Maily na neexistujucich uzivatelov

Lubos Kaspar lk na cnb.cz
Úterý Říjen 22 08:51:44 CEST 2002 

> Date: Tue, 22 Oct 2002 07:35:50 +0200
> From: Vladimir Rengevic <vlado na grafon.sk>
> To: sendmail na linux.cz
> Subject: Maily na neexistujucich uzivatelov
> 
> uz par dni sledujem v logu podobne veci:
> 
> **************************************
> Oct 22 00:52:13 ns sendmail[20795]: g9LMqBK20795: <absence na grafon.sk>... User unknown
> Oct 22 00:52:13 ns sendmail[20795]: g9LMqBK20795: <5490O5496I67731c3d na grafon.sk>... User unknown
> Oct 22 00:52:15 ns sendmail[20795]: g9LMqBK20795: <maxap na grafon.sk>... User unknown
> Oct 22 00:52:16 ns sendmail[20795]: g9LMqBK20795: <philipjw na grafon.sk>... User unknown
> Oct 22 00:52:17 ns sendmail[20795]: g9LMqBK20795: <sapier na grafon.sk>... User unknown
> Oct 22 00:52:19 ns sendmail[20795]: g9LMqBK20795: <jzwu na grafon.sk>... User unknown
> Oct 22 00:52:20 ns sendmail[20795]: g9LMqBK20795: <hockings na grafon.sk>... User unknown
> Oct 22 00:52:20 ns sendmail[20795]: g9LMqBK20795: <cgi.csnet na grafon.sk>... User unknown
> Oct 22 00:52:21 ns sendmail[20795]: g9LMqBK20795: <sapierce na grafon.sk>... User unknown
> Oct 22 00:52:22 ns sendmail[20795]: g9LMqBK20795: <jzy na grafon.sk>... User unknown
> Oct 22 00:52:23 ns sendmail[20795]: g9LMqBK20795: <sapila na grafon.sk>... User unknown
> *************************************
> 
> teda niekto ma bombarduje uplne nahodne generovanymi mailovymi adresami.
> Da sa niekde zistit IP adresa servera odkial to odchadza? Minimalne by som
> ju zakazal ;o) Pripadne sa jedna o najakeho noveho cerva/vira?

V mail-logu by mela byt u kazdeho spojeni uvedena identita (hostname, IP)
SMTP-klienta. Take jsem zaznamenal v posledni dobe podobne veci: je to
asi nasledek nejakeho viru, protoze vetsinou jde o chybove hlasky, tj.
primarne nekdo posila spamy (viry) pod takovymi generickymi adresami a
na jine genericke (tez neexistujici) adresy. Pri obvykle konfiguraci, kdy
se tzv. double bounce (chybova odpoved na chybovou odpoved) zahazuje, by
to asi nemelo moc vadit (az na to, ze se zbytecne zvetsuje obeh "jalovych"
zprav a objem logu).

Urcitou berlickou muze byt vytipovani relayi (resp. domen relayi), odkud
takove zpravy chodi, a bounce od nich odmitat (obsluha do rulesetu check_mail);
je to ovsem ponekud nekorektni a navic "realne" chybove odezvy jsou takto
odmitany, takze prip. skutecny odesilatel se nedovi o nedoruceni sve posty
a mohlo by se mu zdat, ze se mu posta ztraci, coz je asi dosti nedobre.

Podobne veci jsou urcitou dani za "jednoduchost" protokolu SMTP a asi je
dost tezke radit nejake skutecne ucinne opatreni.
--
Lubos Kaspar

Další informace o konferenci Sendmail