У меня такое чувство, что мой сервер лениво DDoS, хотя я никогда не сталкивался с этим раньше, поэтому я могу ошибаться.

Каждую минуту мой журнал регистрирует следующие 3 записи:

Nov 05 21:10:47 <host> postfix/smtpd[11220]: connect from webmail.onvoy.com[199.199.18.10]
Nov 05 21:10:47 <host> postfix/smtpd[11220]: NOQUEUE: reject: RCPT from webmail.onvoy.com[199.199.18.10]: 454 4.7.1 <tg@<DOMAIN>>: Relay access denied; from=<> to=<tg@<DOMAIN>> proto=ESMTP helo=<webmail.onvoy.com>
Nov 05 21:10:47 <host> postfix/smtpd[11220]: disconnect from webmail.onvoy.com[199.199.18.10]

Где <host> и <DOMAIN> скрыты. <DOMAIN>, тем не менее, является доменом, зарегистрированным в моем NS, который разрешается в мой ящик.

Как мне избавиться от сообщений и связанных с ними соединений?

3 ответа3

2

Такие журналы являются неотъемлемой частью работы публичного почтового сервера.

Чтобы справиться с ними, вы можете либо просто проигнорировать их, либо использовать приложение типа fail2ban, чтобы добавить нарушающие IP-адреса в локальный брандмауэр почтового сервера , чтобы соединения даже не доходили до MTA.

Еще один вариант - настроить Postfix для проверки RBL, SPF и т.д. И использовать ограничения client/sender/helo/etc, чтобы ограничить количество разрешенных вами клиентов. На самом деле, "Relay access denied" должно происходить редко, если ваш сервер настроен правильно.

Приложение: рассматриваемый IP-адрес указан в черном списке SORBS.

2

Одно соединение в минуту совсем не похоже на DoS (тем более DDoS, если оно идет с одного сервера).

С другой стороны, это почти полностью похоже на законную попытку доставки почты - почтовый сервер на webmail.onvoy.com пытается доставить сообщение (которое может быть или не быть спамом) на адрес tg@<DOMAIN> .

Коды ошибок 4xx являются "временными отрицательными", поэтому отправляющему серверу разрешается повторная попытка через некоторое время - хотя обычные почтовые серверы обычно начинают использовать более длинные интервалы после сбоя и прекращают попытки через несколько дней. Так что просто подождите немного, и оно должно исчезнуть.

"Отказ в доступе к ретрансляции" означает, что вы не настроили Postfix для обработки почты для <DOMAIN> , поэтому он считает, что его просят переслать сообщение тому, кто является почтовым сервером домена. (Чтобы предотвратить спам, он никогда не пересылается по умолчанию.)

0

Мне кажется, что у вас установлен Postfix, но он не настроен как уполномоченный для вашего домена. Отправляющий сервер пытается отправить электронное письмо (возможно, спам) на адрес электронной почты в вашем домене. Postfix, не будучи авторитетным для домена, видит это как попытку ретранслировать через него и сбрасывает соединение.

Если вы хотите, чтобы Postfix был авторитетным для вашего домена, настройте его соответствующим образом. Затем пусть любая имеющаяся у него возможность фильтрации спама (DNSRBL и т.д.) Справляется с входящим спамом.

Если вы не хотите запускать почтовый сервер для своего домена на этом сервере, удалите Postfix и заблокируйте входящий трафик на порт 25 вашего брандмауэра / маршрутизатора.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .