• 注册日期: 2013-05-30
  • 文章数: 20

主题: 帮我分析一下这个IP是怎么发送到我限定别名组的

==== 必填信息。没有填写将不予回复 ====
- iRedMail 版本号:
- 使用哪个数据库存储用户帐号(OpenLDAP,MySQL,PostgreSQL):
- 使用的 Linux/BSD 发行版名称及版本号:
- 与您的问题相关的日志信息:
==== ==== 必填信息。没有填写将不予回复 ====
- iRedMail 版本号:iRedAdmin-Pro    v1.6.0 (MySQL)
- 使用哪个数据库存储用户帐号(OpenLDAP,MySQL,PostgreSQL):
- 使用的 Linux/BSD 发行版名称及版本号:CentOS 6.4 X64
- 与您的问题相关的日志信息:
====
恶意IP:27.46.112.206
持续时间:2013-06-15 10:18:44到2013-06-15 10:19:49
临时解决办法:黑名单封锁IP
造成危害:发送上百封垃圾邮件

具体日志 看附件,请张工给分析一下。

Post's attachments

maillog 174.13 kb, 4 downloads since 2013-06-15 

You don't have the permssions to download the attachments of this post.
  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

请自己先提取出相关的信息,再贴上来。你不能简单地把日志一丢完事吧

  • 注册日期: 2013-05-30
  • 文章数: 20

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

这个就是提取过的一分钟时间段的日志啊,只是名字我重命名成maillog了,正常的日志怎么可能只有几百K啊,我正常的都几百M,这是一分钟,从开始到结束的完整日志,我只贴一点,我怕不全。

ZhangHuangbin 写道:

请自己先提取出相关的信息,再贴上来。你不能简单地把日志一丢完事吧

  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

比较奇怪,没有 from 地址,没有 message-id。暂时还不知道它如何生成这样的邮件并进入你的服务器的。

*) 检查一下 policyd 的数据库里是否将这个 IP 列为白名单了。日志里显示 bypass,可能之前已经列为白名单。

*) 另外,你是否将这个 IP 在 Amavisd 里添加为内部网段了?日志里是这么显示的:

Jun 15 10:18:46 wumei amavis[18696]: (18696-13) Passed SPAM, LOCAL [27.46.112.206] [27.46.112.206] <> -> <bianwensi@dongao.com>, quarantine: IQc08s0jD7mK, mail_id: IQc08s0jD7mK, Hits: 9.502, size: 714, queued_as: 421C3801C7, 1639 ms

5 warriornew回复 最后由 warriornew (2013-06-16 18:46:23) 编辑

  • 注册日期: 2013-05-30
  • 文章数: 20

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

这是我的amavisd 配置
@mynetworks = qw( 127.0.0.0/8 10.0.0.0/8 211.151.33.96/27 192.168.0.0/16 );

@inet_acl= qw( 127.0.0.0/8 10.0.0.0/8 211.151.33.96/27 192.168.0.0/16 );

白名单我看了,没有,我是不可能允许这种Ip在白名单里面的
另外我在日志中还发现我所有amavis都是显示是local
Jun 16 03:38:13 wumei amavis[22128]: (22128-15) Blocked SPAM, LOCAL [111.176.69.238] [111.176.69.238] <pnkr@jylnzsyag.org> ->

LOCAL每一个amavis检查的这个地方都有这个local标志,这不知道,这是否是正常情况 。

ZhangHuangbin 写道:

比较奇怪,没有 from 地址,没有 message-id。暂时还不知道它如何生成这样的邮件并进入你的服务器的。

*) 检查一下 policyd 的数据库里是否将这个 IP 列为白名单了。日志里显示 bypass,可能之前已经列为白名单。

*) 另外,你是否将这个 IP 在 Amavisd 里添加为内部网段了?日志里是这么显示的:

Jun 15 10:18:46 wumei amavis[18696]: (18696-13) Passed SPAM, LOCAL [27.46.112.206] [27.46.112.206] <> -> <bianwensi@dongao.com>, quarantine: IQc08s0jD7mK, mail_id: IQc08s0jD7mK, Hits: 9.502, size: 714, queued_as: 421C3801C7, 1639 ms

  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

可能是发件人为空导致 Amavisd 将它识别为 LOCAL 了。需要再检查是否 iRedMail 的设置有疏漏,但还无法确定。抱歉。

  • 注册日期: 2013-05-30
  • 文章数: 20

回复: 帮我分析一下这个IP是怎么发送到我限定别名组的

这个问题在这已解决
http://www.iredmail.com/bbs/topic2516-i … edapd.html
结帖吧