Кажется, что люди отправляют спам через мой почтовый сервер, используя аутентификацию SMTP-сервера.
- Я получаю отказы от недоставленной почты
- Отказов содержат правильные заголовки Received: от моего почтового сервера
- Мой почтовый сервер не является открытым реле
- Я изменил пароли для всех учетных записей на сервере
Образцы заголовков оригинальной почты:
Received: from mydomain.net ([190.236.249.21])
(authenticated bits=0)
by mymailserver.net with ESMTP id tA9FuD9m015519
for <xyz@xyzhotmail.com>; Mon, 9 Nov 2015 16:56:34 +0100
IP не мой, на самом деле он из Перу, и такие же письма отправляются с IP в Индии, Малайзии и т.д.
Соответствующая запись в mail.log:
Nov 9 16:56:17 mymailserver sm-mta[15519]: AUTH=server, relay=[190.236.249.21], authid=my@email.net, mech=PLAIN, bits=0
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: from=<my@email.net>, size=428, class=0, nrcpts=1, msgid=<F67043B1-F959-41D2-F87F-1493F6905FCF@mydomain.net>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; envelope-from=my@email.net; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: from=<my@email.net>, size=451, class=0, nrcpts=1, msgid=<53E69BF1-310E-4814-BF49-311956EF726D@mydomain.net>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; envelope-from=my@email.net; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Я в тупике - я не уверен, как они получают а) AUTH=server и б) authid=my@email.net . Но я не уверен, как это отладить, и я не могу найти в Google ничего о отключении этого типа аутентификации, все относится только к аутентификации клиентов (что я и делаю) и идентификации для других серверов, когда sendmail является клиентом (что я не делаю).