垃圾邮件通过我的服务器使用有效的用户转发

我得到“未交付的邮件返回到发件人”消息。 相关邮件消息正在我的服务器(server1.nbicharts.com)上使用有效用户(mike@proactech.com)转发。 我控制这个电子邮件地址,所以这不是我做转发。 我已经testing过,我的服务器不是一个开放的中继,所以我需要帮助如何跟踪允许这种情况发生的漏洞。 我认为,虽然我只看到了未传递的信息,但是还是有更多的信息在传递。

任何帮助将不胜感激。

这是一个典型的消息:

This is the mail system at host server1.nbicharts.com. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system <hrrecruitmentcell@tvssons.com>: host b.as.safentrix.com[23.239.12.179] said: 550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient address rejected: User unknown (in reply to RCPT TO command) Reporting-MTA: dns; server1.nbicharts.com X-Postfix-Queue-ID: D7340580C88 X-Postfix-Sender: rfc822; mike@proactech.com Arrival-Date: Sat, 25 Jul 2015 06:35:04 -0400 (EDT) Final-Recipient: rfc822; hrrecruitmentcell@tvssons.com Original-Recipient: rfc822;hrrecruitmentcell@tvssons.com Action: failed Status: 5.1.1 Remote-MTA: dns; b.as.safentrix.com Diagnostic-Code: smtp; 550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient address rejected: User unknown ForwardedMessage.eml Subject: Reply: kavithamai From: kavithamai <mike@proactech.com> Date: 07/25/2015 01:35 AM To: "hrrecruitmentcell" <hrrecruitmentcell@tvssons.com> Begin forwarded message > >> >>> http://freefinancialstresstest.com/lazbqala.php?kavithamai > > From: Kavithamai -kavithamai@yahoo.co.in- > Date: Fri, 25 Jul 2015 11:35:04 +0000 > To: Hrrecruitmentcell > Subject: Re: Fwd > > 7/25/2015 11:35:04 AM Sent from my iPad 

这里的mail.log

 Jul 25 06:35:06 server1 postfix/smtp[18650]: D7340580C88: to=<hrrecruitmentcell@tvssons.com>, relay=b.as.safentrix.com[23.239.12.179]:25, delay=1.8, delays=1.1/0/0.45/0.2, dsn=5.1.1, status=bounced (host b.as.safentrix.com[23.239.12.179] said: 550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient address rejected: User unknown (in reply to RCPT TO command)) 

你已经做了一些挖掘,发现原来的出站电子邮件是通过你的服务器发送的。 那就意味着,在这种情况下,你不是一个好工作的人 。

通过日志挖掘显示,有问题的用户通过authentication可以发送橙色斯洛伐克的电子邮件,这很可能是移动连接。 你应该问这个用户为什么他的身份validation发送来自斯洛伐克的邮件。

如果他打算发送这封邮件,您应该根据您的可接受使用政策来评估他的行为。 如果他不打算把它发送出去,那么他的账号,也可能是他的移动计算设备,已经妥协了,他应该进行适当的清理,你应该locking他的会话,直到你满意为止,再次取决于你的AUP来certificate你的行为。

比服务器漏洞利用更可能,这看起来像欺骗源地址。 处理这个(但不是完全缓解)的方法之一是使用SPFlogging。

proactech.com域名目前没有SPFlogging。 这意味着目标邮件服务器无法validation收到的邮件是来自您的邮件服务器(合法的)还是其他(不合法的)邮件服务器。

如果您安装了SPFlogging,那么检查SPFlogging的有效性的目标系统(它们会发送退回消息)(当前有很多)会拒绝来自服务器的任何传入消息,这些消息不会被这些SPFlogging所允许,不要试图传递这样的信息。 这意味着没有反弹给你。

您也可以考虑安装DKIM,这是可以帮助您减轻部分问题的另一个function。 我认为SPF比SPF检查得更广泛,所以首先要做的是SPF,但是如果可能的话,也要安装DKIM,以确保你已经尽力而为。