我的服务器好象老是有人捣乱

f310

我的邮件服务器是Linux+qmail搭建的，运行基本正常，为了安全起见，我设置了SMTP认证，非本地用户应该是无法用这个服务器做转发的，我自己用的话，也必须把smtp认证的选项打开，否则无法发邮件。但最近我用qmail-qread看，常常发现有一些地址每分钟发上百封，以至于严重影响邮件服务器的正常工作，我只能需过手工，查出IP地址（一般在攻击时，用tcpdump很容易看出）通过iptables封，不仅麻烦，效率也很低。我想问几个问题：

1、这些借用我服务器转发邮件的，显然不是我的合法用户（我们是内部邮件，没有公开注册的），他们是通过什么手段绕开认证体系来发垃圾邮件的？还是我的设置哪儿出了问题？ 有什么办法可以查？
2、有没有什么好办法能防止这类攻击？如能否限制一个IP地址，一定时间内只能发多少信？诸如此类的方法有没有？

我水平不高，希望这儿的高手们多多指教，谢谢！


对了，忘了说，我没有装sendmail，应该不会有其它邮件代理，但奇怪的是，我关了qmail后，用tcpdump port 25看，有时我的服务器还会有smtp的应答，这又可能是怎么回事？（如下）

21:18:58.158843 202.108.3.171.61025 > 10.33.20.34.smtp: S 1915768295:1915768295(0) win 5840 <mss 1460,sackOK,timestamp 452987036 0,nop,wscale 0> (DF)
21:18:58.158889 10.33.20.34.smtp > 202.108.3.171.61025: R 0:0(0) ack 1915768296 win 0 (DF)

但如果退一步，是其它邮件程序在作怪，一开qmail后，大量的邮件还会出现在qmail队列中，我真是搞不明白了。

[ 本帖最后由 f310 于 2006-2-21 21:57 编辑 ]

llzqq

查看一下系统是否有sendmail进程

f310

查过的,sendmail进程!

loky67

我认为楼主最好还是使用一个MTA代理最好了。因为我看LWQ里有这样的话：“Note: If you're using an RPM-based Linux distribution like Red Hat, removing the MTA package might cause problems down the road. Utilities that update the system might try to reinstall Sendmail, or MUA packages might not install because they can't tell an MTA is installed.” Dave建议使用“fake_mta”，至于是否确实必要我也不清楚。但是就楼主的情况来说，我认为还是有一定的必要性的。