înregistrare Logare
Puncte:0
Tobias H avatar Server

Contul de e-mail este compromis sau există vreo altă șansă?

drapel mx
Tobias H

Serverul trimitea spam, acum este sarcina mea să-l curăț. Așa am făcut câteva lucruri care au rezolvat o problemă, dar aceasta este încă deschisă. Se pare că proprietarul primește e-mailuri de la el însuși. Există o redirecționare de la [email protected] la [email protected]. Antetul e-mailului arată astfel:

Din: 27 2021 <>
X-Cont-Cheie: cont1
X-UIDL: UID2733-1620041375
Stare X-Mozilla: 0001
X-Mozilla-Status2: 00000000
Taste X-Mozilla: 
Cale de întoarcere: <[email protected]>
X-Original-Către: [email protected]
Livrat-La: [email protected]
Primit: de la domeniul.A (domeniul.A [1.2.3.4]) de către domeniu.B (Postfix) cu ID ESMTPS 5E1A72008B pentru <[email protected]>; joi, 1 iulie 2021 22:34:40 +0200 (CEST)
Primit: de domeniu.A (Postfix, de la userid 30) id 44B4138173D; joi, 1 iulie 2021 22:34:40 +0200 (CEST)
X-Original-Către: [email protected]
Livrat-Către: [email protected]
Primit: de la hp0.221.gvbni.club (hp0.221.gvbni.club [159.65.219.21]) de domeniul.A (Postfix) cu ID ESMTPS E8F7F380E19 pentru <[email protected]>; joi, 1 iulie 2021 22:34:39 +0200 (CEST)
De la: domain.A <[email protected]>
Către: [email protected]
Subiect: Notificare de la domeniu.A 30 iunie 2021 Raport de eroare #496511148735
Data: 1 iulie 2021 13:34:38 ​​-0700
ID-ul mesajului: <[email protected]>
Versiunea MIME: 1.0
Tip de conținut: text/html
Conținut-Transfer-Codificare: citat-printabil

Plesk cu postfix este în uz, coada de e-mail este goală. Proprietarul [email protected] nu a trimis mesajul. Desigur, acest lucru este posibil cu un cont de e-mail compromis. Există vreo altă posibilitate de ce se poate întâmpla asta?

Mulțumesc foarte mult

PS: jurnalul arată următoarele:

1 iulie 22:34:39 h2086526 postfix/smtpd[6949]: conectați-vă de la hp0.221.gvbni.club[159.65.219.21]
1 iulie 22:34:39 h2086526 postfix/smtpd[6949]: E8F7F380E19: client=hp0.221.gvbni.club[159.65.219.21]
1 iulie 22:34:40 h2086526 postfix/cleanup[7201]: E8F7F380E19: message-id=<[email protected]>
1 iulie 22:34:40 h2086526 check-quota[7204]: Se pornește filtrul check-quota...
1 iulie 22:34:40 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: handlers_stderr: SKIP
1 iulie 22:34:40 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: SKIP în timpul apelului „check-quota” handler
1 iulie 22:34:40 h2086526 postfix/qmgr[28667]: E8F7F380E19: from=<[email protected]>, size=3932, nrcpt=1 (coada activă)
1 iulie 22:34:40 h2086526 postfix-local[7206]: postfix-local: [email protected], [email protected], dirname=/var/qmail/mailnames
1 iulie 22:34:40 h2086526 dk_check[7207]: Se pornește filtrul dk_check...
1 iulie 22:34:40 h2086526 dk_check[7207]: rezultatul verificării DKIM: Feed DKIM: fără semnătură
1 iulie 22:34:40 h2086526 check-quota[7212]: Se pornește filtrul check-quota...
1 iulie 22:34:40 h2086526 plesk sendmail[7211]: handlers_stderr: SKIP
1 iulie 22:34:40 h2086526 plesk sendmail[7211]: SKIP în timpul apelului „check-quota” handler
1 iulie 22:34:40 h2086526 postfix/pickup[4154]: 44B4138173D: uid=30 from=<[email protected]>
1 iulie 22:34:40 h2086526 postfix/cleanup[7201]: 44B4138173D: message-id=<[email protected]>
1 iulie 22:34:40 h2086526 postfix/qmgr[28667]: 44B4138173D: from=<[email protected]>, size=4101, nrcpt=1 (coada activă)
1 iulie 22:34:40 h2086526 postfix/pipe[7205]: E8F7F380E19: to=<[email protected]>, relay=plesk_virtual, delay=0.45, delays=0.38/0/0/0.06, dsn=2.0.0. , status=trimis (livrat prin serviciul plesk_virtual)
1 iulie 22:34:40 h2086526 postfix/qmgr[28667]: E8F7F380E19: eliminat
1 iulie 22:34:40 h2086526 postfix/smtp[7217]: 44B4138173D: to=<[email protected]>, relay=domain.B[1.2.3.4]:25, delay=0.15, delays=0/0.01/ 0.06/0.08, dsn=2.0.0, stare=trimis (250 2.0.0 Ok: în coadă ca 5E1A72008B)
1 iulie 22:34:40 h2086526 postfix/qmgr[28667]: 44B4138173D: eliminat
1 iulie 22:34:40 h2086526 postfix/smtpd[6949]: deconectați-vă de la hp0.221.gvbni.club[159.65.219.21]

PPS: Un e-mail valid a fost trimis de la [email protected] la [email protected], transmis la [email protected]:

6 iulie 20:35:36 h2086526 postfix/smtpd[31806]: conectați-vă de la mout.web.de[212.227.15.4]
6 iulie 20:35:36 h2086526 postfix/smtpd[31806]: 2BEA8380E17: client=mout.web.de[212.227.15.4]
6 iulie 20:35:36 h2086526 postfix/cleanup[31873]: 2BEA8380E17: message-id=<[email protected]>
6 iulie 20:35:36 h2086526 check-quota[31876]: Se pornește filtrul check-quota...
6 iulie 20:35:36 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: handlers_stderr: SKIP
6 iulie 20:35:36 h2086526 /usr/lib/plesk-9.0/psa-pc-remote[672]: SKIP în timpul apelului „check-quota” handler
6 iulie 20:35:36 h2086526 postfix/qmgr[28667]: 2BEA8380E17: from=<[email protected]>, size=2775, nrcpt=1 (coada activă)
6 iulie 20:35:36 h2086526 postfix-local[31878]: postfix-local: [email protected], [email protected], dirname=/var/qmail/mailnames
6 iulie 20:35:36 h2086526 dk_check[31879]: Se pornește filtrul dk_check...
6 iulie 20:35:36 h2086526 dk_check[31879]: rezultatul verificării DKIM: succes
6 iulie 20:35:36 h2086526 postfix/smtpd[31806]: deconectați-vă de la mout.web.de[212.227.15.4]
6 iulie 20:35:36 h2086526 dovecot: service=lda, [email protected], ip=[]. msgid=<[email protected]>: e-mail salvat în INBOX
6 iulie 20:35:36 h2086526 check-quota[31890]: Se pornește filtrul check-quota...
6 iulie 20:35:36 h2086526 plesk sendmail[31889]: handlers_stderr: SKIP
6 iulie 20:35:36 h2086526 plesk sendmail[31889]: SKIP în timpul apelului handler „check-quota”
6 iulie 20:35:36 h2086526 postfix/pickup[29043]: 707C738173E: uid=30 from=<SRS0=RS5/[email protected]>
6 iulie 20:35:36 h2086526 postfix/cleanup[31873]: 707C738173E: message-id=<[email protected]>
6 iulie 20:35:36 h2086526 postfix/qmgr[28667]: 707C738173E: de la=<SRS0=RS5/[email protected]>, size=3027, nrcpt=1 (coada activă)
6 iulie 20:35:36 h2086526 postfix/pipe[31877]: 2BEA8380E17: to=<[email protected]>, relay=plesk_virtual, delay=0.3, delays=0.15/0/0/0.15, dsn=2.0.0. , status=trimis (livrat prin serviciul plesk_virtual)
6 iulie 20:35:36 h2086526 postfix/qmgr[28667]: 2BEA8380E17: eliminat
6 iulie 20:35:36 h2086526 postfix/smtp[31895]: 707C738173E: to=<[email protected]>, relay=domain.B[1.2.3.4]:25, delay=0.21, delays=0/0.01/ 0.09/0.11, dsn=2.0.0, stare=trimis (250 2.0.0 Ok: în coadă ca 8E7C1201F7)
6 iulie 20:35:36 h2086526 postfix/qmgr[28667]: 707C738173E: eliminat
110
0 + 5
vidarlo avatar
drapel ar
vidarlo
Expeditorul este într-adevăr MX standard al lui A? Ai verificat jurnalele de pe A? Ce arată ele? A susține că a fost primit de la uid 30, ați verificat ce utilizator este acesta în `/etc/passwd`?
0
Răspunde
Tobias H avatar
drapel mx
Tobias H
Multe de făcut, știu... Utilizatorul cu id 30 este: popuser:x:30:31:Utilizatorul serviciului POP3 Am adăugat jurnalele în prima postare.
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Este ceea ce arată jurnalele *normal*, de ex. ce s-ar afișa pentru un e-mail legitim? Și de ce ar trimite popuser e-mailuri? Ce software rulează ca popuser pe sistemul respectiv?
0
Răspunde
Tobias H avatar
drapel mx
Tobias H
Multumesc mult, am adaugat jurnalele in prima postare.
0
Răspunde
Tobias H avatar
drapel mx
Tobias H
Se pare că serverul 159.65.219.21 trimite mail-uri dintr-un domeniu străin sau aveți altă idee?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.