後綴日誌: SMTP 會話在 RCPT TO 後停止
我查看了我的 postfix 日誌,發現最近發生了一件奇怪的事情:SMTP 會話似乎在 RCPT TO 之後立即結束,如下所示:
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 220 [mydomain.com] ESMTP (Ubuntu) postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: EHLO LMSPC.[otherdomain.com] postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-[mydomain.com] postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-PIPELINING postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-SIZE 10240000 postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ETRN postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-STARTTLS postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ENHANCEDSTATUSCODES postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-8BITMIME postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 DSN postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: MAIL From:<tobyami@LMSPC.[otherdomain.com]> postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 2.1.0 Ok postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: RCPT To:<[myusername]@[mydomain.com]>為了比較,這是我的日誌中“正常”會話的樣子:
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 220 [mydomain.com] ESMTP (Ubuntu) postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: EHLO mail-wg0-f52.google.com postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-[mydomain.com] postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-PIPELINING postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-SIZE 10240000 postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ETRN postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ENHANCEDSTATUSCODES postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-8BITMIME postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 DSN postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: MAIL FROM:<[whatever]@gmail.com> SIZE=1774 postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.0 Ok postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: RCPT TO:<[my username]@[mydomain.com]> postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.5 Ok postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: DATA postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 354 End data with <CR><LF>.<CR><LF> postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.0.0 Ok: queued as 6346912215C postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: QUIT postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 221 2.0.0 Bye在第一種情況下,一旦我的伺服器獲得 RCPT TO,似乎我的伺服器沒有回答“Ok”。事情似乎……停止了。
它並沒有給我帶來太多困擾,因為我仍然收到郵件,並且像前一個範例這樣的事件似乎都來自沒有反向 DNS 或來自“奇怪”域的 IP;因此,我假設它們一定是垃圾郵件嘗試。
不過,我想知道這裡發生了什麼。我不知道是誰先斷開了連接,是我的伺服器還是遠端,我也不知道為什麼會斷開連接。如果它在我這邊,為什麼它會在 RCPT TO 之後而不是之前被丟棄?如果它在遠端端,為什麼在發送任何東西之前,甚至在讓我的伺服器響應之前將其丟棄?
編輯:似乎因為 smtpd 處於詳細模式,諷刺的是,它沒有記錄所有內容。禁用詳細模式後,我看到它實際上是在 RCPT TO 之後拒絕那些。但是,為什麼當它被告知要詳細時它沒有記錄,這超出了我的理解。
這可能是由於許多不同的原因。
我曾經執行這些測試以查看郵件伺服器是否配置正確(是否設置為接受該特定域的郵件。當新郵件伺服器未正確設置然後人們抱怨他們沒有收到郵件時,我會發生這種情況只是意識到他們錯誤地配置了他們贏得的系統,所以我決定從那時起進行這些測試),然後再切換郵件伺服器更改。
從垃圾郵件的角度來看,它可用於測試系統是否設置為開放中繼(配置錯誤),允許任何人向 Internet 上的任何人發送電子郵件。
http://en.wikipedia.org/wiki/Open_mail_relay
從安全/情報的角度來看,它可用於通過確定電子郵件地址是否仍存在於公司中來確定特定人員是否仍與公司合作。
我唯一一次看到這種異常情況是安全設備設置不當、設備/軟體中的錯誤、奇怪的 DoS 攻擊以及硬體故障。