https://www.opennet.ru/openforum/vsluhforumID1/97315.html Пришло письмо от злоумышленника что мой комп взломан и т.п. с требованиями откупа с моего же и-мейла. Вот данные письма:<br><br>Return-Path: &lt;user1@domain.net.ua&gt;<br>X-Original-To: user1@domain.net.ua<br>Delivered-To: user1@domain.net.ua<br>Received: from dsl.49.150.140.89.pldt.net (unknown [49.150.140.89])<br> by mail.domain.net.ua (Postfix) with ESMTP id 8658A7D103A5<br> for &lt;user1@domain.net.ua&gt;; Sun, 11 Nov 2018 10:11:57 +0200 (EET)<br>DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua 8658A7D103A5<br>Message-ID: &lt;ABEDFAD0E7BCC7CD8B9CB681DAA1ABED@Q8KN0I95&gt;<br>From: &lt;user1@domain.net.ua&gt;<br>To: &lt;user1@domain.net.ua&gt;<br>Subject: Account Issue. Changed password.<br>Date: 11 Nov 2018 22:50:55 +0700<br>MIME-Version: 1.0<br>Content-Type: text/plain;<br> charset="cp-850"<br>Content-Transfer-Encoding: 8bit<br>X-Priority: 3<br>X-MSMail-Priority: Normal<br>X-Mailer: Microsoft Windows Live Mail 15.4.3508.1109<br>X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3508.1109<br><br>IP 49.150.140.89 не мой и его нет в mynetworks в main.cf. В maillog:<br><br>root@mail: https://www.opennet.ru/openforum/vsluhforumID1/97315.html#9 Fri, 16 Nov 2018 10:07:27 GMT С неотправкой почты разобрался - это я после postconf check сменил права на dkim ключи (постконф сказал что надо root) и opendkim не смог их прочесть (запускался с пользователем mailnull)<br><br>UPD2 (залил текущий конфиг с кучей правил)<br><br>&gt; Тогда main.cf в студию. Или выхлоп postconf -n <br><br>root@mail:/ # postconf -n<br>broken_sasl_auth_clients = yes<br>command_directory = /usr/local/sbin<br>daemon_directory = /usr/local/libexec/postfix<br>data_directory = /var/db/postfix<br>debug_peer_level = 2<br>debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5<br>html_directory = /usr/local/share/doc/postfix<br>mail_owner = postfix<br>mailq_path = /usr/local/bin/mailq<br>manpage_directory = /usr/local/man<br>message_size_limit = 20240000<br>milter_default_action = accept<br>mydestination = $myhostname, localhost.$mydomain, localhost<br>mydomain = domain.net.ua<br>myhostname = mail.domain.net.ua<br>mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.y/32, x.x.x.x/32<br>mynetworks_style = ho https://www.opennet.ru/openforum/vsluhforumID1/97315.html#8 Fri, 16 Nov 2018 09:50:26 GMT &gt;[оверквотинг удален]<br>&gt; From: fuckadmin@gmail.com <br>&gt; Subject: test message <br>&gt; Date: Today <br>&gt; sending test message <br>&gt; .<br>&gt; QUIT <br>&gt; (точка в предпоследней строке - это команда "конец сообщения") <br>&gt; P.S. что-то я доигрался, теперь исходящая почта не ходит, выдаёт ошибку 4.7.1 <br>&gt; Service unavailable - try again later <br>&gt; Зато входящая всё ещё приходит <br><br>Тогда main.cf в студию. Или выхлоп postconf -n<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#7 Fri, 16 Nov 2018 09:37:37 GMT &gt; Непонятно. Вы из консоли отправляете?<br><br>Техническая информация из писем - это в roundcube "Исходный текст"<br>А отправляю из консоли, подключаясь к нему "telnet mail.domain.net.ua 25" с левого сервера, которого нет в mynetworks, т.е. как будто из инета, а дальше командами:<br>EHLO yahoo.com<br>MAIL FROM: admin@bbc.com<br>RCPT TO: user1@domain.net.ua<br>DATA<br>To: user1@domain.net.ua<br>From: fuckadmin@gmail.com<br>Subject: test message<br>Date: Today<br>sending test message<br>.<br>QUIT<br><br>(точка в предпоследней строке - это команда "конец сообщения")<br><br>P.S. что-то я доигрался, теперь исходящая почта не ходит, выдаёт ошибку 4.7.1 Service unavailable - try again later<br>Зато входящая всё ещё приходит<br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#6 Fri, 16 Nov 2018 08:15:43 GMT &gt;[оверквотинг удален]<br>&gt; DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua BAF067D10466 <br>&gt; To: user1@domain.net.ua <br>&gt; From: fuckadmin@gmail.com <br>&gt; Subject: test message <br>&gt; Date: Today <br>&gt; Т.е. отправляя письмо сделал разными домены в EHLO, MAIL FROM и в <br>&gt; From, но всё равно пришло даже несмотря на несоответствие EHLO и <br>&gt; реального домена <br>&gt; Может ли быть что где-то в другом месте настроек эти правила просто <br>&gt; игнорируются?<br><br>Непонятно. Вы из консоли отправляете?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#5 Fri, 16 Nov 2018 06:19:49 GMT &gt; Чтобы не подписывались кем попало: <br>&gt; smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, <br>&gt; reject_sender_login_mismatch, <br>&gt; permit_sasl_authenticated, <br>&gt; reject_non_fqdn_sender, <br>&gt; permit_mynetworks <br><br>Спасибо за ответ, но не помогает. Вот правила:<br>smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sender_login_mismatch, permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks<br><br>А вот данные письма, которое я себе смог отправить после их установки:<br><br>Return-Path: &lt;admin@bbc.com&gt;<br>X-Original-To: user1@domain.net.ua<br>Delivered-To: user1@domain.net.ua<br>Received: from yahoo.com (test.domain.net.ua [x.x.x.x])<br>by mail.domain.net.ua (Postfix) with ESMTP id BAF067D10466<br>for &lt;user1@domain.net.ua&gt;; Fri, 16 Nov 2018 08:14:45 +0200 (EET)<br>DKIM-Filter: OpenDKIM Filter v2.10.3 mail.domain.net.ua BAF067D10466<br>To: user1@domain.net.ua<br>From: fuckadmin@gmail.com<br>Subject: test message<br>Date: Today<br><br>Т.е. отправляя письмо сделал разными домены в EHLO, https://www.opennet.ru/openforum/vsluhforumID1/97315.html#4 Thu, 15 Nov 2018 14:43:42 GMT &gt;[оверквотинг удален]<br>&gt; попало <br>&gt; mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.x/32, x.x.x.y/32 <br>&gt; smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, <br>&gt; reject_unknown_helo_hostname <br>&gt; smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, <br>&gt; reject_unknown_helo_hostname, reject_invalid_hostname, reject_non_fqdn_hostname <br>&gt; smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, <br>&gt; reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, <br>&gt; reject_rbl_client bl.spamcop.net <br>&gt; smtpd_sender_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks <br><br>Чтобы не подписывались кем попало:<br>smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch,<br>reject_sender_login_mismatch,<br>permit_sasl_authenticated,<br>reject_non_fqdn_sender,<br>permit_mynetworks <br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#3 Wed, 14 Nov 2018 09:44:02 GMT Что-то как ни ужесточаю правила, всё равно почта доходит когда представляюсь кем попало<br><br>mynetworks = 127.0.0.0/8, 172.16.0.0/24, x.x.x.x/32, x.x.x.y/32<br>smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname<br>smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_helo_hostname, reject_invalid_hostname, reject_non_fqdn_hostname<br>smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_rbl_client bl.spamcop.net<br>smtpd_sender_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, permit_mynetworks<br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#2 Wed, 14 Nov 2018 08:56:49 GMT Немного порыскав по форуму нашел несколько тем о том, что sendmail по-умолчанию не использует smtp-аутентификацию для локальных пользователей.<br>Провёл несколько тестов, если подключиться телнетом на 25ый порт с левого айпи, то для локальных пользователей можно отправить почту представившись любым сервером, не только локальным. Прислал себе представившись gmail и собственным доменом. На другие сервера почта не уходит - выдаёт <br>RCPT TO: user1@gmail.com<br>554 5.7.1 &lt;user1@gmail.com&gt;: Relay access denied<br>Т.е. выходит у меня для входящей почты вообще никакой проверки нет - хоть от барака обамы письма присылай. Фиг с ними: дмарками, спф, дкимами, как заставить его хотя бы реверс днс проверять и реагировать на него?<br> https://www.opennet.ru/openforum/vsluhforumID1/97315.html#1 Mon, 12 Nov 2018 11:32:23 GMT &gt; Пришло письмо от злоумышленника что мой комп взломан и т.п. с требованиями <br>&gt; откупа с моего же и-мейла. Вот данные письма: <br>&gt; Если я правильно понимаю, он без авторизации каким-то образом всё же отправил <br>&gt; письмо <br><br>Он ПРИСЛАЛ письмо.<br>Вот эта строка:<br>&gt; Received: from dsl.49.150.140.89.pldt.net (unknown [49.150.140.89]) <br><br>Поищите в словаре что такое "Received"<br><br>&gt; Меня взломали или postfix настроен неправильно?<br><br>Постфикс не настроен вообще вероятно.<br><br>