最近 email server 常被攻擊,然後就會成為 mail relay 的跳板。Google了一些資料,並對我們的 email 主機作了一些設定上的變更,希望它只能 relay 我們 domain 的信件。當然,我們希望能有足夠的時間依照服務廠商的建議,來調整 email server 架構,將送信跟收信兩個功能拆成兩部伺服器來處理。
第一步:修改Postfix設定檔(/opt/zimbra/postfix/conf/main.cf)
修改前~
mydestination = localhost
無relay_domains
修改後~
mydestination = $myhostname, $mydomain
relay_domains = $mydomain
第二步:使用 telnet 的方式來模擬 email 的寄送
(1)建立連線,若失敗再敲一次,我們家的主機會這樣,學藝不精不知道為什麼
ehlo DomainName
(2)輸入寄件者
mail from:<user1@DomainName>
(3)輸入收件者
rcpt to:<user2@DomainName>
(4)輸入信件內容,並最後一行輸入"."表示結束
data
測試信件
.
(5)結束連線
quit
(6)檢查log,取出最後15行
tail -n 15 /var/log/maillog
第三步:安裝流量監控工具(iftop)
鑑於以上的攻擊事件,想要透過流量的分析,了解到到底壞人(IP)在那裡。若仍不行檔下來這些攻擊,那只好將這些IP設入防火前牆的黑名單內。服務廠商推薦iftop,所以就裝上它來試看看。
以下就相關的安裝過程~
(1)檢查CentOS版本
cat /etc/redhat-release
(2)因為yum指令找不到套件
yum search iftop
(3)所以只好用rpm的版本來安裝iftop
wget http://pkgs.repoforge.org/iftop/iftop-0.17-1.el5.rf.i386.rpm
rpm -ivh iftop-0.17-1.el5.rf.i386.rpm
這是我會使用的功能~
【B】顯示40秒的平均值
【3】以40秒的平均值來排序
【T】顯示總流量
【t】切換上傳下載顯示模式
【p】是否顯示來源端與目的端的port
相關操作我是參考這篇blog~
iftop流量監控使用教學,立刻抓出吃流量兇手
參考資料
[1] 鳥哥的 Linux 私房菜 - 第二十二章、郵件伺服器: Postfix
[2] iftop: display bandwidth usage on an interface
[3] How to setup an E-Mail Relay Host with Sendmail ?
[4] Send a test mail using Telnet
[5] Authenticated SMTP
沒有留言:
張貼留言