Вопросы Теги

Dovecot sieve пересылает копию на неавторизованный адрес электронной почты.

Недавно dovecot начал повторно отправлять копии всех писем, полученных с нескольких учетных записей, на неавторизованный адрес электронной почты: (скрыто) Похоже, сообщение создается локально (127.0.0.1), но я не могу найти где и как он создается. 

Mar 26 19:37:44 sd-4XXXX postfix/cleanup[21014]: 64BA6E182985: message-id=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>
Mar 26 19:37:44 sd-4XXXX postfix/qmgr[26225]: 64BA6E182985: from=<me@mydomain.com>, size=15412, nrcpt=1 (queue active)
Mar 26 19:37:46 sd-4XXXX postfix/smtpd[21022]: connect from localhost[127.0.0.1]
Mar 26 19:37:46 sd-4XXXX postfix/smtpd[21022]: E1743E1839D6: client=localhost[127.0.0.1]
Mar 26 19:37:46 sd-4XXXX postfix/cleanup[21014]: E1743E1839D6: message-id=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>
Mar 26 19:37:46 sd-4XXXX postfix/smtpd[21022]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Mar 26 19:37:46 sd-4XXXX postfix/qmgr[26225]: E1743E1839D6: from=<me@mydomain.com>, size=16476, nrcpt=1 (queue active)
Mar 26 19:37:46 sd-4XXXX amavis[32748]: (32748-11) Passed CLEAN {RelayedInternal}, ORIGINATING LOCAL [8X.8X.6X.3X]:55254 [8X.8X.6X.3X] <me@mydomain.com> -> <info@destindomain.com>, Queue-ID: 64BA6E182985, Message-ID: <5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>, mail_id: Buvs90Q9JFpr, Hits: -2.898, size: 15412, queued_as: E1743E1839D6, dkim_new=default:mydomain.com, 2353 ms
Mar 26 19:37:46 sd-4XXXX postfix/smtp[21015]: 64BA6E182985: to=<info@destindomain.com>, relay=127.0.0.1[127.0.0.1]:10026, delay=2.6, delays=0.23/0.01/0/2.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10027): 250 2.0.0 Ok: queued as E1743E1839D6)
Mar 26 19:37:46 sd-4XXXX postfix/qmgr[26225]: 64BA6E182985: removed
Mar 26 19:37:47 sd-4XXXX postfix/pickup[831]: 0CA2BE1851F7: uid=5000 from=<me@mydomain.com>
Mar 26 19:37:47 sd-4XXXX dovecot: lda(info@destindomain.com): sieve: msgid=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>: forwarded to <puncheseurope23@gmaiil.com>
Mar 26 19:37:47 sd-4XXXX postfix/cleanup[21014]: 0CA2BE1851F7: message-id=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>
Mar 26 19:37:47 sd-4XXXX postfix/qmgr[26225]: 0CA2BE1851F7: from=<me@mydomain.com>, size=16711, nrcpt=1 (queue active)
Mar 26 19:37:47 sd-4XXXX dovecot: lda(info@destindomain.com): sieve: msgid=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>: stored mail into mailbox 'INBOX'
Mar 26 19:37:47 sd-4XXXX postfix/pipe[21023]: E1743E1839D6: to=<info@destindomain.com>, relay=dovecot, delay=0.27, delays=0.04/0.02/0/0.22, dsn=2.0.0, status=sent (delivered via dovecot service)
Mar 26 19:37:47 sd-4XXXX postfix/qmgr[26225]: E1743E1839D6: removed
Mar 26 19:37:49 sd-4XXXX postfix/smtpd[21033]: connect from localhost[127.0.0.1]
Mar 26 19:37:49 sd-4XXXX postfix/smtpd[21033]: 0113FE182985: client=localhost[127.0.0.1]
Mar 26 19:37:49 sd-4XXXX postfix/cleanup[21014]: 0113FE182985: message-id=<5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>
Mar 26 19:37:49 sd-4XXXX postfix/smtpd[21033]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Mar 26 19:37:49 sd-4XXXX postfix/qmgr[26225]: 0113FE182985: from=<me@mydomain.com>, size=17040, nrcpt=1 (queue active)
Mar 26 19:37:49 sd-4XXXX amavis[32627]: (32627-11) Passed CLEAN {RelayedOutbound}, LOCAL [127.0.0.1] [8X.8X.6X.3X] <me@mydomain.com> -> <puncheseurope23@gmaiil.com>, Message-ID: <5F95A212-FB12-4A6D-9ADF-DFFF63D70B98@mydomain.com>, mail_id: 4g8Irz6LJmCW, Hits: -3.098, size: 16711, queued_as: 0113FE182985, dkim_sd=default:mydomain.com, 1985 ms
Mar 26 19:37:49 sd-4XXXX postfix/smtp[21015]: 0CA2BE1851F7: to=<puncheseurope23@gmaiil.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.1, delays=0.12/0/0/2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0113FE182985)
Mar 26 19:37:49 sd-4XXXX postfix/qmgr[26225]: 0CA2BE1851F7: removed

Редактировать 1 У меня установлен ISPConfig 3 на сервере, и эти учетные записи электронной почты имели неавторизованный адрес (скрытый) в поле cc, я удалил эти записи, но проблема все еще возникает.

Edit 2 После некоторого исследования я обнаружил, что сито голубятни было настроено для перенаправления этих писем на оскорбительный адрес. Я проверил файлы в /var/vmail/destindomain.com/info/.sieve и нашел строку redirect (hidden), очевидно созданную из ispconfig, но не удаленную, когда я изменил запись через интерфейс ispconfig.

0
задан 26 March 2019 в 23:59
1 ответ

Наконец-то я нашел ответ:

У меня на сервере установлен ISPConfig 3, и в этих учетных записях электронной почты в поле cc указан неавторизованный адрес. Каким-то образом ISPConfig взломали, они вошли в систему и изменили эти значения. После изменения значения в интерфейсе ISPConfig проблема все еще возникала, поэтому я grep все файлы в / etc, чтобы что-то найти, и вуаля! Я мог найти правило в /var/vmail/destdomain.com/info/.sieve:

# Send a copy of email to
redirect "puncheseurope23@gmaiil.com";

Удаление этой строки решило его.

Я проверяю прямо сейчас, чтобы увидеть, есть ли еще какие-либо повреждения, тем временем у меня есть добавлено регулярное выражение fail2ban в логины ISPConfig.

0
ответ дан 24 November 2019 в 00:29

Теги

Похожие вопросы