমার আইপি থেকে সংযোগকারী কোনও মেশিন আপোস হয়েছে এবং প্রাপক মেইল সেভারে সরাসরি সংযোগের মাধ্যমে এই বার্তাগুলি প্রেরণ করেছে (এটি সরাসরি এমএক্স হিসাবেও পরিচিত)"। কী direct MX
মানে? কেউ আমার কোনও মেইল অ্যাকাউন্টে মেইল শংসাপত্র ফাঁস করেছেন বা খুঁজে পেয়েছেন এবং মেল প্রেরণের জন্য সেগুলি ব্যবহার করেছেন?
আমার সার্ভারটি হ্যাক হবে না / হবে তা নিশ্চিত করার জন্য আমি এ পর্যন্ত যা করেছি তা হ'ল:
- মেল লগ অনুসন্ধান (
var/log/mail*
): সেখানে বিশেষ কিছুই - ssh লগইন লগগুলি (
last
,lastb
) চেক করেছেন : অস্বাভাবিক কিছু নয় - পোস্টফিক্স রিলে হচ্ছে কিনা তা পরীক্ষা করা হয়েছে: না এটি হয় না (টেলনেটের মাধ্যমে পরীক্ষা করা হয়)
- ক্লেমাভের মাধ্যমে ম্যালওয়ারের জন্য চেক করা হয়েছে: ফলাফল নেই
- ssh, postfix এবং dovecot এর জন্য ব্যর্থ 2ban ইনস্টল এবং কনফিগার করা হয়েছে
- উবুন্টু 16.04 এর জন্য সর্বশেষ প্যাচগুলি / আপডেটগুলি ইনস্টল করেছেন (আমি প্রতি সপ্তাহে এটি করি)
- আমার আইপি ঠিকানাটি কোনও ব্ল্যাকলিস্টে রয়েছে কিনা তা পরীক্ষা করে দেখুন: এটি নয় not
- আমার হোস্টিং সরবরাহকারীর ম্যানেজমেন্ট কনসোলটিতে যাচাই করা rDNS এন্ট্রি: এটি সঠিকভাবে সেট করা আছে
mail.lotsearch.de
। - সমস্ত মেল অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তিত হয়েছে
- শেল অ্যাক্সেসের জন্য সর্বজনীন কীগুলি পরিবর্তন করা হয়েছে
আরও গুরুত্বপূর্ণ: posteitaliane@test123.it
লগগুলি সম্পর্কে কোনও তথ্য ছিল না । সুতরাং যদি আমার সার্ভারটি কোনও স্প্যামার দ্বারা অপব্যবহার করা হত (মেইল অ্যাকাউন্টগুলির মধ্যে একটির SMTP শংসাপত্রের কারণে) আমি লগ ফাইলগুলিতে দেখতে পেতাম।
আমি শেষ সম্ভাবনাটি ভাবতে পারি তা হ'ল একজন প্রবেশকারী আমার সার্ভারে ম্যালওয়ার স্থাপন করেছিল যা আমি এখনও পাইনি।
আমি কীভাবে বহির্গামী মেল ট্রাফিক (প্রতিটি প্রক্রিয়া এবং প্রতি বন্দর) পর্যবেক্ষণ করতে পারি?
কেবলমাত্র বহির্গামী পোর্ট 25 পর্যবেক্ষণ করা সাহায্য করবে না কারণ এটি কেবল পোস্টফিক্সের মাধ্যমে প্রেরিত অনিয়মিত মেলগুলি ফাঁদে ফেলবে, তবে কোনও সম্ভাব্য ম্যালওয়ার সংক্রমণের কারণে তৈরি মেল ট্র্যাফিক নয় (যদি ম্যালওয়্যার সরাসরি মেইল প্রেরণের জন্য / প্রাপক মেল সার্ভারের সাথে যোগাযোগ করার জন্য 25 এর চেয়ে বেশি বন্দর ব্যবহার করে) । আমি যদি সমস্ত বন্দরগুলিতে বহির্গামী যানজট নিরীক্ষণ করি তবে আমি বিশাল লগ ফাইলের একটি উপায় পাব যা সন্দেহজনক কার্যকলাপের জন্য দক্ষতার সাথে অনুসন্ধান করতে পারি না।
সম্পাদনা - ওপেন রিলে পরীক্ষা যুক্ত করা হয়েছে:
$ telnet mail.lotsearch.de 25
$ HELO test@test.de
250 mail.lotsearch.de
$ MAIL FROM: test@test.com
250 2.1.0 Ok
$ RCPT TO:<realEmail@gmail.com>
454 4.7.1 <realEmail@gmail.com>: Relay access denied
সম্পাদনা - চলমান ওয়েব অ্যাপস
- জেন্ডার ফ্রেমওয়ার্ক 3 ( https://framework.zend.com/ ) এর উপর ভিত্তি করে কাস্টম প্ল্যাটফর্ম
- মিডিয়াউইকি ( https://www.mediawiki.org/ )
- মান্টিস বাগ ট্র্যাকার ( https://www.mantisbt.org/ )