وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • بررسی مشکلات اسپم در سرور ها

    بهاره قلندرنژاد چهارشنبه ۱۳ دی ۱۳۹۶ آموزش , امنیت

    اسپم به معنای پیام الکترونیکی است که بدون درخواست گیرنده و برای افراد بی‌شمار فرستاده می‌شود. در این مقاله به بررسی مشکلات ارسال اسپم در سرور، نحوه بررسی ارسال اسپم و چگونگی رفع مشکلات آن می پردازیم. اینکه چگونه اکانتی که در سرور ارسال اسپم می کند را تشخیص دهیم، پس از تشخیص چه اقداماتی را جهت رفع مشکل برای اکانت مربوطه و سرور اعمال کنیم .

    یکی از مهم ترین مشکلاتی که ارسال اسپم برای سرور بوجود می آورد، لیست شدن IP میل سرور توسط برخی Black List ها (از اصلی ترین این سایت ها می توان به sorbs.net، spamhaus.org، UBL و … اشاره نمود) می باشد که در این مقاله به نحوه بررسی و رفع این مشکل نیز پرداخته ایم.

     

    علائم وجود مشکل اسپم برروی سرور:

    • سرور کندتر شده و منابع بیشتری مصرف می‌نماید.
    • ایمیل‌های ارسالی از سرور به مقصد نمی‌رسند.
    • پیغام‌هایی در کنترل پنل مبنی بر ارسال تعداد زیاد ایمیل توسط یکی از کاربر ها دریافت می‌گردد.
    • آی‌پی سرور در بلک لیست ها ( blacklist ) ثبت می شود.
    • حجم بسیار بالایی از فضای سرور با ایمیل های برگشتی اشغال می گردد.
    • صف انتظار طولانی برای ایمیل های ارسالی

     

    اسپمر ها ( spammer ) از چه روش‌هایی بیشتر استفاده می‌کنند؟

    • SMTP Spam
    • سایت‌های هک شده
    • اسکریپت‌های perl که برروی سرور بارگزاری می‌نمایند.

     

    بررسی ارسال اسپم سرور

     

    چگونه وب سایت های آلوده و ارسال کننده هرزنامه ها و اسپم را در سرور شناسایی کنیم؟

     

    با دستور exim –bpc تعداد ایمیل های صف را می توانید مشاهده کنید. صف های بیشتر از ۲۰۰ احتمالا با مشکل ارسال اسپم مواجه هستند.

    با اجرای دستور exim –bp  می توانید لیست پیام های موجود در صف را نمایش می دهد.

    دستور فوق نگاه نزدیکی به ایمیل های موجود در صف ارسال از جمله فرستنده و گیرنده شناسه یا همون ID ایمیل و مدت زمان انتظار در صف یا به عبارتی سن ایمیل دارد.

    از این جزئیات مهمترینشون ID یا همون شناسه ایمیل هست که میتوانیم توسط آن اطلاعات کاملی راجع به ایمیل مورد نظر بدست بیاریم و در موردش بحث میکنیم.

    نتیجه اجرای دستور بالا مواردی شبیه زیر برای شما نمایش خواهد داد:

     

     

    مقابل برخی شما *** frozen *** را مشاهده میکنید که اینها ایمیل های نامعتبر هستند که به گیرنده های غیرمعتبر ارسال شده اند و یا syntax  مشکل داشته و به صف اضافه میشوند .

    ایمیل های صف بصورت خودکار و دوره ای حذف می شوند و بودن در صف مشکلی ایجاد نمی کند اما با دستور زیر می توانید ایمیل های موجود در صف را حذف کنید.

     

    با استفاده از ID ایمیل ما میتونیم header و body و log ایمیل رو مشاهده کنیم .

    برای مشاهده header دستور زیر را استفاده میکنیم :

    نکته مهم : در هدر ایمیل شما می‌توانید مسیر اسکریپت ارسال کننده ایمیل را مشاهده کنید و آن را بررسی و حذف کنید!!!
    کد:

     

    بجای ID شما ID ایمیل را قرار دهید مانند زیر :

     

    برای مشاهده body یا متن ایمیل دستور زیر را استفاده میکنیم :

     

     

    برای مشاهده لاگ ایمیل هم دستور زیر را استفاده کنید :

     

     

    در متن مقابل x-php-originating-script  اسم فایلی که ایمیل ارسال میکرده مانند class-phpmailer.php ذکر شده و اگر شل کد باشد یک اسم عجیب ذکر شده است.

    از قسمت Mail Queue Administration در کنترل پنل نیز می توانید ، بصورت مجزا این قسمت ها را مشاهده کنید.

     

    تشخیص اکانت هایی که بیشترین اسپم را داشته اند:

     

    تنها کافی است وارد SSH شوید و دستور زیر را وارد نمایید.

    کنترل پنل دایرکت ادمین:

     

    کنترل پنل Cpanel:

     

    پس از اجرای دستور فوق نتیجه ای مانند زیر خواهید داشت.

     

     

    چند خط آخر نتیجه دستور، دایرکتوری هایی می باشند که بیشتری ارسال ایمیل را داشته اند، (به عبارتی اسکریپت و فایل اسپمر در این مسیر قرار دارد که شما باید این دایرکتوری را پاک نمایید و یا فایل های آنرا مورد بررسی قرار دهید) و عدد کنار نتایج تعداد ایمیل ارسال شده و رنگ قرمز مشخص شده در تصویر نام کاربری که بیشتری ارسال ایمیل را داشته است.

     

    اقدامات پس از تشخیص ارسال اسپم سرور(خارج کردن ip سرور از بلک لیست ها)

    آدرس ip سرور را از طریق سایت های زیر بررسی نمائید که در بلک لیست ها ذکر نشده باشد.

    https://mxtoolbox.com/blacklists.aspx

    http://www.anti-abuse.org/

    به آدرس سایت mxtoolbox.com مراجعه نموده و از منو های موجود لیست blacklist را انتخاب می نمائیم.

     

    سپس وضعیت آی پی مورد نظر را جستجو می نمائیم.

    آدرس آی پی مورد نظر در ۹۲ دیتابیس اسپم مورد بررسی قرار گرفته و در پایان لیست دیتابیس هایی که آدرس آی پی در آنها قرار گرفته را مشخص می کند.

    از طریق گزینه Detail اطلاعاتی در مورد مشکل مربوط به آدرس آی پی و طریقه برطرف نمودن آن به شما نمایش داده می شود.

     در قسمت Detailes آدرس لینکی که بتوانید درخواست خارج نمودن ip از لیست  را دهید ذکر شده است، همچنین جهت پیدا کردن لینک می توانید  اسم سایت delist ip  (مثال barracuda delist ip) را در گوگل جستجو کنید.

     

    سپس لازم است اطلاعات درخواست و فرم را جهت خارج شدن ip تکمیل نمائید. در توضیحات هر سایت مدت زمان خارج شدن از لیست ذکر شده است.

    بعنوان مثال در barracuda فرمی مانند تصویر زیر را نیاز است تکمیل کنید.

     

     

     

    delist ip محبوب ترین سرویس دهنده های ایمیل:

    Hotmail

    https://sender.office.com/

    Gmail

    https://support.google.com/mail/contact/msgdelivery

     yahoo

    http://help.yahoo.com/l/us/yahoo/mail/postmaster/bulkv2.html

     

    تغییر ip  ارسال ایمیل سرور

    درصورتیکه Ip سرور در yahoo یا Hotmail و یا gmail  اسپم شده باشد، ممکن است مدت زمان خارج شدن ip طولانی باشد و یا در صورتیکه چندین بار ip در آن ها بلاک شده باشد، روند خارج شدن ip از لیست زمانبر خواهد بود. بنابراین جهت رفع مشکل با استفاده از Ip مازاد برای سرور می توان آدرس ip ارسال ایمیل را تغییر داد که این نحوه تغییر در کنترل پنل های مختلف متفاوت و بصورت زیر می باشد.

    تغییر ip  ارسال ایمیل در دایرکت ادمین

    تغییر ip  ارسال ایمیل در cpanel

    تغییر ip ارسال ایمیل در plesk

     

    بررسی ارسال اسپم  اکانت

    در صورتیکه از یک اکانت اسپم ارسال می شود، جهت بررسی و رفع مشکل مراحل زیر را دنبال کنید:

    • وارد مسیر cd    /home/user/.php شوید.
    • در این مسیر فایل هایی بصورت php-mail.log وجود دارد، با دستور du –sh * حجم فایل ها را مشاهده کنید، اخیر ترین فایل ها با حجم بیشتر را باز کنید ، بر اساس لاگ موجود مسیر فایلی که اسپم ارسال می کرده است قابل تشخیص است.  آن فایل را حذف یا تغییر نام دهید.
    • حجم پوشه new موجود داکانت ایمیل را بررسی کنید، برخی از پیام ها را باز نموده و متن و subject ، ارسال کننده و دریافت کننده را بررسی نمائید.

    جهت بررسی و اقعی بودن ایمیل می توانید از لینک زیر استفاده کنید:

    http://www.checktls.com/perl/TestReceiver.pl

    • اگر حجم فایل های php-mail.log صفر بود، راه دیگری که برای تشخیص ارسال اسپم وجود دارد بررسی لاگ های سایت با دستور  زیر است

     

     

    اقدامات لازم برای اکانتی که ارسال اسپم داشته است.

     

    محدودیت ارسال ایمیل را به ۲۰ تغییردهید.

    بررسی آلوده بودن فایل ها با cxs :

    با دستور زیر فایل های سایت را اسکن کنید. البته نیاز است cxs در سرور نصب شده باشد.

    براساس نتیجه خروجی لاگ  قابل تشخیص خواهد بود که بعنوان مثال وردپرس یا پلاگینی نیاز به آپدیت دارد.

    فایلهای قرنطینه شده را  در مسیر  زیر می توانید مشاهده کنید:

    نام اکانت را جایگزین username نمائید.

    نتیجه اجرا دستور بالا مواردی شبیه زیر برای شما نمایش داده خواهد شد :

    در مثال بالا index.html اسم فایل و ۱۵۱۳۲۳۸۰۱۱_۱ نیز id می باشد.

    اگر این فایل ها را باز کنید، در خطا اول احتمالا یک shell code نوشته شده که قابل مشاهده خواهد بود.

    اگر فایل هایی که پسوند restore دارند را نیز باز کنید، مسیر اصلی فایل در آن ذکر شده است.

    در صورتیکه نیاز به بازگردانی فایل قرنطینه ای وجود داشت از دستور زیر استفاده کنید:

     

    اقدامات لازم پس از اسکن:

     

    پس از scan نیاز است فایل های آلوده پاکسازی یا جایگزین شوند، می توان فایل های وردپرس صحیح  را جایگزین فایل های قبلی کند و یا درصورتیکه مدیریت وردپرس دردسترس باشد، با لاگین به مدیریت وردپرس و بروز رسانی وردپرس فایل ها بصورت خودکار اصلاح می شوند.

    بعد از اقدامات انجام شده مجدد برای اطمینان با cxs  سایت را مجدد اسکن کنید.

    برخی مواقع رخ می دهد که cxs هیچ فایل آلوده ای را نشان نمی دهد و در مقابل x-php-originating-script   نیز هیچ فایلی ذکر نشده است  و یا x-php-originating-script   وجود ندارد. در این صورت با احتمال بالا ارسال اسپم از طریق سایت انجام می شود، یک فرم نظر دهی یا ثبت نام که کد captcha  ندارد  و لازم است کد کپچا به فرم اضافه گردد، باعث بروز مشکل می شود.

     

    دریافت اسپم

    این مشکل اغلب در مواقعی که با اکانت ایمیل در سایت ها ی خاصی ثبت نام شده باشد رخ می دهد.

    اقداماتی که در سرور برای جلوگیری از دریافت اسپم انجام شده است  بصورت زیر است :

    در فایل option.conf مقادیر زیر درج شده است.

    در صورت تنظیم نبودن DKIM وSpf در دامنه، تنظیمات مرتبط انجام  شود.

    اما بصورت کلی اقدامی جهت رفع صد در صد مشکل دریافت اسپم مقدور نمی باشد. لینک جلوگیری از دریافت ایمیل اسپم  را در این زمینه مطالعه کنید.

     

    جلوگیری از ارسال اسپم

    اولین اقدام تنظیم DKIM وSpf  می باشد.

    این موضوع برای ip های جدید تا warm-up شوند نیز وجود دارد، برای کسب اطلاعات بیشتر مقاله warm-up را مطالعه کنید.

     

    در پایان

    در صورتی که نیاز به مشاوره بیشتر در زمینه ارسال و بررسی اسپم داشتید با بخش پشتیبانی ایران سرور تماس حاصل نمایید.

    ۰۵۱۳۱۷۷۶-۹۰۲

    همچنین جهت خرید cxs برای بررسی سایت های آلوده می توانید با بخش فروش ایران سرور تماس حاصل کنید.

    ۰۵۱۳۱۷۷۶-۹۰۱

     

     

    0

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

یک پاسخ به “بررسی مشکلات اسپم در سرور ها”

  1. فرشید گفت:

    سلام
    مقاله بسیار کاملی بود.
    خیلی ممنون

    0

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *