ภายในเครือข่ายของฉัน ฉันมีเซิร์ฟเวอร์ Linux ที่กำหนดค่าด้วย Fetchmaill เพื่อดึงเมลผ่าน POP3 จากผู้ให้บริการเมลของฉัน มีการเชื่อมต่อผ่าน postfix กับ Windows Server เก่า ลูกค้าเชื่อมต่อผ่าน Outlook กับ Windows Server ดังนั้นทุกเมลจะถูกส่งผ่านเครื่อง linux ของฉัน
วันนี้ฉันได้รับ Phishing Mail จาก[email protected]. โปรดทราบว่าไม่มีบัญชีนี้ ไม่ว่าที่ผู้ให้บริการอีเมลของฉันหรือบน Windows Server ของฉัน ฉันพยายามกำหนดค่า Linux Server ให้ยอมรับเฉพาะการเชื่อมต่อจากภายในเครือข่ายท้องถิ่นของฉัน ไม่ใช่จากภายนอก ฉันต้องการความช่วยเหลือในการตรวจสอบว่าอีเมลต่อไปนี้มาจากไหน:

พร็อกซี่ 00:22:57 postfix / smtpd [27263]: 34B562EE023E: ลูกค้า = localhost.localdomain [127.0.0.1]
0:22:57 พร็อกซี่ postfix / ทำความสะอาด [27265]: 34B562EE023E: [email protected]
12 :22:57 proxy postfix/qmgr[2400]: 34B562EE023E: [email protected] , size=3190, nrcpt=1 (queue active)
12:22:57 proxy postfix/smtp[27267]: 34B562EE023E: to= [email protected] , relay=192.168.1.9[192.168.1.9]:25, ล่าช้า=0.14, ล่าช้า=0.09/0/0/0.06, dsn=2.6.0, สถานะ=ส่งแล้ว (250 2.6.0 [email protected] .lt คิวเมลสำหรับการจัดส่ง)
12:22:57 proxy postfix/qmgr[2400]: 34B562EE023E: ลบออก

ในขณะที่ 192.168.1.9 เป็นเครื่อง Windows Server ของฉัน คุณมีความคิดว่าจะมองหาอะไร? ฉันลองใช้บริการออนไลน์ต่างๆ เพื่อตรวจสอบว่าเซิร์ฟเวอร์ของฉันเป็นรีเลย์แบบเปิดหรือไม่ แต่หมดเวลาทั้งหมด
ขอขอบคุณ.

answer

ฉันไม่ใช่ผู้เชี่ยวชาญเกี่ยวกับ mail daemons แต่คิดว่าผู้ที่ส่งเมลนั้นทำเช่นนั้นจากเซิร์ฟเวอร์เมลจริง (client= ควรเป็น ip ของบุคคลที่เชื่อมต่อกับ mail daemon) อาจถูกส่งโดยผู้ใช้ที่เข้าสู่ระบบหรือสคริปต์ php บนเซิร์ฟเวอร์ postfix ที่ใช้ฟังก์ชัน mail() หรือบางอย่างในบรรทัดเหล่านั้น

ตามค่าเริ่มต้น postfix และ mail daemons ส่วนใหญ่ได้รับการตั้งค่าให้ยอมรับเมลจาก localhost โดยมีข้อ จำกัด เพียงเล็กน้อยหรือไม่มีเลย ดังนั้นอีเมลจาก cron และยูทิลิตี้ระบบจึงไม่จำเป็นต้องตรวจสอบสิทธิ์

โดยรวมแล้ว ฉันคิดว่าคุณอาจมีปัญหาด้านความปลอดภัยที่ไม่ได้รับการแก้ไขบนเซิร์ฟเวอร์อีเมลของคุณ ฉันไม่คิดว่ามันเป็นข้อความที่ถ่ายทอด ฉันคิดว่าเซิร์ฟเวอร์กำลังบอกว่ามันส่งต่อไปยังเครื่อง windows ของคุณ (มิฉะนั้นไคลเอนต์ควรเป็น 192.168.1.9)

คุณอาจต้องการรับความคิดเห็นจากผู้ที่มีประสบการณ์การใช้อีเมลมากกว่า และคุณอาจต้องการตรวจสอบการตั้งค่า smtpd_sender_restrictions ของคุณ ฉันพบเซิร์ฟเวอร์ที่เกี่ยวข้อง โพสต์ข้อผิดพลาดเกี่ยวกับการป้องกันไม่ให้ส่งอีเมลในฐานะผู้ใช้ที่ไม่มีอยู่ ( postfix - อนุญาตให้ส่งอีเมลด้วยนามแฝงที่เกี่ยวข้อง )