Sendmail log: IP did not issue...

[Rhinox]

Vsiml sem si, ze na mem mail-servreru (sendmail) mam opravdu mnoho podobnejch logu:

<time> <myhost> sendmail[2240]: r7C3KnkG002240: [some_IP] (may be forged) did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Nekdy jich vidim jen nekolik stovek behem par vterin, nekdy taky statisice za par minut. Wo co tady jako kraci? Kdyz nekdo skousi pouzit myho mail-servru jako relay, v logu vidim neco jinyho (rejected=550 571 <IP>... Relaying denied). Tohle ovsem vypada na otevrene spojeni (jenom po HELO/EHLO), a pak uz nic. Naco by nekdo neco takoveho delal? Napadaji mne jen dva duvody:

1. nekdo se pokousi o "dos" vuci memu servru tim ze otevira dalsi a smtp-dalsi relaci, doufajice ze narazi na nakej limit.
2. nebo adresa prichoziho spojeni je spoofnuta, a muj server se pak podili na drdos (odpovida na IP od ktery vubec zadne HELO neprislo).

Nebo to jde vysvetlit nejak jinak? No nic, ja jdu nastavit "ratecontrol/conncontrol" (sem mel udelat uz davno, ja vim). Kdyby nekdo dovedl vysvetlit wo co tady go, rad si to prectu...

[Reklama]

[Dalimil Gala]

Ahoj,

kromě těch důvodů cos napsal, se takhle typicky chová check_smtp plugin nagiosu (což ale nebude Tvůj problém). Rate control v access souboru si určitě nastav, nezapomeň na GreetPause (já používám 6000, tedy 6 sekund). Díval jsem se na svůj mail server, který obsluhuje něco přes 500 domén a tuto hlášku (když odečtu své nagiosy) tam mám 150 krát za posledních 19 hodin.

[Rhinox]

Dik, to GreetPause sem neznal, zajimavej tweak. Aktivoval som ratecontrol/conncontrol a taky sem bloknul ~50 IP ktere se byly v logu nejcasteji. Zatim je klid...

Uz sem byl kvuli tomu pekne nas*anej, vzdyt za predeslej den sem mel v logu pres milion takovych hlasek. Porad se tam meni mail-identifikator, proto to syslog nerozeznal jako stejnej log (to by napsal neco jako "last message repeated X times"), a kazdej jeden radek sel do log-souboru, kterej pekne narustal...