作者 主題: 請問有人有遇過這種 smtp server 的攻擊嗎?  (閱讀 18006 次)

0 會員 與 1 訪客 正在閱讀本文。

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
還請各位學長、博士稍微關注一下本篇的問題。
小弟用了一些關鍵字 google 了一些資料,
還沒發現有人有敘述類似我這個問題的文章。

小弟是 *.gentoo.tw 的管理者,
目前 *.gentoo.tw 的伺服器只有一台,
我的問題是:
只要我一把這台伺服器的 postfix 一起動,
來自全世界的各大小有 name 沒 name 的機器都來訪問我的 25 port,
netstat -a 就像這樣:
引用
tcp        0      0 10.0.2.2:smtp           mc32.lon.server.C:56305 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           www.sieg-sec.co.j:46034 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           www.2advanced.com:60135 ESTABLISHED
tcp        0      0 10.0.2.2:smtp           relay.golden-tech:47270 ESTABLISHED
tcp        0      0 10.0.2.2:smtp           external.zhzlaw.c:57411 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           34-210-144-213.al:13719 ESTABLISHED
tcp        0      0 10.0.2.2:smtp           170.33.21.72.stat:48040 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           host217-35-135-141:3984 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           mail-ew0-f225.goo:34034 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           wjmarketplace.com:37074 ESTABLISHED
tcp        0      0 10.0.2.2:smtp           server88-208-244-:35378 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           smx01c.rakuten.co:51321 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           relay2.env.go.jp:20337  ESTABLISHED
tcp        0      0 10.0.2.2:smtp           74.7.45.94:37892        TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           ns2.jtekt.co.jp:52495   TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           mrel.rdrift.no:1697     ESTABLISHED
tcp        0      0 10.0.2.2:smtp           mx02.safesecurewe:48516 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           ns2.jtekt.co.jp:52495   TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           mrel.rdrift.no:1697     TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           mail.opticon.com:35612  ESTABLISHED
tcp        0      0 10.0.2.2:smtp           exchange.colsonse:35029 TIME_WAIT 
tcp        0      0 10.0.2.2:smtp           mail-ew0-f225.goo:54614 TIME_WAIT 
/var/log/messages 就像這樣:
引用
Jun  4 11:43:56 localhost postfix/smtpd[8573]: connect from unknown[208.84.28.24]
Jun  4 11:43:56 localhost postfix/smtpd[8578]: connect from mrel.rdrift.no[62.97.236.55]
Jun  4 11:43:56 localhost postfix/smtpd[8573]: NOQUEUE: reject: RCPT from unknown[208.84.28.24]: 550 5.1.1 <jes-cisenega@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<> to=<jes-cisenega@gentoo.tw> proto=ESMTP helo=<mail.wjmarketplace.com>
Jun  4 11:43:57 localhost postfix/smtpd[8573]: disconnect from unknown[208.84.28.24]
Jun  4 11:43:57 localhost postfix/smtpd[8578]: NOQUEUE: reject: RCPT from mrel.rdrift.no[62.97.236.55]: 550 5.1.1 <ciltreaz_1999@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<> to=<ciltreaz_1999@gentoo.tw> proto=ESMTP helo=<mrel.reaktorits.no>
Jun  4 11:43:58 localhost postfix/smtpd[8578]: disconnect from mrel.rdrift.no[62.97.236.55]
Jun  4 11:44:02 localhost postfix/smtpd[8563]: connect from ltg.lviv.ua[194.44.136.162]
Jun  4 11:44:03 localhost postfix/smtpd[8563]: NOQUEUE: reject: RCPT from ltg.lviv.ua[194.44.136.162]: 550 5.1.1 <ciliarly_1980@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<> to=<ciliarly_1980@gentoo.tw> proto=ESMTP helo=<gate.ltg.lviv.ua>
Jun  4 11:44:04 localhost postfix/smtpd[8573]: connect from cdnet.cod.edu[192.203.136.11]
Jun  4 11:44:05 localhost postfix/smtpd[8573]: NOQUEUE: reject: RCPT from cdnet.cod.edu[192.203.136.11]: 550 5.1.1 <Dat-cinoipro@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<> to=<Dat-cinoipro@gentoo.tw> proto=ESMTP helo=<cdnet.cod.edu>
Jun  4 11:44:05 localhost postfix/smtpd[8589]: connect from news.cesmail.net[216.154.195.61]
Jun  4 11:44:05 localhost postfix/smtpd[8573]: disconnect from cdnet.cod.edu[192.203.136.11]
Jun  4 11:44:06 localhost postfix/smtpd[8589]: NOQUEUE: reject: RCPT from news.cesmail.net[216.154.195.61]: 550 5.1.1 <chushou_1962@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<> to=<chushou_1962@gentoo.tw> proto=SMTP helo=<news.spamcop.net>
Jun  4 11:44:06 localhost postfix/smtpd[8589]: disconnect from news.cesmail.net[216.154.195.61]
Jun  4 11:44:06 localhost postfix/smtpd[8573]: connect from mg1.saison.co.jp[202.17.133.109]
Jun  4 11:44:07 localhost postfix/smtpd[8573]: NOQUEUE: reject: RCPT from mg1.saison.co.jp[202.17.133.109]: 550 5.1.1 <Eirik-cimagelo@gentoo.tw>: Recipient address rejected: User unknown in local recipient table; from=<mailer-daemon@sis.saison.co.jp> to=<Eirik-cimagelo@gentoo.tw> proto=ESMTP helo=<mg1.saison.co.jp>
管理者信箱就有一大堆一大堆像這樣的小信件:
引用
From double-bounce@gentoo.tw  Mon Jun  1 19:04:46 2009
Return-Path: <double-bounce@gentoo.tw>
X-Original-To: postmaster
Delivered-To: postmaster@gentoo.tw
Received: by gentoo.tw (Postfix)
    id 862389EA9A; Mon,  1 Jun 2009 19:04:46 +0800 (CST)
Date: Mon,  1 Jun 2009 19:04:46 +0800 (CST)
From: MAILER-DAEMON@gentoo.tw (Mail Delivery System)
To: postmaster@gentoo.tw (Postmaster)
Subject: Postfix SMTP server: errors from exchange.lawtonasia.co.th[119.46.23.50]
Message-Id: <20090601110446.862389EA9A@gentoo.tw>
Status: R

Transcript of session follows.

Out: 220 gentoo.tw ESMTP Postfix
In:  EHLO exchange.lawtonasia.co.th
Out: 250-gentoo.tw
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-VRFY
Out: 250-ETRN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In:  MAIL FROM:<> SIZE=5350
Out: 452 4.3.1 Insufficient system storage
In:  QUIT
Out: 221 2.0.0 Bye
google 出來的都是 mail 系統不正常收發信的問題,
都不是遭受攻擊的問題,
這樣的攻擊還不到撐不住停機的地步,
但小弟沒有規劃的十分完善,
/var/log 和 / 是同一塊分割,
所以有幾個小時就 "啵" 了一聲,
/ 就全滿了,
因此來請教各位,
小弟的這種小站都遇到這種攻擊,
請問像 "酷"大站和 "鳥"大站是否也曾遇過這類的攻擊,
該如何解決比較適當,
TyroneYeh 大學長最近也常來敝站,
也請多多指教 :)

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
引用
TyroneYeh 大學長最近也常來敝站
:-[ :-[ 被抓到了 @_@" 我是最菜的小弟,只是我比較常到這裡而已啦~~

是被 RELAY 了嗎? 可能要加強一下設定了,postfix 的設定還是要查查看,小的是用 Exim 做 MTA!!
會不會是 gentoo.tw 這個名子太好了,容易被收集到啦!!

有 maillog 記錄嗎? 看 message 看不太出來是什麼!
加個 logrotate 套件來自動壓縮 log 檔吧!!
« 上次編輯: 2009-06-04 12:31 由 TyroneYeh »
--
TyroneYeh

yousee

  • 訪客
廣告信攻擊!
廣告信攻擊!
廣告信攻擊!
LOG 紀錄太多 空間滿了, 定時清理吧!
查無此人退回寄件者, 找不到寄件者 又退回! 太多來回信,  空間滿了, 定時清理吧!

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
是被 RELAY 了嗎? 可能要加強一下設定了,postfix 的設定還是要查查看,小的是用 Exim 做 MTA!!
會不會是 gentoo.tw 這個名子太好了,容易被收集到啦!!

有 maillog 記錄嗎? 看 message 看不太出來是什麼!
加個 logrotate 套件來自動壓縮 log 檔吧!!
都是別人對著我的 25 port,
幾乎沒有我去對著人家的 25 port,
不算 relay 吧?

gentoo postfix 的預設 log 就在 messages 裡我沒更動,
logrotate 當然是基本的啊!
因為我聽了某篇舊笨文件把 postfix 加了 -v (verbose 囉嗦模式),
從 凌晨 3點到下午 19點 8G 的 messages 就 "啵" 了,
連 rotate 都來不及:
引用
# ls -l messages
-rw------- 1 root root 8429400064 Jun  1 19:05 messages
# head messages
Jun  1 03:03:29 localhost postfix/smtpd[16900]: rewrite stream disconnect
# tail messages
Jun  1 19:05:05 localhost postfix/smtpd[1600]: match_hostname: unknown ~? 127.0.0.0/8
所以我現在就不敢再開囉嗦模式了。

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
廣告信攻擊!
LOG 紀錄太多 空間滿了, 定時清理吧!
查無此人退回寄件者, 找不到寄件者 又退回! 太多來回信,  空間滿了, 定時清理吧!
看來我可能要準備個幾百G 給 /var/log 來用了 :~(

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
廣告信攻擊!
LOG 紀錄太多 空間滿了, 定時清理吧!
查無此人退回寄件者, 找不到寄件者 又退回! 太多來回信,  空間滿了, 定時清理吧!
看來我可能要準備個幾百G 給 /var/log 來用了 :~(
不曉得gentoo 有沒有類似功能,讓log 超過一定大小之後自動打包壓縮,並且限制只保留幾個檔案,超過殺掉......


logrotate 歡樂使用就解決了,應該不用幾百G.....
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
不曉得gentoo 有沒有類似功能,讓log 超過一定大小之後自動打包壓縮,並且限制只保留幾個檔案,超過殺掉......

logrotate 歡樂使用就解決了,應該不用幾百G.....
感謝提示,小弟翻翻文件看看有沒有這個特異功能,
不過一堆的 smtp 連線會被 ISP 關注的  :-\ :-\

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
先把rbl弄起來,再把沒有反解的連線都擋掉吧,可以的話,連動態ip的也擋掉

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
先把rbl弄起來,再把沒有反解的連線都擋掉吧,可以的話,連動態ip的也擋掉
這。。。有點超出小弟的能力範圍了,
damon 學長的意思好像是說在 tcp/ip 這層把它做掉,
搭配 iptables ? 還有什麼呢?
有沒有實際的指引文件呢?

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
找一下postfix rbl anti spam這幾個關鍵字,這邊就有很多教學了,改一下設定檔,就可以過濾掉很多不必要的連線了

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
感謝提示,小弟翻翻文件看看有沒有這個特異功能,

有哦, 我的只留一星期四個循環,設定如下

/etc/logrotate.conf
代碼: [選擇]
# rotate log files weekly
weekly
#daily

# keep 4 weeks worth of backlogs
rotate 4

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
dateext

# uncomment this if you want your log files compressed
compress
« 上次編輯: 2009-06-04 15:43 由 TyroneYeh »
--
TyroneYeh

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
不曉得gentoo 有沒有類似功能,讓log 超過一定大小之後自動打包壓縮,並且限制只保留幾個檔案,超過殺掉......
Gentoo 跟 Fedora、Debian、CentOS 都差不了太多!! Kernel 也是用 kernel.org 上的
只是差在安裝管理方面!
Gentoo 是用 Portage 類似 FreeBSD 的 Ports 的安裝管理程式!!
但不同的是它 Download Source 回來在自己的機器上 Compile 不是 Linux 商 Compile 好的程式!!
安裝軟體也都是全自動的! 下個指令就能把一個服務裝好(也會自動下載相關的套件 Source 回來 Compile)

像想要安裝 php 下 emerge php!! 就會自動下載自動 Compile 到好!!

雖然 apt-get 跟 yum 也是很方便,但都是在 Linux 商的 Server 上 Compile 好的程式!!

自已 Server Compile 的程式比較有彈性,要支援不支援什麼都自己都能控制!!

只是 Compile 的時間會比較久一點!! 對相容性跟效能來說小的覺得會比較好!
« 上次編輯: 2009-06-04 16:16 由 TyroneYeh »
--
TyroneYeh

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
下面是 Roma的技術備忘錄 postfix相關的設定 可以參考一下哦!!
http://tw.myblog.yahoo.com/roma-memo/article?mid=1&l=f&fid=6

上頭寫到
引用
有鑑於 study-area 詢問數篇有關 eMail 問題?
但答案往往石沉大海!經過反覆測試才發表心得?提供
給新手一個參考

好像有點同感,「答案往往石沉大海」!!
« 上次編輯: 2009-06-04 16:46 由 TyroneYeh »
--
TyroneYeh

pj.wann

  • 可愛的小學生
  • *
  • 文章數: 9
  • 性別: 男
  • 心中有佛
    • 檢視個人資料
看到你列出的訊息, 就馬上聯想到...

你知道有一種攻擊手法是: 寄進來的信件, 寄件者是偽裝的, 但卻有其 email, 而當沒有此收件者時, 就會發生退信要求, 進而間接造成對方誤將你的 ip 當成攻擊者進行封鎖! (你變成退信攻擊者...)

或許你可以在信件進來時, 先行判斷是否有該收件者, 若無則直接 drop 掉它會是比較好的方法!!
---------------------------------
msn message: boytools@hotmail.com
email: boytools@gmail.com

-- 專心, 用心, 細心, 恆心, 耐心 --
-- 不斷的學習是成功之道. --

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
找一下postfix rbl anti spam這幾個關鍵字,這邊就有很多教學了,改一下設定檔,就可以過濾掉很多不必要的連線了
下面是 Roma的技術備忘錄 postfix相關的設定 可以參考一下哦!!
http://tw.myblog.yahoo.com/roma-memo/article?mid=1&l=f&fid=6
上頭寫到
引用
有鑑於 study-area 詢問數篇有關 eMail 問題?
但答案往往石沉大海!經過反覆測試才發表心得?提供
給新手一個參考
好像有點同感,「答案往往石沉大海」!!
感謝指引,小弟會好好地研究看看。

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
不曉得gentoo 有沒有類似功能,讓log 超過一定大小之後自動打包壓縮,並且限制只保留幾個檔案,超過殺掉......
Gentoo 跟 Fedora、Debian、CentOS 都差不了太多....
感謝提示,小弟翻翻文件看看有沒有這個特異功能,
有哦, 我的只留一星期四個循環,設定如下
...
"限制只保留幾個檔案,超過殺掉......" 的確每一種 distro 都有,
gentoo 的預設以上都有,
小弟所指的特異功能是 "超過一定大小之後自動打包壓縮",
剛剛 man 了 logrotate 才知道有認 log 大小的功能,
感謝學長提醒,又多學一種。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
小弟所指的特異功能是 "超過一定大小之後自動打包壓縮"
哦哦!! 一天之內真有辦法成長這麼快哦!! 那 Server 也要很有力才行耶!!
--
TyroneYeh

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
最近公司和另一個好朋友都被廣告信困擾作了一些測試,在 postfix relay_domains 的問題的11樓有把測試方式寫出來,也有高手幫忙解決了一個問題如第1點,但昨天再詳細研究LOG之後,還有一種方式還在研究,因為昨天才發現還未post上版面,應該和你的情形相同如第2點,不知是否有有高手有作這方面的測試,會作這個測試原因是好朋友管理的一個客戶主機被警告為spam主機,信被很多主機當spam退掉
1. 這是如果帳號存的測試,所以信不會被退
  Return-Path: <realaccount@mycompany.com.tw>
  X-Original-To: realaccount@mycompany.com.tw
  Delivered-To: realaccount@mycompany.com.tw
  Received: from ANNA (unknown [81.27.247.228])
  by ms1.mycompany.com.tw (Postfix) with SMTP id 43F8BEBF75
  for <realaccount@mycompany.com.tw>; Sat, 30 May 2009 10:25:33 +0800 (CST)
2. 測試以MyHome.idv.tw假造MyFriend.idv.tw寄給我公司的主機MyCompany.com.tw不存在的帳戶,結果這封信被MyHome.idv.tw直接drop掉了(猜測是sender的relay沒設好),沒測試成功,測試用Outlook Express,帳戶用RealAccount@MyFriend.idv.tw (RealAccount是實際存在於MyFriend.idv.tw的帳戶),回覆地址:tonyvan12345@msn.com,內送用:MyHome.idv.tw,外寄用:MyHome.idv.tw,帳戶名稱用:RelayTest(RelayTest實際存在於MyHome.idv.tw的帳戶)
« 上次編輯: 2009-06-05 09:16 由 tonyvan123 »

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
最近在 Exim 上設定 zen.spamhaus.org 這個 SBL 這個好像很完整,
很多 dynamic ip 都列在其中! 用 dynamic ip telnet 25 port 了一下,馬上就被踢掉
訊息是 550 Host is listed in zen.spamhaus.org.

應該可以少幾行 log 了吧!! 另外可以把 postfix 的 log 拆出來嗎? 不要跟 message 一起會不會比較好些
--
TyroneYeh

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
最近在 Exim 上設定 zen.spamhaus.org 這個 SBL 這個好像很完整,
....
*.spamhaus.org 這個似乎停擺了啊,
我是參考這篇:
http://phorum.study-area.org/index.php?topic=48355.0
用了這兩個 SBL,加上以下的設定進 main.cf
引用
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client dnsbl.sorbs.net defer

smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_restrictions = reject_unknown_helo_hostname
的確 smtp 的連線量大減,
感謝各位學長的幫助與提示。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
*.spamhaus.org 這個似乎停擺了啊,

沒有呀! 我的 exim_main.log 還是有看到它是正常服務的哦!!
代碼: [選擇]
2009-06-08 10:12:56 H=200-103-202-100.cppxv201.dial.brasiltelecom.net.br [200.103.202.100] rejected connection in "connect" ACL: Host is listed in zen.spamhaus.org.
只是它有限制量一天不能超過 100,000 個連線,查詢次數一天也只能 300,000 次
如果是公司使用,要收費的,可以用這個網址去查收費標準 http://www.spamhaus.org/datafeed/pricecalculator.lasso
100 Users 一個人要 USD 2.5 一年, 200 Users 要 1.25 一年!!

它 zen 有一個中文字叫「襌」不知道是什麼意思,是不是轉給華人用的??
--
TyroneYeh

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
怪了,我這邊完全找不到它的位址:
引用
# ping zen.spamhaus.org
ping: unknown host zen.spamhaus.org

# nslookup zen.spamhaus.org 168.95.1.1
Server:         168.95.1.1
Address:        168.95.1.1#53

*** Can't find zen.spamhaus.org: No answer

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
它 ping 不到!!
但加到設定中就是有用的哦!!
nslookup
set type=any
> zen.spamhaus.org
Server:  dns.hinet.net
Address:  168.95.1.1

Non-authoritative answer:
zen.spamhaus.org
        primary name server = need.to.know.only
        responsible mail addr = hostmaster.spamhaus.org
        serial  = 2009060811
        refresh = 3600 (1 hour)
        retry   = 600 (10 mins)
        expire  = 432000 (5 days)
        default TTL = 150 (2 mins 30 secs)

zen.spamhaus.org        nameserver = l.ns.spamhaus.org
zen.spamhaus.org        nameserver = y.ns.spamhaus.org
zen.spamhaus.org        nameserver = 0.ns.spamhaus.org
zen.spamhaus.org        nameserver = 1.ns.spamhaus.org
zen.spamhaus.org        nameserver = q.ns.spamhaus.org
zen.spamhaus.org        nameserver = m.ns.spamhaus.org
zen.spamhaus.org        nameserver = b.ns.spamhaus.org
zen.spamhaus.org        nameserver = g.ns.spamhaus.org
zen.spamhaus.org        nameserver = r.ns.spamhaus.org
zen.spamhaus.org        nameserver = s.ns.spamhaus.org
zen.spamhaus.org        nameserver = 5.ns.spamhaus.org
zen.spamhaus.org        nameserver = x.ns.spamhaus.org
zen.spamhaus.org        nameserver = i.ns.spamhaus.org
zen.spamhaus.org        nameserver = t.ns.spamhaus.org
zen.spamhaus.org        nameserver = d.ns.spamhaus.org
l.ns.spamhaus.org       internet address = 200.44.32.77
l.ns.spamhaus.org       internet address = 200.44.32.78
l.ns.spamhaus.org       AAAA IPv6 address = 2001:7b8:3:1f:0:2:53:2
y.ns.spamhaus.org       internet address = 65.182.198.204
y.ns.spamhaus.org       internet address = 208.38.65.193
y.ns.spamhaus.org       AAAA IPv6 address = 2001:7b8:3:1f:0:2:53:1
0.ns.spamhaus.org       AAAA IPv6 address = 2001:7b8:3:1f:0:2:53:2
0.ns.spamhaus.org       internet address = 204.16.254.40
« 上次編輯: 2009-06-08 10:50 由 TyroneYeh »
--
TyroneYeh

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
rbl 本來就查不到 ip 吧. 它的設計本來就是有被列入的才會查到 127.x.x.x 的 ip.

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
嗯,怪,我本來也沒去 ping 或 nslookup,
但我 7日時設定它上去就得到下面這個 log,
我才去研究它的正解到底對不對:
引用
Jun  7 01:40:07 localhost postfix/smtpd[28437]: warning: 12.176.19.217.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=12.176.19.217.zen.spamhaus.org type=A: Host not found, try again
用 TyroneYeh 兄的方式 nslookup 真的有列出來,
我再把它加進去看看吧!
« 上次編輯: 2009-06-08 11:31 由 paar »

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
postfix 是這樣設的嗎?
smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org

多個
代碼: [選擇]
smtpd_client_restrictions = reject_rbl_client cbl.abuseat.org,
                                     reject_rbl_client bl.spamcop.net,
                                     reject_rbl_client sbl.spamhaus.org,
                                     reject_rbl_client xbl.spamhaus.org,
                                     reject_rbl_client zen.spamhaus.org
--
TyroneYeh

paar

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
在回覆文 #19 小弟有登:
引用
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client dnsbl.sorbs.net defer

smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_restrictions = reject_unknown_helo_hostname
log 中仍然:
引用
Jun  8 13:57:10 localhost postfix/smtpd[17377]: warning: 40.16.20.133.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=40.16.20.133.zen.spamhaus.org type=A: Host not found, try again
也有正確 work 的 log:
引用
Jun  8 14:12:30 localhost postfix/smtpd[17377]: NOQUEUE: reject: RCPT from unknown[122.163.2.73]: 450 4.7.1 <abts-north-dynamic-018.203.162.122.airtelbroadband.in>: Helo command rejected: Host not found; from=<Yihua-eknizgew@oukado.org> to=<benny@gentoo.tw> proto=ESMTP helo=<abts-north-dynamic-018.203.162.122.airtelbroadband.in>
可能是版本差別,小弟的是 mail-mta/postfix-2.5.5,
所以在 smtpd_recipient_restrictions 的最後要加 defer 或 reject 等格式,
在較舊的文件中都沒看到。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
小的覺得是不是放在 smtpd_client_restrictions 段或
smtpd_helo_restrictions reject_rhsbl_helo 段會不會比較好
已經到 smtpd_recipient_restrictions 段才簽查,就太浪費時間了吧

等它還沒跟 server say HELLO 時就踢掉不是更好! 還等它說要寄給誰才檢查!! 太慢了吧!
在 EXIM 小的是放到 acl_smtp_connect 段!! 來連的先看過 RBL,有 Listed 就叫它滾!!
--
TyroneYeh

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
小的覺得是不是放在 smtpd_client_restrictions 段或
smtpd_helo_restrictions reject_rhsbl_helo 段會不會比較好
已經到 smtpd_recipient_restrictions 段才簽查,就太浪費時間了吧

我倒是認為要看需求.....

我舉例,比方有一個 rule 是希望寄給某個 id 信件都 bypass 檢查,那就需要這樣做。

另外 mynetworks 內 ip 應該不需要跑去 check 就是,所以這時候都可以使用這類架構
« 上次編輯: 2009-06-08 15:00 由 kenduest »
I am kenduest - 小州

my website: http://kenduest.sayya.org/

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
paar 先進的訊息,小的查了一下,這個好像是說 master.cf 中的 chroot = y 會用自己的 resolv.conf, 如果不是就要換一下 DNS SERVER 囉!
試看看
mkdir /var/spool/postfix/etc
cp /etc/resolv.conf /var/spool/postfix/etc/resolv.conf

這樣後重起 postfix 後是否就正常了,postfix 好像有自己的 resolv.conf 的設定

另外您說的「所以在 smtpd_recipient_restrictions 的最後要加 defer 或 reject 等格式」
這個設定好像不是在 main.cf 新增的,在 master.cf 就有了,所以應該是不用在 main.cf 再增加一次
« 上次編輯: 2009-06-08 15:19 由 TyroneYeh »
--
TyroneYeh