EHLO vazio de toda a web, é um bot? [fechadas]

3

Estou recebendo isso há algumas semanas:

Transcript of session follows.

 Out: 220 www.example.com ESMTP
 In:  EHLO
 Out: 501 Syntax: EHLO hostname
 In:  HELO
 Out: 501 Syntax: HELO hostname
 In:  QUIT
 Out: 221 2.0.0 Bye


For other details, see the local mail logfile

Essas conexões vêm de toda a internet, de 2.0.0.0/8 a 221.0.0.0/8

Minha pergunta não é como pará-lo (-j DROP --dport 25) ou como parar de receber as mensagens (remover o protocolo no postfix main.cf)

Minha pergunta é simples: por quê? é um bot mal configurado? Eu pesquisei e vi mensagens relacionadas a isso desde 2006. Eu recebo 30 desses por dia ou mais. Estou muito curiosa sobre isso. Alguém tem mais informações sobre isso? quando começou? o que está acontecendo?

Isso é tudo, obrigado.

    
por Mario 09.11.2012 / 01:03

1 resposta

3

Muitos bots não acertam o nome do host. Eu suspeito que é o que você está vendo. Olhando para o meu banco de dados de correio, vejo apenas um registro como este. No entanto, muitos bots acionam atrasos de resposta e desistem antes de chegarem ao passo EHLO / HELO.

Não conheço os recursos do Postfix, mas atrasei a resposta da conexão por vários segundos se as entradas de DNS do servidor não forem boas. Um servidor de e-mail adequado aguardará e se conectará. A maioria dos Bots não espera, provavelmente porque eles querem entregar as mensagens o mais rápido possível, não da maneira mais confiável possível.

Tente fazer uma pesquisa de host nos endereços que estão falhando. Servidores de e-mail válidos retornarão um ponteiro para um FQDN (nome de domínio totalmente qualificado). Esse FQDN quase sempre retornará o endereço IP com o qual você iniciou. Se não, você provavelmente tem um bot tentando se conectar. Como o nome está em branco, isso é mais provável.

    
por 09.11.2012 / 02:40

Tags