未知域“pl.d.发件人-sib.com”和"gmail.com“位于/var/vmail/ on ubuntu服务器上，运行postfix/dovecot/spamassassin/amavis

Question

我正在Ubuntu服务器20.04上运行带有spamassasin和amavis的后缀/dovecot。我还使用此服务器作为LEMP Wordpress服务器。根据位于Linuxbabe.com的https://www.linuxbabe.com/mail-server/setup-basic-postfix-mail-sever-ubuntu教程，我已经配置了所有的东西(电子邮件)

最近，在从终端导航我的目录时，注意到了/var/vmail/目录，它包含我所有正确的电子邮件域，即example.com example2.comexample3.com和example4.com。

然而，在那里，我发现了一个奇怪的地方，我想知道是否有人以某种方式侵入或侵入了我的电子邮件系统(极不可能)。该目录中有一个名为"pl.d.sender-sib.com“的域(以文件夹名的形式)，还有一个名为"gmail.com”的文件夹。

ls -la /var/vmail/
drwxr-xr-x  9 vmail vmail 4096 Dec 29 09:03 .
drwxr-xr-x 16 root  root  4096 Dec  9 12:39 ..
drwx------  4 vmail vmail 4096 Jun 16  2021 mydomain1.com
drwx------  9 vmail vmail 4096 Sep 26 11:51 mydomain2.com
drwx------  3 vmail vmail 4096 Sep  9 17:17 gmail.com
drwx------  6 vmail vmail 4096 Dec 30 16:48 mydomain3.com
drwx------  7 vmail vmail 4096 Jan 21 18:41 mydomain4.com
drwx------  3 vmail vmail 4096 Dec 29 09:03 pl.d.sender-sib.com
drwx------  2 vmail vmail 4096 Feb  2 16:52 spamassassin

在gmail.com目录中是：/var/vmail/gmail.com/myemailaddressWithout"@gmail.com"/spamassassin/bayes_toks

和

/var/vmail/gmail.com/myemailaddressWithout"@gmail.com"/spamassassin/bayes_seen

在pl.d.发送方-sib.com目录中是：

/var/vmail/pl.d.sender-sib.com/unsubscribe-t/spamassassin/bayes_seen

和

/var/vmail/pl.d.sender-sib.com/unsubscribe-t/spamassassin/bayes_toks

这可能是攻击者干的，我被黑了吗？或者这些目录是由我安装的垃圾邮件、wordpress电子邮件或安全程序创建的？我怎样才能知道这些目录是从哪里来的，删除这些目录是否安全？请尽快通知我！我不想在受威胁的服务器上工作，即使我确信我的服务器是相对安全的。1：https://www.linuxbabe.com/mail-server/setup-basic-postfix-mail-sever-ubuntu

Answer 1

文件bayes_toks，bayes_seen是由SpamAssassin为您系统上的每个电子邮件用户创建的。出于某种原因，您的系统还会通过SpamAssassin传递一些发送给外部域的消息，如gmail.com或pl.d.shent-sib.com。您需要检查邮件日志和邮件系统配置，以检查发生这种情况的原因。

Answer 2

我知道我迟到了一年，但当我写这篇文章时，我正在测试sendinblue事务性电子邮件API服务，并且域发件人-sib.com出现在电子邮件标题中。下面是我的标题片段

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@xxxxxxxxx header.s=mail header.b=RfTsdBxT;
       spf=pass (google.com: domain of bounces-207962554-admin=xxxxxxxxx@gx.d.sender-sib.com designates 77.32.148.24 as permitted sender) smtp.mailfrom="bounces-207962554-admin=mydomain@gx.d.sender-sib.com"
Return-Path: <bounces-207962554-admin=xxxxxxxxxxxxx@gx.d.sender-sib.com>
Received: from gx.d.sender-sib.com (gx.d.sender-sib.com. [77.32.148.24])
        by mx.google.com with ESMTPS id f5-20020a7bcc05000000b003f047856994si1756081wmh.199.2023.04.19.11.04.03
        for <xxxxxxxxxx@gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Wed, 19 Apr 2023 11:04:03 -0700 (PDT)
Received-SPF: pass (google.com: domain of bounces-207962554-admin=xxxxxxxxx@gx.d.sender-sib.com designates 77.32.148.24 as permitted sender) client-ip=77.32.148.24;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@xxxxxxxxx header.s=mail header.b=RfTsdBxT;
       spf=pass (google.com: domain of bounces-207962554-admin=xxxxxxxxx@gx.d.sender-sib.com designates 77.32.148.24 as permitted sender) smtp.mailfrom="bounces-207962554-admin=xxxxxxxxx@gx.d.sender-sib.com"

基于此，我认为发送者-sib.com是sendinblue的属性，因此您可以轻松地查看该域。