Каждую минуту входящие, отклоненные соединения с SMTP

у меня есть ощущение, что мой сервер лениво Ddos'Ed, хотя, я никогда не испытывал его раньше, так что, я могу ошибаться.

каждую минуту, мой журнал регистрирует следующие 3 элементы:

Nov 05 21:10:47 <host> postfix/smtpd[11220]: connect from webmail.onvoy.com[199.199.18.10]
Nov 05 21:10:47 <host> postfix/smtpd[11220]: NOQUEUE: reject: RCPT from webmail.onvoy.com[199.199.18.10]: 454 4.7.1 <tg@<DOMAIN>>: Relay access denied; from=<> to=<tg@<DOMAIN>> proto=ESMTP helo=<webmail.onvoy.com>
Nov 05 21:10:47 <host> postfix/smtpd[11220]: disconnect from webmail.onvoy.com[199.199.18.10]

здесь <host> и <DOMAIN> скрыты. <DOMAIN>, хотя, это домен, зарегистрированный в моем NS, который разрешается в мой ящик.

Как избавиться от сообщений и связанных с ними соединений?

14
задан joltmode
23.04.2023 8:03 Количество просмотров материала 2668
Распечатать страницу

3 ответа

журналы, как это неотъемлемая часть предоставления mail-сервер.

чтобы иметь дело с ними, вы можете либо просто игнорировать их, или использовать приложение, как fail2ban to, чтобы добавить IP-адрес(Ы) нарушителя в локальный брандмауэр почтового сервера, поэтому соединения даже не достигают MTA.

еще один вариант, чтобы настроить Postfix для проверки RBLs, SPFs и т.д., и использовать клиент/отправитель/helo / и т.д. ограничения, чтобы ограничить клиентов вы позволяете. В реальности " ретрансляция доступа denied " редко случается, если ваш сервер настроен правильно.

добавление: IP в вопросе перечислен в SORBS черный список.

2
отвечен Craig Watson 2023-04-24 15:51

одно соединение в минуту не звучит вообще как DoS (гораздо меньше DDoS, если он исходит от одного сервера).

С другой стороны, это почти полностью похоже на законную попытку доставки почты – почтовый сервер в webmail.onvoy.com пытается доставить сообщение (которое может быть или не быть спамом) на адрес tg@<DOMAIN>.

4xx коды ошибок являются "переходными отрицательными", поэтому отправляющему серверу разрешено повторить попытку через некоторое время, хотя обычные почтовые серверы как правило, начинают использовать более длинные интервалы после сбоя и полностью прекращают попытки через несколько дней. Так что просто подождите некоторое время, и он должен исчезнуть.

"Relay access denied" просто означает, что вы не настроили Postfix для обработки почты для <DOMAIN>, поэтому он думает, что его просят переслать сообщение к тому, кто is почтовый сервер домена. (Чтобы предотвратить спам, он никогда не пересылает по умолчанию.)

2
отвечен grawity 2023-04-24 18:08

Это выглядит для меня, как у вас есть Postfix установлен, но не настроен, чтобы быть авторитетным для вашего домена. Отправляющий сервер пытается отправить письмо (возможно в спам) по адресам электронной почты в вашем домене. Postfix, не будучи авторитетным для домена, видит это как попытку ретрансляции через него и отбрасывает соединение.

Если вы хотите, чтобы Postfix был авторитетным для вашего домена, настройте его как таковой. Тогда пусть все спам-фильтрацию он (DNSRBL, и т. д.) бороться с входящим спамом.

Если вы не хотите запускать почтовый сервер для вашего домена на этом сервере, удалите Postfix и заблокируйте входящий трафик на порт 25 вашего брандмауэра/маршрутизатора.

0
отвечен joeqwerty 2023-04-24 20:25

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх