Toplu E-Posta Çıkışını Loglardan Bulmak

Postfix Toplu E-posta Çıkış Kaynağını Bulma

Bizler ne kadar sunucuda güvenlik tedbirleri alsakta, mutlaka hepimizin başına abuse bildirim gelmektedir.

Genellikle müşterilerinizin bilgisayarlarına virus bulaşıp e-posta adresinin şifresi kaptırmış olmalarından kaynaklanır.

Her ne kadar abuse bildirimler toplu eposta çıkışımdan kaynaklı olmasada gönderilen içerik sahtekarlık ve aldatıcı e-posta olmasından dolayı acil müdehale edip gereğini yaparak abuse bildirimini sonlandırmanız gerekmektedir. Aksi taktirde sunucudaki IP adresine 24 saat sonunda Blok koyulur.

Postfix maillog kayıtları içinde size rapor edilen e-posta adresini aratınız.
bir dünya sonuç listenecektir. bizim için önemli olan ilk bulduğumuz satırdır.

cat /var/log/maillog [email protected]

Not : sikayet gelmemiş fakat kuyrukta çok fazla e-posta varsa hızlıca

cat /var/log/maillog | grep “sasl_method=LOGIN” 

komutu ile login olan kişileri gözden geçirerek bulmaya çalışırsınız. Örneğin bölge dışı aynı IP yada farklı IP den artarda bağlantı olunması gibi aşağıdaki örnekte görüldüğü şekli ile

Oct 18 12:15:20 server postfix/smtpd[21015]: C7CE7C5037FC5: client=unknown[13.72.68.51], sasl_method=LOGIN, sasl_username=eposta@alaadı.com

Oct 18 12:15:23 server postfix/smtpd[21015]: DC391C5037FC7: client=unknown[13.72.68.51], sasl_method=LOGIN, sasl_username=eposta@alaadı.com

Bize abuse ile postaadresi bildirildiğini düşünerek devam edelim.

Örnek :
Jun 3 02:44:21 server postfix/cleanup[12151]: 946E1C048889F: message-id=[email protected]

gibi bir satır bulacaksınız bu satırın bir satır öncesi yada bir kaç satır öncesini dikkatli inceleyiniz.

946E1C048889F id olan client ve sasl_method değerlerini inceleyin. Aşağıdaki gibi satır bulacaksınız.

Jun 3 02:44:20 server postfix/smtpd[1144]: 946E1C048889F: client=localhost.localdomain[127.0.0.1], sasl_method=LOGIN, sasl_username[email protected]

sisteme legal olarak oturum açtığı [email protected] kullanarak, illagel bir gönderimde bulunduğunu yüzlerce e-postayı kuyruğa girdiğinden anlamış olmalısınız.

yine hemen devamında kuyruğa e-posta soktuğu ve peşinden disconnect olduğunu göreceksiniz.

Jun 3 02:44:21 server postfix/qmgr[23595]: 946E1C048889F: from=[email protected], size=1104752, nrcpt=500 (queue active)
Jun 3 02:44:21 server postfix/smtpd[1144]: disconnect from localhost.localdomain[127.0.0.1]

cat /var/log/maillog |grep [email protected]

komutu ilede incelemeye devam edersiniz.

yine

cat /var/log/dovecot-info.log |grep [email protected] ile bağlantı saatine dikkate alarak ip adresini tespit edebilirsiniz.

ardından sistem [email protected] hesabını suspend etmek yada şifresini değiştirmek. Ancak müşterinize şifresini hemen vermeyin, bilgisayarını virus taramasından geçirmesini talep edin. yoksa aynı şey tekrar tekrar devam edecektir. ardından tespit ettiğimiz ip adresini güvenlik duvarından engelleyin.

Raspberry SSH ile SMTP E-posta Gönderme

Raspberry üzerinden SMTP ile e-posta göndermek istiyorsanız iki paketi yüklemelisiniz. Bunlar SSMTP ve MailUtils

sudo apt-get install ssmtp
sudo apt-get install mailutils

sudo nano /etc/ssmtp/ssmtp.conf
root=postmaster
mailhub=smtp.gmail.com:587
hostname=raspberrypi
[email protected]
AuthPass=GmailSifreniz
FromLineOverride=YES
UseSTARTTLS=YES

echo “Merhaba E-Posta” | mail -s “Test Başlığı” mail @ 360tr. com

Not : Gmail ayarlarından düşük güvenlik aktif edilmelidir.

Cpanel Servisleri Resetleme

cPanel tercih eden Sunucu sahibi müşterilerimiz için SSH tan servisleri resetleme komutları aşağıda yer almaktadır.

Apache yeniden başlatma : /scripts/restartsrv httpd

cPanel yeniden başlatma : /etc/rc.d/init.d/cpanel restart

MySQL Servisini yeniden başlatma : /scripts/restartsrv mysql

DNS(BIND) Resetleme : /scripts/restartsrv named

Exim(mail) Resetleme : /scripts/restartsrv exim

FTP Resetleme : service xinetd restart