[Postfixbuch-users] Logwatch Errors

Mo Jul 24 23:13:48 CEST 2006

* Marcel Hartmann <mail at marcel-hartmann.com> wrote:
> ich habe meinen Logwatch mal begutachtet und diese Zeilen gefunden:
> 
> Connections lost:
>    Connection lost after command CONNECT : 267 Time(s)
>    Connection lost after command DATA : 19 Time(s)
>    Connection lost after command EHLO : 2 Time(s)
>    Connection lost after command END-OF-MESSAGE : 1 Time(s)
>    Connection lost after command HELO : 1 Time(s)
>    Connection lost after command MAIL : 2 Time(s)
>    Connection lost after command RCPT : 365 Time(s)
>    Connection lost after command RSET : 19 Time(s)
>    Connection lost after command STARTTLS : 1 Time(s)
> 
> Die errors nach dem CONNECT und dem RCPT sind ja schon recht hoch.
> Meine vermutung ist, dass die die RBL Checks etc. sind. Ist dem so?

Ich wuerde prinzipiell auf Port-Scans sowie Relay-Versuche von
Spam-Zombies tippen. 

Die Scans interessieren sich nur fuer den offenen Port (sprechen also
kein SMTP und machen nach dem Connect dicht), die Zombies reagieren nach
ein paar (dem ersten?) "recipient rejected" desinteressiert und gehen,
ohne ein QUIT zu verlieren, weiter zum nächsten potentiell offenen
Mail-Server. Die Verbindung wandert nach dem RCPT TO in den Timeout.

Meine diesbzgl. Log-Eintraege stammen fast ausschliesslich von Clients
aus Dialup-Bereichen. Spricht Baende.

Du kannst ja mal folgendes absetzen, um ein grobes Gefuehl fuer die
Quelle Deiner diesbzgl. Log-Eintraege zu bekommen.

zgrep "lost connection" /var/log/mail.log* | awk '{ print $NF }' | sort |
    uniq -c | sort -rn | head -20

- Sebastian