forum.opennet.ru - "DDOS на SMTP" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DDOS на SMTP"

Форум Открытые системы на сервере (Почта / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DDOS на SMTP"	+/–
Сообщение от Michael L Shackleford on 13-Авг-10, 13:34
Доброго всем времени суток. С недавних пор один из моих SMTP буквально завален подобного рода delivery-request'ами: --- Aug 13 13:26:48 mail postfix/smtpd[6747]: NOQUEUE: reject: RCPT from mprhexcl02.pravosudje.hr[194.152.195.58]: 450 4.1.1 <milica.hohlova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "milica.hohlova@mydomain.ru"; from=<> to=<milica.hohlova@mydomain.ru> proto=ESMTP helo=<mail.pravosudje.hr> Aug 13 13:26:48 mail postfix/smtpd[6991]: NOQUEUE: reject: RCPT from unknown[217.23.159.120]: 421 4.7.1 Client host rejected: cannot find your hostname, [217.23.159.120]; from=<> to=<marta.lazareva@mydomain.ru> proto=ESMTP helo=<www.master-k.ru> Aug 13 13:26:48 mail postfix/smtpd[6991]: disconnect from unknown[217.23.159.120] Aug 13 13:26:48 mail postfix/smtpd[29361]: NOQUEUE: reject: RCPT from magystral.100mb.net[194.135.20.215]: 450 4.1.1 <jelvira.volkova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "jelvira.volkova@mydomain.ru"; from=<> to=<jelvira.volkova@mydomain.ru> proto=SMTP helo=<mail.magystral.ru> Aug 13 13:26:48 mail postfix/smtpd[20486]: NOQUEUE: reject: RCPT from susu.ru[85.143.41.52]: 450 4.1.1 <ljubomira.orlova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "ljubomira.orlova@mydomain.ru"; from=<> to=<ljubomira.orlova@mydomain.ru> proto=SMTP helo=<susu.ru> Aug 13 13:26:48 mail postfix/smtpd[7633]: NOQUEUE: reject: RCPT from imap.aflex.ru[95.171.1.33]: 450 4.1.1 <vassa.kononova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "vassa.kononova@mydomain.ru"; from=<> to=<vassa.kononova@mydomain.ru> proto=ESMTP helo=<imap.aflex.ru> Aug 13 13:26:48 mail postfix/smtpd[7633]: NOQUEUE: reject: RCPT from imap.aflex.ru[95.171.1.33]: 450 4.1.1 <rufina.ignatova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "rufina.ignatova@mydomain.ru"; from=<> to=<rufina.ignatova@mydomain.ru> proto=ESMTP helo=<imap.aflex.ru> Aug 13 13:26:49 mail postfix/smtpd[7633]: NOQUEUE: reject: RCPT from imap.aflex.ru[95.171.1.33]: 450 4.1.1 <alevtina.kuzmina@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "alevtina.kuzmina@mydomain.ru"; from=<> to=<alevtina.kuzmina@mydomain.ru> proto=ESMTP helo=<imap.aflex.ru> Aug 13 13:26:49 mail postfix/smtpd[7679]: NOQUEUE: reject: RCPT from cl1.moinet.ru[89.248.111.66]: 450 4.1.1 <iskra.egorova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "iskra.egorova@mydomain.ru"; from=<> to=<iskra.egorova@mydomain.ru> proto=ESMTP helo=<kameya.flyorg.ru> Aug 13 13:26:50 mail postfix/smtpd[29361]: NOQUEUE: reject: RCPT from mail.nvtech.ru[62.133.174.224]: 450 4.1.1 <felicija.kononova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "felicija.kononova@mydomain.ru"; from=<> to=<felicija.kononova@mydomain.ru> proto=ESMTP helo=<mail.nvtech.ru> --- Как я понимаю, сервер пытаются DDOSить. В связи с эти возникает несколько вопросов: 1) Почему postfix на запрос доставки на несуществующий адрес отвечает 450, а не 550 Aug 13 13:28:39 mail postfix/smtpd[20385]: warning: Illegal address syntax from unknown[192.168.0.27] in RCPT command: unnad.das@mydomain.ru Aug 13 13:28:50 mail postfix/smtpd[20385]: NOQUEUE: reject: RCPT from unknown[192.168.0.27]: 550 5.1.1 <unnad.das@mydomain.ru>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<unnad.das@mydomain.ru> proto=SMTP helo=<localhost> 2) Как запретить пустой from=<> 3) Зачем в постфиксе по умолчанию включена задержка REJECT'а (smtpd_delay_reject = yes), почему бы не REJECT'ить все в свое время а не применять правила REJECT'а, когда отправлено все, включая "RCPT TO"
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

DDOS на SMTP, ipmanyak, 15:41 , 13-Авг-10, (1)

DDOS на SMTP, Michael L Shackleford, 16:57 , 13-Авг-10, (2)

DDOS на SMTP, tux2002, 17:24 , 13-Авг-10, (3)

DDOS на SMTP, Michael L Shackleford, 17:34 , 13-Авг-10, (4)

DDOS на SMTP, tux2002, 13:34 , 16-Авг-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "DDOS на SMTP" +/–

Сообщение от ipmanyak (ok) on 13-Авг-10, 15:41

>Как я понимаю, сервер пытаются DDOSить.
я бы не сказал, что DDOS-ить, это другая вещь. Вас просто пытаются спамить.
>В связи с эти возникает несколько вопросов:
>1) Почему postfix на запрос доставки на несуществующий адрес отвечает 450, а
>не 550
Как настроили - так и получите!
# The unknown_local_recipient_reject_code specifies the SMTP server
# response code when a recipient domain matches $mydestination or
# $inet_interfaces, while $local_recipient_maps is non-empty and the
# recipient address or address local-part is not found.
#
# The default setting is 550 (reject mail) but it is safer to start
# with 450 (try again later) until you are certain that your
# local_recipient_maps settings are OK.
#
#unknown_local_recipient_reject_code = 550
unknown_local_recipient_reject_code = 450
Меняйте на 550
>
>Aug 13 13:28:39 mail postfix/smtpd[20385]: warning: Illegal address syntax from unknown[192.168.0.27] in
>RCPT command: unnad.das@mydomain.ru
>Aug 13 13:28:50 mail postfix/smtpd[20385]: NOQUEUE: reject: RCPT from unknown[192.168.0.27]: 550 5.1.1 <unnad.das@mydomain.ru>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<unnad.das@mydomain.ru> proto=SMTP helo=<localhost>
>
192.168.0.27 - это явно хост в вашей локали, там или вирь или кривой почтовый робот, разберитесь
>2) Как запретить пустой from=<>
По RFC вы обязаны принимать письма с пустым полем FROM! Ну если так сильно хочется, то почитать доки по постфиксу или сделать поиск на этом форуме не хотим?
http://www.opennet.me/openforum/vsluhforumID1/62632.html
>3) Зачем в постфиксе по умолчанию включена задержка REJECT'а (smtpd_delay_reject = yes),
>почему бы не REJECT'ить все в свое время а не применять
>правила REJECT'а, когда отправлено все, включая "RCPT TO"
http://www.postfix.org/SMTPD_ACCESS_README.html Прочитать про эту опцию, чем она полезна. Например будете в логе видеть более полную информацию о клиенте, его адресе и кому он писал. Если поставите =no, то будете видеть в логе только имя хоста или ip, а ведь почта может забриться и от нормальных клиентов, а не только от спамеров, и будет очень трудно найти инфу при разборках.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "DDOS на SMTP" +/–

Сообщение от Michael L Shackleford on 13-Авг-10, 16:57

Спасибо за ответ.
Если это попытки спамить, то непонятно, какой в них смысл.
Пытаются отправлять ТОЛЬКО на заведомо несуществующие адреса...
192.168.0.27 - да, хост из локалки, это я пытался с него отправить на несуществующий мыльник )
мне непонятно, почему, когда я пытаюсь отправлять на несуществующий адрес - мне возвращается 550 5.1.1 <unnad.das@mydomain.ru>: Recipient address rejected: User unknown in virtual mailbox table;
Логи же зафлужены 450 4.1.1 <felicija.kononova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "felicija.kononova@mydomain.ru";

Сейчас настроено так
unknown_address_reject_code = 450
unknown_client_reject_code = 421
unknown_hostname_reject_code = 450
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550

То есть, поидее, должно отвечать 550...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "DDOS на SMTP" +/–

Сообщение от tux2002 (ok) on 13-Авг-10, 17:24

>Спасибо за ответ.
>Если это попытки спамить, то непонятно, какой в них смысл.
>Пытаются отправлять ТОЛЬКО на заведомо несуществующие адреса...
>
Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются отскоки.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "DDOS на SMTP" +/–

Сообщение от Michael L Shackleford on 13-Авг-10, 17:34

>Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются
>отскоки.
Согласен, очень может быть... Уж очень их много... по нескольку тысяч в минуту...
Но почему 450, а не 550.. не понятно.. =\

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "DDOS на SMTP" +/–

Сообщение от tux2002 (ok) on 16-Авг-10, 13:34

>
>>Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются
>>отскоки.
>
>Согласен, очень может быть... Уж очень их много... по нескольку тысяч в
>минуту...
>Но почему 450, а не 550.. не понятно.. =\
дак сами же пишете - у Вас
>Сейчас настроено так
>unknown_address_reject_code = 450

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DDOS на SMTP"	+/–
Сообщение от ipmanyak (ok) on 13-Авг-10, 15:41
>Как я понимаю, сервер пытаются DDOSить. я бы не сказал, что DDOS-ить, это другая вещь. Вас просто пытаются спамить. >В связи с эти возникает несколько вопросов: >1) Почему postfix на запрос доставки на несуществующий адрес отвечает 450, а >не 550 Как настроили - так и получите! # The unknown_local_recipient_reject_code specifies the SMTP server # response code when a recipient domain matches $mydestination or # $inet_interfaces, while $local_recipient_maps is non-empty and the # recipient address or address local-part is not found. # # The default setting is 550 (reject mail) but it is safer to start # with 450 (try again later) until you are certain that your # local_recipient_maps settings are OK. # #unknown_local_recipient_reject_code = 550 unknown_local_recipient_reject_code = 450 Меняйте на 550 > >Aug 13 13:28:39 mail postfix/smtpd[20385]: warning: Illegal address syntax from unknown[192.168.0.27] in >RCPT command: unnad.das@mydomain.ru >Aug 13 13:28:50 mail postfix/smtpd[20385]: NOQUEUE: reject: RCPT from unknown[192.168.0.27]: 550 5.1.1 <unnad.das@mydomain.ru>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<unnad.das@mydomain.ru> proto=SMTP helo=<localhost> > 192.168.0.27 - это явно хост в вашей локали, там или вирь или кривой почтовый робот, разберитесь >2) Как запретить пустой from=<> По RFC вы обязаны принимать письма с пустым полем FROM! Ну если так сильно хочется, то почитать доки по постфиксу или сделать поиск на этом форуме не хотим? http://www.opennet.me/openforum/vsluhforumID1/62632.html >3) Зачем в постфиксе по умолчанию включена задержка REJECT'а (smtpd_delay_reject = yes), >почему бы не REJECT'ить все в свое время а не применять >правила REJECT'а, когда отправлено все, включая "RCPT TO" http://www.postfix.org/SMTPD_ACCESS_README.html Прочитать про эту опцию, чем она полезна. Например будете в логе видеть более полную информацию о клиенте, его адресе и кому он писал. Если поставите =no, то будете видеть в логе только имя хоста или ip, а ведь почта может забриться и от нормальных клиентов, а не только от спамеров, и будет очень трудно найти инфу при разборках.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "DDOS на SMTP"	+/–
	Сообщение от Michael L Shackleford on 13-Авг-10, 16:57
	Спасибо за ответ. Если это попытки спамить, то непонятно, какой в них смысл. Пытаются отправлять ТОЛЬКО на заведомо несуществующие адреса... 192.168.0.27 - да, хост из локалки, это я пытался с него отправить на несуществующий мыльник ) мне непонятно, почему, когда я пытаюсь отправлять на несуществующий адрес - мне возвращается 550 5.1.1 <unnad.das@mydomain.ru>: Recipient address rejected: User unknown in virtual mailbox table; Логи же зафлужены 450 4.1.1 <felicija.kononova@mydomain.ru>: Recipient address rejected: undeliverable address: unknown user: "felicija.kononova@mydomain.ru"; Сейчас настроено так unknown_address_reject_code = 450 unknown_client_reject_code = 421 unknown_hostname_reject_code = 450 unknown_local_recipient_reject_code = 550 unknown_relay_recipient_reject_code = 550 unknown_virtual_alias_reject_code = 550 unknown_virtual_mailbox_reject_code = 550 То есть, поидее, должно отвечать 550...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "DDOS на SMTP"	+/–
	Сообщение от tux2002 (ok) on 13-Авг-10, 17:24
	>Спасибо за ответ. >Если это попытки спамить, то непонятно, какой в них смысл. >Пытаются отправлять ТОЛЬКО на заведомо несуществующие адреса... > Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются отскоки.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "DDOS на SMTP"	+/–
	Сообщение от Michael L Shackleford on 13-Авг-10, 17:34
	>Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются >отскоки. Согласен, очень может быть... Уж очень их много... по нескольку тысяч в минуту... Но почему 450, а не 550.. не понятно.. =\
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "DDOS на SMTP"	+/–
	Сообщение от tux2002 (ok) on 16-Авг-10, 13:34
	> >>Возможно кого-то другого спамят от имени пользователей вашего домена, и вам сыплются >>отскоки. > >Согласен, очень может быть... Уж очень их много... по нескольку тысяч в >минуту... >Но почему 450, а не 550.. не понятно.. =\ дак сами же пишете - у Вас >Сейчас настроено так >unknown_address_reject_code = 450
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору