Bezpieczeństwo serwera pocztowego na Ubuntu

[kuba0808]

Witam,
Borykam się z problemem zabezpieczenia serwera pocztowego exim4 postawionego na ubuntu.
Korzystam z vps'a kupionego w OVH z systemem Ubuntu + Vesta CP
Często, bo nieraz i 2 razy w tygodniu adres serwera zostaje zbanowany na którymś RBL - dostaję taki komunikat:
The observed forged HELO value was hldza.com. The last detection occured at...
Wiąże się to z tym, że wysyłanie poczty kończy się niepowodzeniem : błąd 550 i link do spamhouse.

Do tej pory to, co zrobiłem:
- instalacja spamassasina
- instalacja clamAV
- instalacja fail2ban ( ustawienie nawet, żeby po 3 próbach ze złym hasłem banował na stałe i tak w dzień jakieś 1k adresów poszły w niepamięć).

Przeszukałem wszystkie pliki (no dobra, nie wszystkie bo konkretnie nie wiem gdzie szukać, ale : /var/log oraz /etc/exim4 w poszukiwaniu wyrażenia hldz... i nigdzie nie występuje.

I tutaj jest moje pytanie- w jaki sposób mogę rozwiązać całkowicie ten problem, aby już serwer nie dostawał się na listy RBL ?

[mario_7]

Po pierwsze - przejrzyj logi exima czy nie ma tam czegoś niepokojącego.
Po drugie - sprawdź czy masz odpowiednią konfigurację, np. czy twój serwer pocztowy nie działa jako otwarta bramka mailowa.
Jaki dokładnie błąd 550 zaobserwowałeś?
Przeczytaj też o SPF i innych metodach zabezpieczających przed podszywaniem się i w efekcie redukujących spam i potencjalne blokowanie serwera.

[kuba0808]

Oczywiście starałem się prosić o poradę techniczną w ostateczności - część rozwiązań już sprawdziłem a odpowiadając na pytanie :
1. Logi exima przeglądałem, nie ma tam żadnej informacji dotyczącej "podszywania się mojego serwera pod to "hldza", również jeżeli chodzi o inne logi to moim zdaniem nie widziałem nic niepokojącego.
2. Świadomie nie jest mi nic na ten temat wiadomo, aczkolwiek przeglądając pocztę "wyjściową" w logach nie widziałem wysyłki maili nigdzie, poza kontrahentami.

Dokładny komunikat błędu 550 wygląda w ten sposób:
SMTP error from remote mail server after RCPT TO:<xxx>:
host xxx [yyy]:
550 5.7.1 Service unavailable, Client host [51.38.135.51] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/51.38.135.51 AS(1440)

Natomiast po wejściu w link spamhousa dostaję takie info: The observed forged HELO value was hldza.com. The last detection occured at...
W chwili obecnej mój spf wygląda następująco : v=spf1 mx -all,
ostatnio również zainstalowałem DKIM i poprzez test:
https://www.dmarcanalyzer.com/dkim/dkim-check/
dostaje informację, że jest prawidłowy (przytoczyłem tutaj informacje o testowaniu DKIM z uwagi że nie czuje się w jego temacie całkowicie).

[jacekalex]

Exim jest dosyć trudnym w konfiguracji serwerem poczty, do tego miał już wiele razy krytyczne podatności umożliwiające wręcz przejcie kontroli nad atakowanym systemem.

Lepiej zaprzyzjaźnij się z Postfixem, w profilach Apparmora znajdziesz gotowe profile zabezpieczające Postfixa.
i zobacz przy okazji, czy Twój adres IP nie wisi na RBLach, bo w takim przypadku serwer poczty nie będzie miał łatwego życia przy wysyłaniu poczty.
Ale też nie musi wysyłać poczty, najpierw niech się nauczy Twój serwer bezpiecznie pocztę odbierać,
wysyłać może przez smarthosta.


Zobacz swoją reputację Ip tutaj:
http://www.anti-abuse.org/multi-rbl-check/

Oczywiście, żeby poczta działała, musisz mieć zarejestrowaną domenę a rekord MX tej domeny musi wskazywać
na adres twojego serwera poczty.


To by było na tyle

[mario_7]

Od jak dawna masz obecny adres IP? Może poprzedni właściciel nabroił i teraz musisz niestety to odkręcić (odblokować IP w różnych miejscach) aby zaczęło działać dobrze...

[jacekalex]

Od jak dawna masz obecny adres IP? Może poprzedni właściciel nabroił i teraz musisz niestety to odkręcić (odblokować IP w różnych miejscach) aby zaczęło działać dobrze...

Reputacja adresu to nie wszystko, a nawet mniej niż wszystko, bo świat się szykuje do Ipv6, gdzie adresów będzie tyle, że blacklisty poniżej maski 48 będą niewykonalne praktycznie.
Do tego spamerzy zaczęli rozgłaszać nieużywane klasy adresowe w BGP i spamują z tych nie przyznanych nikomu adresów.

W tej chwili wystarczy, że mail nie ma podpisu DKIM, albo domena nie ma podpisu DNSSEC, i już serwery Gmaila albo np Yahoo czasem odwalają takie maile do spamu.
Kiedyś filtry spamowe miały może z 10-15 parametrów oceniających, teraz mają ich co najmniej tysiąc.

Np Gmail niedawno odwalał wszystko, co w DNS nie miało rekordu TXT-SPF.
Kwestią czasu będzie, kiedy zacznie odwalać wszystko, co nie ma rekordu DMARC.
Yahoo kiedyś przestał wpuszczać maile bez podpisu DKIM.

Dlatego zanim ktoś zacznie spamować, niech najpierw uruchomi serwer pocztowy żeby bezpiecznie odbierał pocztę na porcie TCP25, a potem spokojnie niech się uczy wysyłania.

I przy okazji, do testowania połączeń SMTP jest taki fajny program, nazywa się swaks.

Kod: Zaznacz cały

sudo apt install swaks

RTFM:

Kod: Zaznacz cały

man swaks

Pozdro