LINUX.ORG.RU
ФорумAdmin

Что за попытки отсылки?

 ,


0

1

Обнаружил в логах постфикса 

Oct  3 00:36:15 system postfix/smtp[9276]: connect to advertise-bz.cn[111.224.250.131]:25: Connection refused
Oct  3 00:36:15 system postfix/smtp[9276]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=8486, delays=8485/0.04/0.39/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
И не один такой инцидент. Ночью, когда в офисе никого нет. На китайский сайт. Чтобы это могло быть?



Последнее исправление: ZeroCup (всего исправлений: 1)

Это не весь лог. Как минимум посмотри всё, что относится к A440119D2C15

grep A440119D2C15 /var/log/maillog

Скорее всего это письмо - следствие криво настроенного postfix и ответ на пришедшее спам-письмо

router ★★★★★
()
Ответ на: комментарий от router

Вот весь: 

$ grep A440119D2C15 /var/log/maillog
Oct  2 22:14:49 system postfix/cleanup[903]: A440119D2C15: message-id=<20121002191449.A440119D2C15@mydomain.com>
Oct  2 22:14:49 system postfix/bounce[909]: 4132719D2280: sender non-delivery notification: A440119D2C15
Oct  2 22:14:49 system postfix/qmgr[6249]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  2 22:14:50 system postfix/smtp[910]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=0.56, delays=0.09/0.03/0.44/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  2 22:20:07 system postfix/qmgr[6249]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  2 22:20:07 system postfix/smtp[1689]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=318, delays=318/0.04/0.46/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  2 22:30:08 system postfix/qmgr[6249]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  2 22:30:08 system postfix/smtp[3389]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=919, delays=918/0.04/0.44/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  2 22:50:07 system postfix/qmgr[6249]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  2 22:50:07 system postfix/smtp[14512]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=2118, delays=2118/0.04/0.42/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  2 23:26:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  2 23:26:14 system postfix/smtp[21816]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=4285, delays=4285/0.04/0.39/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 00:36:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  3 00:36:15 system postfix/smtp[9276]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=8486, delays=8485/0.04/0.39/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 01:46:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  3 01:46:15 system postfix/smtp[6602]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=12685, delays=12685/0.05/0.39/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 02:56:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  3 02:56:14 system postfix/smtp[9559]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=16885, delays=16885/0.05/0.39/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 04:06:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  3 04:06:14 system postfix/smtp[13408]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=21085, delays=21085/0.05/0.41/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 05:16:14 system postfix/qmgr[20731]: A440119D2C15: from=<>, size=3543, nrcpt=1 (queue active)
Oct  3 05:16:15 system postfix/smtp[16666]: A440119D2C15: to=<admin@advertise-bz.cn>, relay=none, delay=25285, delays=25285/0.05/0.44/0, dsn=4.4.1, status=deferred (connect to advertise-bz.cn[111.224.250.131]:25: Connection refused)
Oct  3 05:16:15 system postfix/qmgr[20731]: A440119D2C15: from=<>, status=expired, returned to sender
Oct  3 05:16:15 system postfix/qmgr[20731]: A440119D2C15: removed

следствие криво настроенного postfix и ответ на пришедшее спам-письмо

в чем кривость то* Как узнать кто может отвечать? Тогда когда первый раз пытался сервер отослать письмо никого в офисе нет, значит входящих соединений нет из офиса и быть не может, никто не может послать письмо, тем более ночью, тем более в китай.

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

Тогда когда первый раз пытался сервер отослать письмо никого в офисе нет, значит входящих соединений нет из офиса и быть не может, никто не может послать письмо, тем более ночью, тем более в китай.

что такое bounce mail знаешь?

Твой сервер ПРИНЯЛ письмо, но не смог его доставить, поэтому решил послать отправителью bounce mail - сообщение о том, что письмо доставить не удалось.

Oct  2 22:14:49 system postfix/cleanup[903]: A440119D2C15: message-id=<20121002191449.A440119D2C15@mydomain.com>
Oct  2 22:14:49 system postfix/bounce[909]: 4132719D2280: sender non-delivery notification: A440119D2C15

теперь grep'ай по 4132719D2280 , именно это письмо не удалось доставить

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router

Спасибо, разобрался. Даже в жирным шрифтом выделено, чтобы даже я мог понять. Спасибо на самом деле.

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

На самом деле это был не наезд, а желание подчеркнуть основную мысль :)

Это один из распространённых методов рассылки спама - пропихнуть письмо на чужой сервер, указав некорректный адрес получателя, а в качестве отправителя - цель спам рассылки. В результате спам будет слать дальше твой сервер, в теле bounce mail.

Скорее всего ты сначала принимаешь письмо для твоего домена и только потом проверяешь, существует ли получатель. Для того чтобы этого избежать, твой сервер должен отвергать такие письма ещё на этапе SMTP сессии. Посмотри в сторону reject_unauth_destination, local_recipient_maps и virtual_alias_maps

router ★★★★★
()
Ответ на: комментарий от router

Я и не расценил как наезд. Очень ценю вашу помощь. Сейчас настроено так: 

smtpd_sender_restrictions = reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unverified_sender
Очень даже неплохо справляется.

Не могу настроить это (поэтому пока закоментировал): 

smtpd_helo_restrictions = permit_mynetworks
# reject_unknown_helo_hostname
# smtpd_client_restrictions = reject_unknown_client_hostname
Закоментил, т.к. отвергает всех внешних отправителей которые за пределами офиса пытаются отослать письмо конектясь на внешний IP. Хотелось бы чтобы сервер отвергал все NetBIOS имена и unknown адреса, кроме тех, которые явно прописаны в настройках. Не могу как это сделать. Не могу понять как настроить.

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

У меня настройки связанные с HELO выглядят так. Снаружи почта ходит.

smtpd_helo_required = yes
smtpd_helo_restrictions =
                permit_mynetworks,
                reject_invalid_hostname,
                reject_unknown_hostname,
                reject_non_fqdn_hostname

еще не помешает 

reject_unlisted_sender = yes
reject_unlisted_recipient = yes

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

У меня с такими параметрами 

Oct  4 18:59:32 system postfix/smtpd[3678]: NOQUEUE: reject: RCPT from unknown[119.95.51.112]: 450 4.7.1 <NetBIOSNAME>: Helo command rejected: Host not found; from=<user@mydomain.com.> to=<name@gmail.com> proto=ESMTP helo=<NetBIOSNAME>

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

Логично, имя в helo кривое - ни один нормальные сервер такое не пришлет, только спамеры/криво настроенные почтовики. Добавь в mynetworks те IP, которым разрешаешь такие «кривые» имена

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Вот я и спрашиваю в каком формате это делать: X.X.X.X или X.X.X.X/32?

ZeroCup
() автор топика
Ответ на: комментарий от Pinkbyte

Кроме того в комментах к mynetworks в самом main.cf говорится, что добавлять сюда можно только локальные сети. Кажется, чтобы добавить внешний IP нужно воспользоваться каким-то полем «smtpd_helo_restrictions =» с соответсвующие таблицей этих вот IP

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

Можно сделать дополнительную map-таблицу, но игра не стоит свеч. Нормальные почтовые сервера прекрасно присылают письма и без этого костыля, а кривые могут нарушать что-то еще, поэтому смысла особого не вижу

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Эту таблицу хочу сделать ради пользователей, которые пользуясь почтовыми клиентами пытаются послать почту извне пользуясь моим сервером.

ZeroCup
() автор топика
Ответ на: комментарий от ZeroCup

Я нормально шлю почту разными почтовыми клиентами снаружи с этого сервера, где приведенная мною выше конфигурация. И с оффтопика, и с линукса - проблем нет

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Рад за вас. Еще раз попробовал с вашими настройками отправить письмо снаружи пользуясь почтовым клиентом. Имею: 

Oct  5 16:32:13 system postfix/smtpd[22514]: NOQUEUE: reject: RCPT from unknown[119.95.51.112]: 450 4.7.1 <NETBIOSName>: Helo command rejected: Host not found; from=<me@mydomain.com> to=<me@gmail.com> proto=ESMTP helo=<NETBIOSName>
И что же делать, чтобы с внешних машин можно было нормально слать почту?

ZeroCup
() автор топика
Ответ на: комментарий от Pinkbyte

Не было возможности ответить - уезжал. Проблема была в том, что я не указал параметр 

smtpd_recipient_restrictions = permit_sasl_authenticated
Поэтому всех футболило извне.

Теперь все выглядит так: 

smtpd_helo_restrictions = permit_mynetworks                                                                                          
                                                                                                                                     
smtpd_sender_restrictions = reject_non_fqdn_sender,                                                                                  
  reject_unknown_sender_domain,                                                                            
  reject_unverified_sender  
smtpd_recipient_restrictions =                                                                                                       
# разрешить моим сетям все                                                                                                           
    permit_mynetworks,                                                                                                               
# разрешить все тем кто авторизовался                                                                                                
    permit_sasl_authenticated,                                                                                                       
# Запретить все неавторизованным клиентам                                                                                            
    reject_unauth_destination,                                                                                                       
# Запретить все хостам с неверным именем                                                                                             
    reject_invalid_hostname,                                                                                                         
# запретить все хостам без доменого имени                                                                                            
    reject_non_fqdn_hostname,                                                                                                        
# Запретить все клиентам без доменного имени                                                                                         
    reject_non_fqdn_sender,                                                                                                          
# Запретить получать почту без доменного имени                                                                                       
    reject_non_fqdn_recipient,                                                                                                       
# Запретить все клиентам с неизвестным доменным именем                                                                               
    reject_unknown_sender_domain,                                                                                                    
# Запретить получать почту с неизвестным доменом                                                                                     
    reject_unknown_recipient_domain,                                                                                                 
# Далее список сервисов RBL(DNSBL)                                                                                                   
     reject_rbl_client cbl.abuseat.org,                                                                                              
     reject_rbl_client bl.spamcop.net,                                                                                               
     reject_rbl_client dnsbl.sorbs.net,                                                                                              
     reject_rbl_client dnsbl.njabl.org

Может что добавить в какие-то секции? Например, какими DNSBL вы пользуетесь? Кстати, у меня postfix 2.5.1 на CentOS 5, поэтому, новые фичи postfix 2.8 недоступны.

ZeroCup
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin