分类: 网络与安全
2009-12-18 15:20:59
公司的邮件突然不能收发,总以为是菜鸟操作的个体现象,结果查看日志后(message maillog slockd),才发现三天前已经出现了异常。
由于还有其他工作,查找原因耽搁了一下,中途又有了意外,路由器的dns设置也不恰当,解析时通时断,现在想来应该是所设dns是电信和网通的,属于被劫持的。
应对:
1、查看到十多万的邮件队列,为赶时间,使用了all的清空命令,包括active,incoming,deferred。重启服务后还是不行,邮件队列又异常增多。
2、查看slocker,大多被拦截,停掉RBL(黑名单),开始可以,不久队列messages暴增,又一次阻塞。
3、查阅google,确定为dns劫持的邮件攻击,攻击方劫持运营商dns后伪造各种域名如qq,hotmail,21cn等域名对攻击目标瞬间发送大量的邮件,造成攻击目标阻塞,如果对方设有广告拦截规则,这些正常域名的邮件已被列入黑名单,之后均被拦截,收邮件自然就出现问题。
4、打开RBL,果然正常的邮件也不能接收了,。。。
5、静下心来,只能熬夜搞了,从原理着手,反解析是应对dns劫持的方法,但多数知名ISP的是对应多个IP,误杀难免,但又不能停掉RBL,呵呵。
6、试一招,服务器dns用local,内建cache dns,设路由器的dns为未被劫持的dns(国外的一般没问题)。再加常用的邮件地址列入senderlist,凌晨4点多完工。
7、目前测试正常,等待。。。
