Forum
Hmail server'in log kayıtlarına baktım.
FROM Gönderici kısmında sürekli domainime ait gibi görünen ama ait olmayan sahte kullanıcılar mevcut.
Hemen serverdan atılmış bir mailin HEADER bölümünü göstericem:
Received: from Smkt ([187.23.162.7])
by benim-gercek-domain-ismim.com
; Fri, 28 Sep 2012 18:09:16 +0300
Message-ID: <58A292F4-7D0F-4F05-855C-B5A7C1737565@benim-gercek-domain-ismim.com>
From: "Olivia AKMOS" <[email protected]>
Subject: 4.000 por =?ISO-8859-1?Q?m=EAs est=E1?= bom ou quer mais?
To: [email protected]
Content-Type: text/html
Reply-To: [email protected]
Date: Fri, 28 Sep 2012 12:09:11 -0300
Gördüğünüz gibi gönderici kısmında [email protected] isminde bir adres var domain bana ait ama aslında "wjdr" adlı kullanıcı hesabı yok gerçekte.
Mail serverı kullanarak mail atan IP: 187.23.162.7 Görünüyor ama sonu sürekli değişiyor bu IP nin yani 187.23.162.7 IP den 40 mail atmışsa 59 tane mail de 187.23.162.97 ip si kullanılarak gönderiliyor.
Mail server'ım da sadece 2 domain var ve bu domainlerden biri ile yapılıyor bu işlem.
AKLIMA ŞU GELDİ !
Kullandığım PHP tabanlı scriptlerde bir açık vardı ve script üstünden mail atılıyordu, mantıklı değil mi ?
Hemen APACHE LOG kayıtlarına baktım ama mail serverdan mail atan 187.23.162.7 ve diğer IP ler, ne access nede error logları içerisinde yer almıyor. Bir tanesi bile yok IP lerin.
Demek ki mail serverı kullanarak mail atan kişi yada yazılım, yada her ne teknoloji ise, sitelere girip siteler üstünden PHP açıklarını kullanarak erişim sağlamıyor, post yada get motodları ile.
Geriye kalıyor kullandığım BEDAVA mail server ...
Şimdi iyice detaylara girmek istiyorum.
Makine de uzak masa üstü bağlantısı yok, 80, 110, 25, 53 nolu portlar dışında güvenlik adına başka hiç bir port açık değil, buna ftp ve mysql da dahil.
Kullanılan mail server: HMail 5.4 - b1942 sürümü, mail serverda sadece 2 domain bulunuyor ve sadece 1 mail account var, var olan mail account catchall olarak kullanılmakta. Bu var olan 1 adet mail hesabının uzun bir şifresi var.
Şimdi beyler biliyorum genelde sizler, mail enable yada icewarp gibi çözümler kullanıyorsunuz ama muhtemelen hmail i kullanmış yada denemişsinizdir.
Sizce bu işin kaynağı, aslı astarı nedir ?
Dışarıdan mail atmak için SMTP bilgilerini bilmek lazım bilmeden mail nasıl atılıyor ? Hmail server yazılımında bir açık mı var, bilerek bırakılmış yada bilinmeyen bir açık mı ?
İngilizcem yeterli olmadığı için hmail ekibine değilde konuyu burada açtım, şimdiden ilgi için tşkler.
Sunucunun RELAY'i açık gibi grünüyor. http://www.mailradar.com/openrelay/ adresine giderek sunucunun relay testini yapın.
sonuca göre konuşalım.
Sunucunun RELAY'i açık gibi grünüyor. http://www.mailradar.com/openrelay/ adresine giderek sunucunun relay testini yapın.
sonuca göre konuşalım.
Cevap için tşk ederim, hemen verdiğiniz linkten test yaptım
[Method 2]
[TEST NOT PASSED]
[Method 14]
[TEST NOT PASSED]
All tested completed! Relays accepted by remote host.
Şeklinde cevaplar geldi toplam 18 test yapıldı üstteki 2 testte uyarı alındı
Mesela bu Method 1 sonucu
<<< 220 HELO DOMAIN_ISMI
>>> HELO mailradar.com
<<< 250 Hello.
>>> MAIL FROM: <[email protected]>
<<< 250 OK
>>> RCPT TO: [email protected]
<<< 530 SMTP authentication is required.
>>> QUIT
<<< 221 goodbye
Smtp sunucum üstünden "SMTP kimlik doğrulaması gerekli" yanıtı alıyor mailradar, yani bu smtp ayarlarımda bir sorun olmadığını gösteriyor değil mi ?
Şu an sorun devam etmekte mail serverda silmeme rağmen 1-2 saat içerisinde 549 Mail göndeirlmeyi bekliyor. 187.23.162.97 IP görünüyor, ve mail atılan alıcılar hep BR, brazilya uzantılı mailler, genelde göndeirlen bir mailin alıcı sayısıda 10 yada 20 kişiden oluşuyor.
Ayrıca Hmail server da SMTP setting içerisinde bulunan, SMTP Relayer ayarları kapalı durumda SMTP Relayer e hiç bir bilgi girilmiş durumda değil.
Bu alanda bir değişiklik yapmak mı gerekli acaba ?
OOO RELAY açık. Hemen yukarıdaki Server Requires autentication kutusunu işaretleyip save edin. Servisleri restart edin ve mail kuyruğunu temizleyin.
acele edin black liste gireceksiniz.
OOO RELAY açık. Hemen yukarıdaki Server Requires autentication kutusunu işaretleyip save edin. Servisleri restart edin ve mail kuyruğunu temizleyin.
acele edin black liste gireceksiniz.
Cevap için çok teşekkür ederim beni çok aydınlattınız, önceden hiç Relay kullanımına ihtiyac duymamıştım, kullandığım bir fonksiyon değildi. İşin ilginci hmailserver da relay'ı bir türlü kapatamadım. Yaptığım testlerde hep açık görünüyor, bende ralayın portunu değiştirdim ve kullanıcı adı şifre atadım.
Şu anda biriken mailleride temizlemiş durumdayım, şu an yabancı IP ler ve atılan mailler görünmüyor. Hmail için söyleyeceğim ise bedava etin haynisi bu kadar olur üstteki resimden başka relay ayarı yok, programı yapan insanlar nasıl olmuşta bir ON / OFF işlemi görecek düğme (fonksiyon) koymamışlar, ilginc oğlu ilginc.
Problemli kullanıcıyı bulmak için SMTP loğlarının alınması sağlanmalı. Problemi
tespit edebilecek miktarda veri toplandıktan sonra, bu veriler aşağıdaki
şekilde analiz edilerek bulunur.
Logların tutulduğu klasörde hmailserver_tarih olarak yazan dosya alınır. Bu
dosya excel içinden açılır. Açılış sırasında sekme vb. ile ayrılmış dosya
olarak seçilerek alanlar hücrelere oturur.
hmailserver belli bir süre bağlantıdan sonra yeniden authenticate olunmasını
ister. Böyle bir durumda loglarda “SENT: 550 Login credentials no longer
valid. Please re-authenticate.” Şeklinde bir ifade bulacaksınız. Bu
ifadenin olduğu satırdaki üçüncü sütunda yer alan session no’dan ve birinci
sütundan SMTPD seçenekleri ile filtre ederek ilk bağlantının yapıldığı
bilgilere ulaşılır. Bu bilgilerdeki kullanıcı adını gösteren veri base64 ile
kodlanmıştır.
Kodlanmış
bilgiyi http://www.base64decode.org/
adresinden decode ederek kullanıcı adı tespit edilir.
M.Emin Şahin
Merhaba ;
Aynı sorun benim mail sunucumda da var. Bu konuda bir bilgisi olan var mı acaba ?
İyi Çalışmalar.
Aydın bey isminizi Aydın UNLU olarak düzeltmenizi rica ediyoruz. Bunun dışında LOG'lardan hangi kullanıcının aşırı mail yolladığını ip adresini vererek görebilir ve temizleyebilirsiniz. Makinada trojan gibi yazılımlar varsa buna karşı local relay dolayısı ile sıkıntı yaşıyor olabilirsiniz...