Log postfix voci sospette

[Oxy]

Eccomi qua!
Sempre a caccia di pirati
Cosa significano queste (centinaia) di voci in maillog con indirizzi a me sconosciuti:

Jun 13 13:19:22 ..... postfix/smtp[30799]: 8AAA953DB: to=<windows@nutrafromatoz.com>, relay=none, delay=294469, delays=294439/0.03/30/0, dsn=4.4.1, status=deferred (connect to use.nutrafromatoz.com[89.163.131.200]:25: Connection timed out)

Spero non sia posta in uscita! Certo non l'ho inviata io.
Leggendo "to" mi viene il sospetto che qualcuno usi il mio server per inviare spam. Ditemi che mi sbaglio
Grazie

[hashcat]

Spero non sia posta in uscita! Certo non l'ho inviata io.
Leggendo "to" mi viene il sospetto che qualcuno usi il mio server per inviare spam. Ditemi che mi sbaglio
Grazie

Nella voce del log inclusa l'operazione (invio dell'email all'indirizzo indicato nel "To" utilizzando il server SMTP con indirizzo "use.nutrafromatoz.com") non è riuscita in quanto, tentando di accedere al server SMTP, si è verificato un timeout di rete.
Potresti riportare, nel tuo prossimo messaggio, ulteriori voci anomale dello stesso log?

[Oxy]

Le voci sono tutte così, cambiano solo gli indirizzi (ho omesso solo il nome del mio server):
Jun 13 13:19:22 .... postfix/smtp[30799]: 8AAA953DB: to=<windows@nutrafromatoz.com>, relay=none, delay=294469, delays=294439/0.03/30/0, dsn=4.4.1, status=deferred (connect to use.nutrafromatoz.com[89.163.131.200]:25: Connection timed out)
Jun 13 13:23:52 .... postfix/qmgr[23317]: 189BE52AA: from=<asuncion33ostetler@ellentalkzcelebloss.com>, size=12824, nrcpt=1 (queue active)
Jun 13 13:23:52 .... postfix/qmgr[23317]: 1EDEB5060: from=<clinton5@dadb3stgifthewant.com>, size=15700, nrcpt=1 (queue active)
Jun 13 13:23:52 .... postfix/qmgr[23317]: 1CEEA1F14: from=<>, size=17114, nrcpt=1 (queue active)
Jun 13 13:23:52 .... postfix/qmgr[23317]: 160C35349: from=<irvin@ourslosed.com>, size=12052, nrcpt=1 (queue active)
Jun 13 13:23:52 .... postfix/qmgr[23317]: 0D99753E0: from=<>, size=16495, nrcpt=1 (queue active)

Ho disattivato tutti i servizi IMAP/SSL/TLS, o lasciando solo courier pop3.
Ho solo due indirizzi email e ho già cambiato la password. Non credo passino da li.
Io invio solo pochissime email tramite cgi "sbin/sendmail". Forse usano sendmail direttamente.
Può essere che l'invio sia libero, senza autenticazione? Come posso verificare?

[Oxy]

Dimenticavo, ci sono anche i tentativi falliti di autenticazione SASL
Jun 13 03:14:55 .... postfix/smtpd[60329]: warning: unknown[193.189.117.149]: SASL LOGIN authentication failed: authentication failure
Jun 13 03:14:55 .... postfix/smtpd[60329]: lost connection after AUTH from unknown[193.189.117.149]
Jun 13 03:14:55 .... postfix/smtpd[60329]: disconnect from unknown[193.189.117.149]

[hashcat]

Ho disattivato tutti i servizi IMAP/SSL/TLS, o lasciando solo courier pop3.

Ciò non impatta SMTP.

Ho solo due indirizzi email e ho già cambiato la password. Non credo passino da li.
Io invio solo pochissime email tramite cgi "sbin/sendmail". Forse usano sendmail direttamente.
Può essere che l'invio sia libero, senza autenticazione? Come posso verificare?

Per chi non dispone di una visione completa dei servizi offerti dal server (e di come questi sono configurati) fornire una risposta risulta difficile: prova a descrivere meglio i precedenti elementi...
Forse il tuo server sta agendo da open mail relay. Qual'è l'esito di QUESTO test? (inserisci l'indirizzo del tuo mail server)

[PippoDJ]

Il log mostra sicuramente che il server è bersagliato dallo spam (indirizzi sconosciuti nelle righe "from="), ma non c'è evidenza che stia davvero inviando email per conto degli spammer o che si comporti come un relay aperto.

L'unico invio è riportato nella riga che contiene il "to=" e potrebbe essere dovuto ad un tentativo compiuto dal mail server stesso di notificare allo spammer la mancata consegna del messaggio. Invio che, tra l'altro, non è riuscito (forse per la presenza di un firewall che blocca le connessioni in uscita verso la porta 25?).

Per seguire tutta la "storia" di un messaggio all'interno di un log, non basta guardare riga per riga, ma bisogna cercare tutte le righe che contengono l'ID del messaggio (ad es.: 8AAA953DB).

[Oxy]

In effetti anche io ho il sospetto che sia qualcosa del genere. Anche perché nel Pannello Plesk del server c'è un antispam.
Ora sto agendo tra le opzioni per cercare di capire se sia dovuto a quello.
Prima ho modificato "qualcosa" (non so di preciso cosa, tante ne ho fatte...) e improvvisamente sono arrivate una 50a di email di spam sulla casella di posta, e mi è parso che nel log siano sparite quelle voci. Ma al momento non sono ancora sicuro di niente.
Grazie delle informazioni!

[Oxy]

Seguendo il riferimento, ho notato che prima di ogni "to" c'è una riga (from=<>) :
... postfix/qmgr[37857]: 50D2D53A0: from=<>, size=13228, nrcpt=1 (queue active)
questo sembra avvalorare l'ipotesi o sbaglio?

[PippoDJ]

Seguendo il riferimento, ho notato che prima di ogni "to" c'è una riga (from=<>) :
... postfix/qmgr[37857]: 50D2D53A0: from=<>, size=13228, nrcpt=1 (queue active)
questo sembra avvalorare l'ipotesi o sbaglio?

Sì... dovrebbe esserci anche una frase: "sender non-delivery notification:" seguita dall'ID del messaggio. (o qualcosa del genere)

[Oxy]

No, in quei casi non c'è altro.
"sender non-delivery notification:" la trovo quando trovo un classico messaggio di spam in arrivo:
postfix/qmgr[40382]: EC5BC3FD4: from=<lore@mondayhealthvisionl0ss.com>, status=expired, returned to sender
postfix/bounce[64214]: EC5BC3FD4: sender non-delivery notification: ECBA751E2
xtrader postfix/qmgr[40382]: EC5BC3FD4: removed

Ma ce ne sono pochi. Sospetto che li abbia ricevuti quando ho cambiato/disattivato il controllo spam, mentre quando lo attivo ricevo solo i messaggi "to" e "...from=<>, size=13228, nrcpt=1 (queue active)". Al momento è solo un ipotesi.

[PippoDJ]

Controlla se prima della riga:
postfix/smtp[nnnn]: 8AAA953DB: to=<windows@nutrafromatoz.com> [...]
ce n'è una:
postfix/bounce[nnnn]: XXXXXXXXX: sender non-delivery notification: 8AAA953DB [...]

Se è così, non dovrebbe essere nulla di preoccupante, anche se il comportamento corretto dell'antispam dovrebbe essere di non inviare nessuna notifica allo spammer.

[Oxy]

Non c'è. C'è solo la classica : "...from=<>, size=13228, nrcpt=1 (queue active)".

Ho attivato un opzione nell'antispam :
SPF checking continues when there are DNS lookup problems [x]
[ First, SPF performs a DNS lookup. Select this option to continue checking if the DNS lookup fails. This option is deselected if it has no effect in the current checking mode.]

E per ben 13 minuti maillog non è stato modificato! Forse ("forse") ci siamo, non vedo più i "to"
Ora provo altre opzioni di verifica spam.

[Oxy]

SPF ha vaie opzioni:
Use temporary error notices when you have DNS lookup problems
Reject mail when SPF resolve "fail" (deny)
Reject mail when SPF resolve "softfail"
Reject mail when SPF resolve "neutral"
Reject mail when SPF resolve "pass"

Consigli ?

[Oxy]

Specify how to deal with email when SPF applies local and guess rules:

To reject messages from senders who are not authorized to use the domain in question, select the option Reject mail if SPF resolves to "fail" from the SPF checking mode drop-down box.

To reject the messages that are most likely from senders who are not authorized to use the domain in question, select the option Reject mail if SPF resolves to "softfail" from the SPF checking mode drop-down box.

To reject the messages from senders who cannot be identified by SPF system as authorized or not authorized because the domain has no SPF records published, select the option Reject mail if SPF resolves to "neutral" from the SPF checking mode drop-down box.

To reject the messages that do not pass SPF check for any reason (for example, when sender's domain does not implement SPF and SPF checking returns the "unknown" status), select the option Reject mail if SPF does not resolve to "pass" from the SPF checking mode drop-down box.

Ho impostato su "fail".

[hashcat]

Ho attivato un opzione nell'antispam :
SPF checking continues when there are DNS lookup problems [x]
[ First, SPF performs a DNS lookup. Select this option to continue checking if the DNS lookup fails. This option is deselected if it has no effect in the current checking mode.

Consiglio di disabilitare quella voce.

accettare tutti i messaggi in arrivo a prescindere dai risultati di verifica SPF, anche se la verifica SPF non è riuscita a causa di problemi di ricerca DNS

Ho impostato su "fail".

Impostazione ragionevole (non è troppo permissiva né eccessivamente aggressiva).