A cada minuto de entrada, conexões rejeitadas ao SMTP

0

Eu tenho a sensação de que meu servidor está sendo preguiçoso por DDoS, embora eu nunca tenha experimentado isso antes, então posso estar errado.

A cada minuto, meu diário registra as três entradas a seguir:

Nov 05 21:10:47 <host> postfix/smtpd[11220]: connect from webmail.onvoy.com[199.199.18.10]
Nov 05 21:10:47 <host> postfix/smtpd[11220]: NOQUEUE: reject: RCPT from webmail.onvoy.com[199.199.18.10]: 454 4.7.1 <tg@<DOMAIN>>: Relay access denied; from=<> to=<tg@<DOMAIN>> proto=ESMTP helo=<webmail.onvoy.com>
Nov 05 21:10:47 <host> postfix/smtpd[11220]: disconnect from webmail.onvoy.com[199.199.18.10]

Onde <host> e <DOMAIN> estão ocultos. <DOMAIN> , no entanto, é um domínio registrado com meu NS que resolve para minha caixa.

Como posso me livrar das mensagens e das conexões relacionadas?

    
por joltmode 05.11.2013 / 22:23

3 respostas

2

Registros como este são parte integrante da execução de um servidor de correio público.

Para lidar com eles, você pode ignorá-los ou usar um aplicativo como fail2ban para para adicionar o (s) IP (s) ofensivo (s) ao firewall local do servidor de e-mail, para que as conexões não atinjam o MTA.

Uma outra opção é configurar o Postfix para verificar RBLs, SPFs, etc. e usar restrições de cliente / remetente / helo / etc para limitar os clientes permitidos. Na realidade, "Acesso de retransmissão negado" raramente deve acontecer se você tiver o servidor configurado corretamente.

Adendo: o IP em questão está listado na lista negra do SORBS .

    
por 05.11.2013 / 22:45
2

Uma conexão por minuto não soa como um DoS (muito menos um DDoS se for proveniente de um único servidor).

Por outro lado, é quase inteiramente como uma tentativa legítima de entrega de mensagens - o servidor de email em webmail.onvoy.com está tentando entregar uma mensagem (que pode ou não ser spam) ao endereço tg@<DOMAIN> .

Os códigos de erro

4xx são "transitórios negativos", portanto, o servidor de envio pode tentar novamente após alguns instantes - embora os servidores de email normalmente iniciem usando intervalos mais longos após uma falha e parem de tentar completamente após alguns dias. Então espere um pouco e isso deve desaparecer.

"O acesso de retransmissão negado" significa que você não configurou o Postfix para manipular o e-mail para <DOMAIN> , portanto, ele acha que está sendo solicitado a encaminhar a mensagem para quem é o e-mail do domínio servidor. (Para evitar spam, ele nunca é encaminhado por padrão).

    
por 05.11.2013 / 22:51
0

Parece-me que você instalou o Postfix, mas não está configurado para ser autoritativo para o seu domínio. O servidor de envio está tentando enviar um email (provavelmente spam) para um endereço de email em seu domínio. O postfix, não sendo autoritativo para o domínio, vê isso como uma tentativa de retransmiti-lo e descarta a conexão.

Se você quiser que o Postfix seja autoritativo para o seu domínio, configure-o como tal. Em seguida, permita que qualquer recurso de filtragem de spam (DNSRBL, etc.) lide com o spam recebido.

Se você não quiser executar um servidor de e-mail para seu domínio neste servidor, remova o Postfix e bloqueie o tráfego de entrada para a porta 25 em seu firewall / roteador.

    
por 08.11.2013 / 18:37