Спам или нормальная работа сервера

Это ты только на 25-й порт трафик смотришь...
Добро пожаловать в дивный мир ботов и сканеров.

Сними знаком не понаслышке. Был у меня случай связанный с mikrotkik :)

Хотелось бы почитать комментарии опытных владельцев почтовых северов. На сколько критичны такие соединения, и как скоро белый ip может попасть в бан и т.д.

Как с этим бороться и можно ли. Спасибо!

Где-то месяц назад стал по geoip резать доступ. Сильно уж достали долбёжки «из-за рубежа». Но у меня linux vps.

Логи почтового сервера бы почитать. Перебор портов одно, а вот обнаружить что сервер поимели как либо уже сильно другое

«Соединения раз в минуту» были бы если бы были исходящие SYN-пакеты (и второй порт, который не 25, у каждого соединения был бы свой). А у тебя - пакеты уже установленных всего трёх соединений, адреса которых ты перечислил. Думаю, спустя 10 минут соединения будут другие (другое количество, другие адреса итд), спустя ещё 10 минут - опять другие.

Если тебя интересуют конкретно эти три перечисленных - ищи эти айпи-адреса в логах почтового сервера - кто с них подключался и что делал.

В целом, то что к твоему открытому стандартному порту кто-то регулярно подключается и пытается присылать всякую чушь - обычное дело, в интернете горы ботов, которые 24х7 сканируют интернет в поисках узлов, которые можно потом использовать в вредоносных целях. В случае конкретно с 25 портом тут две цели поиска:

1. Найти открытые ретрансляторы почты - тебе шлют письмо, адресованное третьему лицу, твой сервер его пересылает дальше по указанному злоумышленником адресу. Делается спамерами с целью обойти айпи-баны, которые на них накладывают, и прочего обмана антиспам-систем (банить в итоге будут твой сервер т.к. спам пойдёт от него). Чтобы такого не случилось, нужно правильно настроить сервер.

2. Найти уязвимые почтовики, которые так или иначе можно взломать, в самом плохом случае - запустить на твоём сервере свой троян. Чтобы снизить вероятность такого исхода - следи за сообщениями о новых версиях почтового сервера и за сообщениями о его уязвимостях, вовремя обновляй или принимай другие меры, нужные для нейтрализации очередной найденной уязвимости. Но гарантии это не даёт, так как уязвимости публикуются и исправляются всегда позже (иногда сильно позже), чем их кто-то нашёл.

Где-то месяц назад стал по geoip резать доступ.

Спамеры давно научились обходить, каким то образом берут у хостеров ip-адреса, которых нет в геобазах или недавно сменили локацию.

Тем не менее вместо постоянного спама переборов попыток авторизации в логах теперь осталось может с условный десяток в день, которых прибивает fail2ban по большей части. Хотябы логи читать можно теперь без явной фильтрации.

Да, geoip база устаревает в течении дня, обновлять её надо «часто»