บรรจวบ เข้าสู่ระบบ
Score:0
John avatar Server

Postfix ระบุผู้ส่งที่แท้จริง

ธง de
John

เมื่อเร็ว ๆ นี้เซิร์ฟเวอร์ของฉันมีอีเมลขยะจำนวนมากที่สร้างขึ้น ฉันค้นหาข้อมูลในข้อความตัวอย่าง แต่ดูเหมือนว่าผู้ส่งจะเป็นของปลอม และไม่มีรหัสผู้ใช้ postfix ในส่วนหัวของข้อความด้วย ด้านล่างนี้คือส่วนหัวที่สมบูรณ์ของข้อความตัวอย่าง:

เซิร์ฟเวอร์ root@:~# postcat -qv 400CB848E9
postcat: name_mask: ทั้งหมด
postcat: inet_addr_local: กำหนดค่าที่อยู่ IPv4 4 รายการ
postcat: inet_addr_local: กำหนดค่าที่อยู่ IPv6 2 รายการ
*** บันทึกซอง ถือ/400CB848E9 ***
ขนาดข้อความ: 2333 670 1 0 2333 0
message_arrival_time: พฤ. 24 มิ.ย. 06:44:46 น. 2564
create_time: พฤ. 24 มิ.ย. 06:44:46 2021
ชื่อ_attribute: log_ident=400CB848E9
Name_attribute: rewrite_context=local
ผู้ส่ง: er@solanapres.org
name_attribute: log_client_name=localhost.localdomain
ชื่อ_attribute: log_client_address=127.0.0.1
ชื่อ_attribute: log_client_port=40070
name_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
name_attribute: log_helo_name=localhost
name_attribute: log_protocol_name=ESMTP
name_attribute: client_name=localhost.localdomain
name_attribute: reverse_client_name=localhost.localdomain
ชื่อ_attribute: client_address=127.0.0.1
ชื่อ_attribute: client_port=40070
name_attribute: helo_name=localhost
name_attribute: protocol_name=ESMTP
ชื่อ_attribute: client_address_type=2
ชื่อ_attribute: dsn_orig_rcpt=rfc822;lovedakids@aol.com
original_recipient: dearakids@aol.com
ผู้รับ: dearakids@aol.com
*** เนื้อหาข้อความถือ/400CB848E9 ***
Regular_text: ได้รับ: จาก localhost (localhost.localdomain [127.0.0.1])
Regular_text: โดย dallas.mylocalhostdomain.com (Postfix) พร้อม ESMTP id 400CB848E9
Regular_text: สำหรับ <lovedakids@aol.com>; พฤ. 24 มิ.ย. 2564 06:44:46 -0400 (EDT)
Regular_text: จาก: พื้นที่เก็บข้อมูล Google ไดรฟ์ <er@solanapres.org>
Regular_text: ถึง: dearakids@aol.com
Regular_text: เวอร์ชัน MIME: 1.0
Regular_text: รหัสข้อความ: <f17bc7e911b.5cf15cb45ed7.ea3587586c6@solanapres.org>
Regular_text: วันที่: พฤ. 24 มิ.ย. 2564 06:44:46 น. +0000
Regular_text: ประเภทเนื้อหา: text/html; ชุดอักขระ = UTF-8
Regular_text: การเข้ารหัสการถ่ายโอนเนื้อหา: 7 บิต
Regular_text: เรื่อง: ไฟล์เสียหายและไม่สามารถซ่อมแซมได้

ดังที่เห็นได้จากส่วนหัว ผู้ส่งข้อความคือ er@solanapres.orgแต่ไม่มีชื่อโดเมน / ผู้ใช้นี้บนเซิร์ฟเวอร์ ฉันสับสนจากสิ่งที่ฉันรู้ ผู้ใช้ต้องมีอยู่บนเซิร์ฟเวอร์ก่อนจึงจะสามารถตรวจสอบสิทธิ์ SMTP ได้ นอกจากนี้ยังไม่มีข้อมูลการรับรองความถูกต้องในไฟล์ mail.log

ฉันหวังว่าจะมีคนช่วยชี้ให้เห็นถึงวิธีการระบุผู้ใช้จริงที่สร้างข้อความนี้

ขอขอบคุณ!

101
1 + 0
Score:2
Nikita Kipriyanov avatar Server
ธง za
Nikita Kipriyanov

ดูสิ่งเหล่านี้อย่างระมัดระวัง:

ผู้ส่ง: er@solanapres.org
name_attribute: log_client_name=localhost.localdomain
ชื่อ_attribute: log_client_address=127.0.0.1
ชื่อ_attribute: log_client_port=40070
name_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
name_attribute: log_helo_name=localhost
name_attribute: log_protocol_name=ESMTP
name_attribute: helo_name=localhost

ซึ่งหมายความว่า กระบวนการบางอย่างจาก โลคัลโฮสต์ (เช่น เครื่องเซิร์ฟเวอร์เอง) ทำธุรกรรม ESMTP กับเซิร์ฟเวอร์นี้ มันเริ่มต้นด้วย EHLO โลคอลโฮสต์ และจากนั้น โดยไม่มีการรับรองความถูกต้องใด ๆ ก็เป็นที่ยอมรับสำหรับการจัดส่ง ฉันเดาได้เลยว่าคุณมี 127.0.0.1 ใน เครือข่ายของฉัน. ส่วนหัว "รับ" ที่เพิ่มมีข้อมูลเดียวกัน (ไม่น่าแปลกใจเลย)

นั่นคือทั้งหมดที่ Postfix ได้เห็นและสามารถบอกคุณได้ ค้นหาคำตอบว่า "ใครคือผู้ส่งที่แท้จริง" ที่อื่น นั่นอาจเป็นเว็บเมล ดังนั้นโปรดอ่านบันทึกการเข้าถึงเว็บเซิร์ฟเวอร์ นั่นอาจเป็นเซิร์ฟเวอร์ถูกบุกรุก (โอ้!) หรือมีช่องโหว่ในสคริปต์ PHP ที่อนุญาตให้ส่งจดหมาย ตรวจสอบ wtmp (ล่าสุด และอื่นๆ). มองหาบันทึกที่อยู่ใกล้ พฤ. 24 มิ.ย. 2564 06:44:46 -0400 (EDT).

ฉันจะย้ำอีกครั้งเพื่อให้คุณไม่ถามคำถามเดียวกันด้วยคำอื่น: Postfix ได้ทำทุกวิถีทางเพื่อเปิดเผยให้คุณทราบว่าได้รับจดหมายนี้จากที่ใด สิ่งเดียวที่รู้ว่าเมลมาจาก localhost ที่สั่นระฆัง: "ตรวจสอบ localhost ของคุณ" (เซิร์ฟเวอร์)

0 + 3
John avatar
de flag
John
ขอบคุณสำหรับคำตอบอย่างละเอียด มันมีประโยชน์มากสำหรับฉัน เห็นได้ชัดว่าเซิร์ฟเวอร์ถูกบุกรุก ฉันเห็นคำขอ POST ไปยังไฟล์ php แปลกๆ บนเซิร์ฟเวอร์ในขณะนั้น
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
อาจเป็นเพียงบริการบนเว็บเท่านั้นที่ถูกโจมตีหรือแม้แต่เว็บแอปพลิเคชันเดียว อาจมี POST อื่นที่สามารถอธิบายได้ว่าไฟล์ PHP นี้มาจากไหน แต่โดยทั่วไปแล้ว ให้ค้นหา SF สำหรับ "สิ่งที่ต้องทำกับเซิร์ฟเวอร์ที่ถูกบุกรุก"
0
ตอบกลับ
jp flag
Esa Jokinen
คำตอบที่ยอดเยี่ยมการลบ 'localhost' ออกจาก 'mynetworks' บังคับให้กระบวนการในเครื่องใช้ Sendmail หรือตรวจสอบสิทธิ์ ในทั้งสองกรณี คุณจะได้รับรายละเอียดเพิ่มเติมเกี่ยวกับที่มา
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา