Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

как проверить, была ли возвращенная почта спамом, перенаправленным через мой сервер

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Как проверить, прошла ли спам-почта через мой почтовый сервер?
  4. Понимание проблемы
  5. Проверка логов
  6. Проверка поддельных уведомлений
  7. Заключение

Вопрос или проблема

Я хостю свой собственный почтовый сервер с использованием postfix/dovecot. Недавно я получил несколько писем “отказано в доставке”, выглядящих так, будто мой сервер отправил спам с аккаунта, которого нет на моем сервере. Я просмотрел /var/log/mail.log на наличие каких-либо упоминаний этого имени аккаунта или имени принимающего сервера и т.д., но ничего не нашел. Таким образом, возможные варианты, которые я могу придумать, это:

  1. это фальшивые письма об отказе, которые по какой-то причине отправляются мне
  2. я не ищу нужную информацию в логах или не проверяю нужные логи и т.д.
  3. Каким-то образом мой сервер отправляет письма без их регистрации

Есть ли способ действительно подтвердить, какой из этих вариантов является верным? Я не хочу, чтобы мой хостер разозлился на меня за непреднамеренную пересылку спама.

Для справки, я пробовал такие команды:

cat mail.log |grep -v "relay=local" |grep "relay=" |grep "status=sent"
cat mail.log | grep submission
grep -o 'to=<[^@]@.[^>]' /var/log/mail.log
cat mail.log | grep <HOST URL>
cat mail.log | grep <SENDER USER NAME>

Я также добавил default_transport = error: Этот сервер отправляет почту только локально. в мой файл postfix/main.cf, что, как предполагается, отключает всю исходящую почту, но на следующий день по-прежнему получил еще одно письмо типа ‘отказано в доставке’

Ответ или решение

Как проверить, прошла ли спам-почта через мой почтовый сервер?

Если вы являетесь администратором почтового сервера на основе Postfix/Dovecot и столкнулись с проблемой получения возвратов почты с уведомлениями о том, что ваш сервер якобы отправил спам от несуществующего аккаунта, вам необходимо предпринять несколько шагов для подтверждения или опровержения данной ситуации.

Понимание проблемы

Вы получаете уведомления о "отклонении почты", в которых указывается, что ваш сервер якобы стал источником спама. Возможные причины этого могут быть следующими:

  1. Фальшивые уведомления о возврате: Возможно, кто-то пытается обмануть вас, отправляя поддельные письма.
  2. Неправильный поиск в логах: Возможно, вы не ищете в нужных логах или не используете корректные команды.
  3. Неожиданный исходящий трафик: Существует вероятность того, что ваш сервер отправляет почту, не регистрируя это в логах.

Проверка логов

Чтобы выяснить, действительно ли ваш сервер был задействован в рассылке спама, выполните следующие действия:

  1. Поиск в логах:

    • Убедитесь, что вы просматриваете правильный файл логов. Основной лог Postfix обычно находится в /var/log/mail.log, поэтому продолжайте использовать его.
    • Используйте команды для фильтрации записей: 
      grep "status=sent" /var/log/mail.log   # Найти все отправленные сообщения
    • Также проверьте входящую и исходящую почту на наличие аномальной активности: 
      grep "relay=" /var/log/mail.log         # Показать все реле

  2. Другие логи:

    • Не ограничивайтесь только /var/log/mail.log. Некоторые системы могут хранить дополнительные логи, такие как:
      • /var/log/mail.warn
      • /var/log/mail.err
    • Проверьте системные логи: 
      grep postfix /var/log/syslog

  3. Настройки Postfix:

    • Убедитесь, что в конфигурации Postfix нет настроек, позволяющих релейную отправку: 
      mynetworks = 127.0.0.0/8
    • Если вы добавили default_transport = error: This server sends mail only locally., убедитесь, что изменение применилось корректно: 
      postfix reload

  4. Мониторинг SMTP:

    • Используйте tcpdump или wireshark, чтобы мониторить трафик SMTP на сервере. Это поможет вам увидеть, если что-то отправляется: 
      tcpdump -i any -n port 25

Проверка поддельных уведомлений

Используйте следующие методы для проверки подлинности возвратов:

  1. Проверка заголовков: Посмотрите на заголовки таких сообщений. Обратите внимание на поля Received, Return-Path и другие для обнаружения подделок.
  2. Фильтрация по SPF/DKIM: Если ваш сервер работает с SPF или DKIM, убедитесь, что ваша конфигурация корректна. Проверьте, как рекламируются ваши DNS-записи.

Заключение

В случае если все вышеперечисленные проверки не подтвердили, что ваш сервер отправляет спам, вероятнее всего, вы столкнулись с фальшивыми уведомлениями. Тем не менее, важно поддерживать мониторинг вашего почтового сервера, чтобы избежать любых инцидентов в будущем. Следите за логами и настройками сервера, а также рассматривайте возможность использования систем мониторинга для почтовых потоков.

Не забывайте, что безопасность вашего почтового сервера — это не однократная задача, а постоянный процесс, требующий регулярных проверок и обновлений.

postfix
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности