Verdächtige Einträge in volume1/@maillog/maillog

rednag · 05. Mai 2016

Hallo mein geschätzes Forrum,

ich habe ein paar - für mich verdächtige - Aktivitäten im Mailserver-Log stehen, welche ich mir nicht erkären kann.

May 3 01:30:24 DS213 postfix/smtpd[31813]: warning: hostname ns1.mywhitemonkey.com does not resolve to address 180.180.247.70: Name or service not known
May 3 01:30:24 DS213 postfix/smtpd[31813]: connect from unknown[180.180.247.70]
May 3 01:30:24 DS213 postfix/smtpd[31813]: disconnect from unknown[180.180.247.70] commands=0/0

Der erste Eintrag ist wie oben steht um 01:30:24. der letze aber gleiche Eintrag ist um 01:33:54
Automatische Blockierung ist natürlich aktiviert.
Warum wird diese Adresse bei dem Versuch (ich weiß nicht mal genau was versucht wird) nicht blockiert?

Gruß Rednag

Anzeige · 05. Mai 2016

Hallo rednag,

Bücher und Hardware zum Thema gibt es bei Amazon: Verdächtige Einträge in volume1/@maillog/maillog

jahlives · 08. Mai 2016

Wieso sollte die IP blockiert werden? Autoblock schützt ja nur Logins. Das ist ja kein Login.

rednag · 09. Mai 2016

Hallo jahlives,

Danke für Deine Antwort. Nun ja, daß mit dem Autoblock leuchtet mir ein. Was wird dann hier aber versucht? Damit habe ich meine Verständnisprobleme.
Ein "connect" intepretiere ich hier, daß jemand versucht sich am Mailserver der DS anzumelden.

Tommi2day · 09. Mai 2016

Das ist nur der TCP-Connect. Erst der nächste Schritt wäre ein Login. Hier proben wahrscheinlich irgendwelche Typen auf Schwachstellen, z.B. altes SSL, offenes Relay usw. Nimm's nicht persönlich, die klappern das ganze Internet ab.

rednag · 10. Mai 2016

Danke für die Erklärung. Dann bin ja beruhigt.
Wenngleich ich das nicht wirklich verstehe. Werden bei einem Connect nicht auch Versuche unternommen sich am Server anzumelden?
Wie wird eine Verbindung ohne Authentifizierung aufgebaut, bzw was passiert dabei?

Gruß Rednag

Fusion · 10. Mai 2016

Das sind erstmal nur TCP Handshakes, also nur die grundlegende Kommunikationsverbindung zwischen Partnern.
Damit prüft man erstmal, ob und wer denn da antwortet. Erst danach wir auf höheren Ebenen kommuniziert bzw. wenn Schwachstellen gesucht und gefunden werden Angriffe gefahren.

https://de.wikipedia.org/wiki/Transmission_Control_Protocol

jahlives · 10. Mai 2016

rednag schrieb:
Wenngleich ich das nicht wirklich verstehe. Werden bei einem Connect nicht auch Versuche unternommen sich am Server anzumelden?
nicht zwangsläufig. Das ist erstmal nur ein SMTP Verbindungsaufbau. Nichts weiter. Fehlerhafte Logins werden von SASL-Auth geloggt
Wie wird eine Verbindung ohne Authentifizierung aufgebaut, bzw was passiert dabei?
es braucht ja nicht unbedingt einen Login für einen Verbindungsaufbau. Wenn dir z.B. jemand von gmx eine Mail schickt, dann geschieht dies ohne Login. GMX hat ja (hoffentlich) die Logindaten für deinen Server ned

Es sind genau genommen nicht die TCP Handshakes die hier geloggt werden. Denn die passieren auf Ebene von TCP/IP. Das was bei dir geloggt wird sind Connects auf die Applikation, zu diesem Zeitpunkt hat aber der TCP Connect (SYN, SYN/ACK, ACK) bereits stattgefunden

rednag · 10. Mai 2016

@Fusion,

danke für die Erklärung. Jetzt verstehe ich.
Kein Grund zur Beunruhigung meinerseits.

PS:

Ntürlich auch @jahlives ein Danke.

Fusion · 10. Mai 2016

@jahlives - danke für die Korrektur. Manchmal sollte man im Mittagsschlaf keine Einträge im Forum verfassen. OSI-Layer 8 Fehler.

https://de.wikipedia.org/wiki/OSI-Modell

Suche

Verdächtige Einträge in volume1/@maillog/maillog

rednag

Benutzer

Anzeige

jahlives

Benutzer

rednag

Benutzer

Tommi2day

Benutzer

rednag

Benutzer

Fusion

Benutzer

jahlives

Benutzer

rednag

Benutzer

Fusion

Benutzer

Kaffeautomat