[Postfixbuch-users] Postfix Relayanfragen auf 127.0.0.100

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Mo Jun 16 18:29:15 CEST 2003


* Danny Richter <drichter at srs-sys.de>:

> Ich habe ein mehr oder weniger großes problem und hoffe ihr könnt mir helfen.
> 
> Ich bekomme in einem logbuch connects von 127.0.0.100 oder etwa 127.0.50.1 usw. 

127.x.x.x ist localhost's netz.

> (sicherlich alles spam-mailversender), mein problem ist aber das
> postfix die mail die über 127.0.0.0/8 kommen annimmt. Diese können
> doch eigentlich nur von der lokalen Maschine kommen und nicht von
> außen (Internet) oder sehe ich das falsch? Im Internet kann oder
> werden doch keine 127.0.0.0 pakete geroutet oder?

ja.

> Muß ich um dies zu verhindern das Class A Netz so beschränken das nur
> noch 127.0.0.1/32 übrig bleibt? Besteht dann nicht immer noch die
> Möglichkeit, das jemand auf dieser IP ein connect durchführt? Kann
> ich das noch irgendwie verhindern und warum stehen die
> defaulteinstellungen auf mynetworks = 192.168.1.0/24, 127.0.0.0/8 ?

Das ist normalerweise sicher.

> Jun 12 06:52:58 pluto postfix/smtpd[2501]: connect from unknown[127.0.0.100]
> Jun 12 06:53:01 pluto postfix/smtpd[2501]: B89F6B3F2: client=unknown[127.0.0.100]
> Jun 12 06:53:02 pluto postfix/smtpd[2479]: connect from unknown[127.0.0.100]
> Jun 12 06:53:15 pluto postfix/smtpd[2479]: 5D55DB5CA: client=unknown[127.0.0.100]
> Jun 12 06:53:23 pluto postfix/cleanup[2480]: B89F6B3F2: message-id=<6$-047-j$$-$f-3$qj at an5f4vh8q>
> Jun 12 06:53:23 pluto postfix/qmgr[662]: B89F6B3F2: from=<3d9r17bp at yahoo.com>, size=5033, nrcpt=5 (queue active)
> Jun 12 06:53:23 pluto postfix/smtpd[2497]: connect from localhost[127.0.0.1]
> Jun 12 06:53:23 pluto postfix/smtpd[2497]: 9AF8FB5D3: client=localhost[127.0.0.1]
> Jun 12 06:53:23 pluto postfix/cleanup[2480]: 9AF8FB5D3: message-id=<6$-047-j$$-$f-3$qj at an5f4vh8q>
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: from=<3d9r17bp at yahoo.com>, size=5208, nrcpt=5 (queue active)
> Jun 12 06:53:23 pluto postfix/smtpd[2497]: disconnect from localhost[127.0.0.1]
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: to=<csmccue at southeast.net>, relay=none, delay=0, status=deferred (connect to fmrlallmx.t-online.com[194.25.134.94]: server refused mail service)
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: to=<csmclaug at southeast.net>, relay=none, delay=0, status=deferred (connect to fmrlallmx.t-online.com[194.25.134.94]: server refused mail service)
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: to=<csmug at southeast.net>, relay=none, delay=0, status=deferred (connect to fmrlallmx.t-online.com[194.25.134.94]: server refused mail service)
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: to=<csmyth at southeast.net>, relay=none, delay=0, status=deferred (connect to fmrlallmx.t-online.com[194.25.134.94]: server refused mail service)
> Jun 12 06:53:23 pluto postfix/qmgr[662]: 9AF8FB5D3: to=<csn at southeast.net>, relay=none, delay=0, status=deferred (connect to fmrlallmx.t-online.com[194.25.134.94]: server refused mail service)
> Jun 12 06:53:23 pluto postfix/pipe[2489]: B89F6B3F2: to=<csmccue at southeast.net>, relay=vscan, delay=22, status=sent (pluto.protect.com)
> Jun 12 06:53:23 pluto postfix/pipe[2489]: B89F6B3F2: to=<csmclaug at southeast.net>, relay=vscan, delay=22, status=sent (pluto.protect.com)
> Jun 12 06:53:23 pluto postfix/pipe[2489]: B89F6B3F2: to=<csmug at southeast.net>, relay=vscan, delay=22, status=sent (pluto.protect.com)
> Jun 12 06:53:23 pluto postfix/pipe[2489]: B89F6B3F2: to=<csmyth at southeast.net>, relay=vscan, delay=22, status=sent (pluto.protect.com)
> Jun 12 06:53:23 pluto postfix/pipe[2489]: B89F6B3F2: to=<csn at southeast.net>, relay=vscan, delay=22, status=sent (pluto.protect.com)
> Jun 12 06:53:25 pluto postfix/smtpd[2501]: disconnect from unknown[127.0.0.100]
> Jun 12 06:53:35 pluto postfix/smtpd[2479]: lost connection after MAIL from unknown[127.0.0.100]
> Jun 12 06:53:35 pluto postfix/smtpd[2479]: disconnect from unknown[127.0.0.100] 

Was laeuft denn noch so alles auf deiner Maschine? Ein Webserver
zufaellig? Trojaner?

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)   Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450 570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450 570-916
AIM: ralfpostfix



Mehr Informationen über die Mailingliste Postfixbuch-users