/usr/libexec/postfix/master 是 Postfix 邮件服务器的主进程，qmgr 和 pickup 是 Postfix 的子进程。这些进程本身是正常的，但如果你怀疑服务器被用于钓鱼活动，需要进一步检查 Postfix 的配置和日志，确保它没有被滥用。

---

1. 检查 Postfix 配置

查看 Postfix 的主配置文件，确保其配置安全。

查看主配置文件

cat /etc/postfix/main.cf

检查以下关键配置：

• mynetworks：确保只允许可信的 IP 或网络范围。
• smtpd_relay_restrictions：确保限制了邮件的转发。
• smtpd_client_restrictions：确保限制了客户端的访问。

检查是否允许匿名发送邮件

确保以下配置不存在或设置为 no：

smtpd_sasl_auth_enable = no

---

2. 检查邮件队列

查看当前邮件队列，检查是否有大量可疑邮件。

查看邮件队列

postqueue -p

• 检查是否有大量未发送的邮件，尤其是发送到未知域名的邮件。

清空邮件队列

如果发现可疑邮件，清空队列：

postsuper -d ALL

---

3. 检查邮件日志

查看 Postfix 的日志，检查是否有异常活动。

查看邮件日志

cat /var/log/maillog

或使用 grep 过滤关键字：

grep -E 'warning|error|relay|phish|spoof' /var/log/maillog

• 检查是否有大量邮件发送到未知域名。
• 检查是否有邮件被标记为垃圾邮件或钓鱼邮件。

---

4. 检查发件人地址

钓鱼邮件通常会伪造发件人地址。检查 Postfix 是否允许伪造发件人。

检查 smtpd_sender_restrictions

确保以下配置存在：

smtpd_sender_restrictions = reject_unknown_sender_domain

---

5. 检查网络连接

检查 Postfix 是否与可疑的外部 IP 地址建立连接。

查看 Postfix 的网络连接

netstat -tunap | grep postfix

• 检查是否有连接到未知或可疑的 IP 地址。

阻止可疑 IP

如果发现可疑 IP，使用防火墙阻止：

iptables -A INPUT -s <可疑IP> -j DROP

---

6. 检查邮件内容

如果怀疑邮件内容涉及钓鱼活动，可以检查邮件内容。

查看邮件内容

邮件通常存储在 /var/spool/postfix 目录下。使用以下命令查看：

cat /var/spool/postfix/<邮件文件>

• 检查邮件内容是否包含钓鱼链接或恶意附件。

---

7. 停止 Postfix 服务

如果确认 Postfix 被滥用，立即停止服务。

停止 Postfix

systemctl stop postfix

禁用 Postfix

systemctl disable postfix

---

8. 修复和加固

更新 Postfix

确保 Postfix 是最新版本：

yum update postfix

配置 SPF、DKIM 和 DMARC

启用 SPF、DKIM 和 DMARC 记录，防止邮件伪造。

启用防火墙

确保防火墙仅允许必要的端口（如 25、465、587）。

---

9. 监控和审计

• 部署日志分析工具（如 ELK Stack）实时监控邮件日志。
• 定期进行安全审计，检查 Postfix 的配置和活动。

---

总结

1. 检查 Postfix 配置，确保其安全性。
2. 查看邮件队列和日志，查找异常活动。
3. 检查网络连接，阻止可疑 IP。
4. 停止或禁用 Postfix 服务（如果确认被滥用）。
5. 更新 Postfix 并启用 SPF、DKIM 和 DMARC。
6. 部署监控工具，定期审计。