Bezpieczeństwo serwera pocztowego na Ubuntu
-
- Piegowaty Guziec
- Posty: 2
- Rejestracja: 13 sty 2021, 13:41
- Płeć: Mężczyzna
- Wersja Ubuntu: 20.10
- Środowisko graficzne: Brak
- Architektura: x86_64
Bezpieczeństwo serwera pocztowego na Ubuntu
Witam,
Borykam się z problemem zabezpieczenia serwera pocztowego exim4 postawionego na ubuntu.
Korzystam z vps'a kupionego w OVH z systemem Ubuntu + Vesta CP
Często, bo nieraz i 2 razy w tygodniu adres serwera zostaje zbanowany na którymś RBL - dostaję taki komunikat:
The observed forged HELO value was hldza.com. The last detection occured at...
Wiąże się to z tym, że wysyłanie poczty kończy się niepowodzeniem : błąd 550 i link do spamhouse.
Do tej pory to, co zrobiłem:
- instalacja spamassasina
- instalacja clamAV
- instalacja fail2ban ( ustawienie nawet, żeby po 3 próbach ze złym hasłem banował na stałe i tak w dzień jakieś 1k adresów poszły w niepamięć).
Przeszukałem wszystkie pliki (no dobra, nie wszystkie bo konkretnie nie wiem gdzie szukać, ale : /var/log oraz /etc/exim4 w poszukiwaniu wyrażenia hldz... i nigdzie nie występuje.
I tutaj jest moje pytanie- w jaki sposób mogę rozwiązać całkowicie ten problem, aby już serwer nie dostawał się na listy RBL ?
Borykam się z problemem zabezpieczenia serwera pocztowego exim4 postawionego na ubuntu.
Korzystam z vps'a kupionego w OVH z systemem Ubuntu + Vesta CP
Często, bo nieraz i 2 razy w tygodniu adres serwera zostaje zbanowany na którymś RBL - dostaję taki komunikat:
The observed forged HELO value was hldza.com. The last detection occured at...
Wiąże się to z tym, że wysyłanie poczty kończy się niepowodzeniem : błąd 550 i link do spamhouse.
Do tej pory to, co zrobiłem:
- instalacja spamassasina
- instalacja clamAV
- instalacja fail2ban ( ustawienie nawet, żeby po 3 próbach ze złym hasłem banował na stałe i tak w dzień jakieś 1k adresów poszły w niepamięć).
Przeszukałem wszystkie pliki (no dobra, nie wszystkie bo konkretnie nie wiem gdzie szukać, ale : /var/log oraz /etc/exim4 w poszukiwaniu wyrażenia hldz... i nigdzie nie występuje.
I tutaj jest moje pytanie- w jaki sposób mogę rozwiązać całkowicie ten problem, aby już serwer nie dostawał się na listy RBL ?
- mario_7
- Administrator
- Posty: 8606
- Rejestracja: 30 sie 2006, 13:11
- Płeć: Mężczyzna
- Wersja Ubuntu: 20.04
- Środowisko graficzne: GNOME
- Architektura: x86_64
Re: Bezpieczeństwo serwera pocztowego na Ubuntu
Po pierwsze - przejrzyj logi exima czy nie ma tam czegoś niepokojącego.
Po drugie - sprawdź czy masz odpowiednią konfigurację, np. czy twój serwer pocztowy nie działa jako otwarta bramka mailowa.
Jaki dokładnie błąd 550 zaobserwowałeś?
Przeczytaj też o SPF i innych metodach zabezpieczających przed podszywaniem się i w efekcie redukujących spam i potencjalne blokowanie serwera.
Po drugie - sprawdź czy masz odpowiednią konfigurację, np. czy twój serwer pocztowy nie działa jako otwarta bramka mailowa.
Jaki dokładnie błąd 550 zaobserwowałeś?
Przeczytaj też o SPF i innych metodach zabezpieczających przed podszywaniem się i w efekcie redukujących spam i potencjalne blokowanie serwera.
-
- Piegowaty Guziec
- Posty: 2
- Rejestracja: 13 sty 2021, 13:41
- Płeć: Mężczyzna
- Wersja Ubuntu: 20.10
- Środowisko graficzne: Brak
- Architektura: x86_64
Re: Bezpieczeństwo serwera pocztowego na Ubuntu
Oczywiście starałem się prosić o poradę techniczną w ostateczności - część rozwiązań już sprawdziłem a odpowiadając na pytanie :
1. Logi exima przeglądałem, nie ma tam żadnej informacji dotyczącej "podszywania się mojego serwera pod to "hldza", również jeżeli chodzi o inne logi to moim zdaniem nie widziałem nic niepokojącego.
2. Świadomie nie jest mi nic na ten temat wiadomo, aczkolwiek przeglądając pocztę "wyjściową" w logach nie widziałem wysyłki maili nigdzie, poza kontrahentami.
Dokładny komunikat błędu 550 wygląda w ten sposób:
SMTP error from remote mail server after RCPT TO:<xxx>:
host xxx [yyy]:
550 5.7.1 Service unavailable, Client host [51.38.135.51] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/51.38.135.51 AS(1440)
Natomiast po wejściu w link spamhousa dostaję takie info: The observed forged HELO value was hldza.com. The last detection occured at...
W chwili obecnej mój spf wygląda następująco : v=spf1 mx -all,
ostatnio również zainstalowałem DKIM i poprzez test:
https://www.dmarcanalyzer.com/dkim/dkim-check/
dostaje informację, że jest prawidłowy (przytoczyłem tutaj informacje o testowaniu DKIM z uwagi że nie czuje się w jego temacie całkowicie).
1. Logi exima przeglądałem, nie ma tam żadnej informacji dotyczącej "podszywania się mojego serwera pod to "hldza", również jeżeli chodzi o inne logi to moim zdaniem nie widziałem nic niepokojącego.
2. Świadomie nie jest mi nic na ten temat wiadomo, aczkolwiek przeglądając pocztę "wyjściową" w logach nie widziałem wysyłki maili nigdzie, poza kontrahentami.
Dokładny komunikat błędu 550 wygląda w ten sposób:
SMTP error from remote mail server after RCPT TO:<xxx>:
host xxx [yyy]:
550 5.7.1 Service unavailable, Client host [51.38.135.51] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/51.38.135.51 AS(1440)
Natomiast po wejściu w link spamhousa dostaję takie info: The observed forged HELO value was hldza.com. The last detection occured at...
W chwili obecnej mój spf wygląda następująco : v=spf1 mx -all,
ostatnio również zainstalowałem DKIM i poprzez test:
https://www.dmarcanalyzer.com/dkim/dkim-check/
dostaje informację, że jest prawidłowy (przytoczyłem tutaj informacje o testowaniu DKIM z uwagi że nie czuje się w jego temacie całkowicie).
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Bezpieczeństwo serwera pocztowego na Ubuntu
Exim jest dosyć trudnym w konfiguracji serwerem poczty, do tego miał już wiele razy krytyczne podatności umożliwiające wręcz przejcie kontroli nad atakowanym systemem.
Lepiej zaprzyzjaźnij się z Postfixem, w profilach Apparmora znajdziesz gotowe profile zabezpieczające Postfixa.
i zobacz przy okazji, czy Twój adres IP nie wisi na RBLach, bo w takim przypadku serwer poczty nie będzie miał łatwego życia przy wysyłaniu poczty.
Ale też nie musi wysyłać poczty, najpierw niech się nauczy Twój serwer bezpiecznie pocztę odbierać,
wysyłać może przez smarthosta.
Zobacz swoją reputację Ip tutaj:
http://www.anti-abuse.org/multi-rbl-check/
Oczywiście, żeby poczta działała, musisz mieć zarejestrowaną domenę a rekord MX tej domeny musi wskazywać
na adres twojego serwera poczty.
To by było na tyle
Lepiej zaprzyzjaźnij się z Postfixem, w profilach Apparmora znajdziesz gotowe profile zabezpieczające Postfixa.
i zobacz przy okazji, czy Twój adres IP nie wisi na RBLach, bo w takim przypadku serwer poczty nie będzie miał łatwego życia przy wysyłaniu poczty.
Ale też nie musi wysyłać poczty, najpierw niech się nauczy Twój serwer bezpiecznie pocztę odbierać,
wysyłać może przez smarthosta.
Zobacz swoją reputację Ip tutaj:
http://www.anti-abuse.org/multi-rbl-check/
Oczywiście, żeby poczta działała, musisz mieć zarejestrowaną domenę a rekord MX tej domeny musi wskazywać
na adres twojego serwera poczty.
To by było na tyle
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
- mario_7
- Administrator
- Posty: 8606
- Rejestracja: 30 sie 2006, 13:11
- Płeć: Mężczyzna
- Wersja Ubuntu: 20.04
- Środowisko graficzne: GNOME
- Architektura: x86_64
Re: Bezpieczeństwo serwera pocztowego na Ubuntu
Od jak dawna masz obecny adres IP? Może poprzedni właściciel nabroił i teraz musisz niestety to odkręcić (odblokować IP w różnych miejscach) aby zaczęło działać dobrze...
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Bezpieczeństwo serwera pocztowego na Ubuntu
Reputacja adresu to nie wszystko, a nawet mniej niż wszystko, bo świat się szykuje do Ipv6, gdzie adresów będzie tyle, że blacklisty poniżej maski 48 będą niewykonalne praktycznie.
Do tego spamerzy zaczęli rozgłaszać nieużywane klasy adresowe w BGP i spamują z tych nie przyznanych nikomu adresów.
W tej chwili wystarczy, że mail nie ma podpisu DKIM, albo domena nie ma podpisu DNSSEC, i już serwery Gmaila albo np Yahoo czasem odwalają takie maile do spamu.
Kiedyś filtry spamowe miały może z 10-15 parametrów oceniających, teraz mają ich co najmniej tysiąc.
Np Gmail niedawno odwalał wszystko, co w DNS nie miało rekordu TXT-SPF.
Kwestią czasu będzie, kiedy zacznie odwalać wszystko, co nie ma rekordu DMARC.
Yahoo kiedyś przestał wpuszczać maile bez podpisu DKIM.
Dlatego zanim ktoś zacznie spamować, niech najpierw uruchomi serwer pocztowy żeby bezpiecznie odbierał pocztę na porcie TCP25, a potem spokojnie niech się uczy wysyłania.
I przy okazji, do testowania połączeń SMTP jest taki fajny program, nazywa się swaks.
Kod: Zaznacz cały
sudo apt install swaks
Kod: Zaznacz cały
man swaks
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 72 gości