forum.opennet.ru

Составление сообщения

Исходное сообщение

"Open-Relay и Worm.Mydoom.M"
Отправлено Mikle, 16-Сен-04 14:02

Здравствуйте!
Просьба помочь разобраться с проблемой с почтой.
Недавно мне на мой почтовый сервер (FreeBSD+Sendmail) на аккаунт postmaster начали приходить зараженные письма, похоже на Worm.Mydoom.M. Но я никак не могу отследить их происхождение. Тексты письма примерно такие
The original message was received at Thu, 9 Sep 2004 11:19:27 +0400 (MSD)
from localhost
with id i897JRR8007179
----- The following addresses had permanent fatal errors -----
<MAILER-DAEMON@mail.ru>
(reason: 550 Message was not accepted -- invalid mailbox. Local mailbox MAILER-DAEMON@mail.ru is unavailable: user not found)
----- Transcript of session follows -----
... while talking to mxs.mail.ru.:
>>> DATA
<<< 503 Recipient is forbidden
554 5.0.0 Service unavailable

Но есть и еще более непонятные, например
The original message was received at Thu, 9 Sep 2004 11:11:47 +0400 (MSD)
from localhost
with id i897BlR8007113
----- The following addresses had permanent fatal errors -----
<postmaster@rambler.ru>
(reason: 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M)
----- Transcript of session follows -----
... while talking to imx1.rambler.ru.:
>>> DATA
<<< 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M
554 5.0.0 Service unavailable

Здесь уже явно говорится про Worm.Mydoom.M
(Непонятно происхождение этих писем - Кто и откуда их шлет)

На почтовом сервере в файле relay-domains прописаны только мои домены, из которых мне надо отправлять почту. Но tcpdump'ом я вижу, что мой сервак обменивается почтой с левыми доменами. И в maillog постоянно такие записи
Sep 10 02:13:28 host sm-mta[1285]: i8DACC1D000469: to=<postmaster@hp.com.br>, delay=11:51:34, xdelay=00:01:15, mailer=esmtp, pri=2231830, relay=hp.com.br. [200.205.248.106], dsn=4.0.0, stat=Deferred: Operation timed out with hp.com.br.
В /var/spool/mqueue постоянно копятся файлы...
Как-будто у меня открытый релей.
Попробовали из инета с левого адреса законнектиться телнетом на 25 порт и отправить что нибудь...
Результат таков:
Relaying denied. IP name lookup failed

Теперь вообще непонятно, как через сервак идут зараженные письма...

Ситуация очень похоже на эту http://lists.freebsd.org/pipermail/freebsd-questions/2003-Ju...
Что же это всё означает и как это исправить?

Исходное сообщение
"Open-Relay и Worm.Mydoom.M" Отправлено Mikle, 16-Сен-04 14:02
Здравствуйте! Просьба помочь разобраться с проблемой с почтой. Недавно мне на мой почтовый сервер (FreeBSD+Sendmail) на аккаунт postmaster начали приходить зараженные письма, похоже на Worm.Mydoom.M. Но я никак не могу отследить их происхождение. Тексты письма примерно такие The original message was received at Thu, 9 Sep 2004 11:19:27 +0400 (MSD) from localhost with id i897JRR8007179 ----- The following addresses had permanent fatal errors ----- <MAILER-DAEMON@mail.ru> (reason: 550 Message was not accepted -- invalid mailbox. Local mailbox MAILER-DAEMON@mail.ru is unavailable: user not found) ----- Transcript of session follows ----- ... while talking to mxs.mail.ru.: >>> DATA <<< 503 Recipient is forbidden 554 5.0.0 Service unavailable Но есть и еще более непонятные, например The original message was received at Thu, 9 Sep 2004 11:11:47 +0400 (MSD) from localhost with id i897BlR8007113 ----- The following addresses had permanent fatal errors ----- <postmaster@rambler.ru> (reason: 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M) ----- Transcript of session follows ----- ... while talking to imx1.rambler.ru.: >>> DATA <<< 554 <Worm.Mydoom.M>: Message content rejected: infected: Worm.Mydoom.M 554 5.0.0 Service unavailable Здесь уже явно говорится про Worm.Mydoom.M (Непонятно происхождение этих писем - Кто и откуда их шлет) На почтовом сервере в файле relay-domains прописаны только мои домены, из которых мне надо отправлять почту. Но tcpdump'ом я вижу, что мой сервак обменивается почтой с левыми доменами. И в maillog постоянно такие записи Sep 10 02:13:28 host sm-mta[1285]: i8DACC1D000469: to=<postmaster@hp.com.br>, delay=11:51:34, xdelay=00:01:15, mailer=esmtp, pri=2231830, relay=hp.com.br. [200.205.248.106], dsn=4.0.0, stat=Deferred: Operation timed out with hp.com.br. В /var/spool/mqueue постоянно копятся файлы... Как-будто у меня открытый релей. Попробовали из инета с левого адреса законнектиться телнетом на 25 порт и отправить что нибудь... Результат таков: Relaying denied. IP name lookup failed Теперь вообще непонятно, как через сервак идут зараженные письма... Ситуация очень похоже на эту http://lists.freebsd.org/pipermail/freebsd-questions/2003-Ju... Что же это всё означает и как это исправить?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру