[Postfixbuch-users] Logwatch Errors

Marcel Hartmann mail at marcel-hartmann.com
Mi Jul 26 18:09:50 CEST 2006 

Hallo,

> * Marcel Hartmann <mail at marcel-hartmann.com> wrote:
> > ich habe meinen Logwatch mal begutachtet und diese Zeilen gefunden:
> > 
> > Connections lost:
> >    Connection lost after command CONNECT : 267 Time(s)
> >    Connection lost after command DATA : 19 Time(s)
> >    Connection lost after command EHLO : 2 Time(s)
> >    Connection lost after command END-OF-MESSAGE : 1 Time(s)
> >    Connection lost after command HELO : 1 Time(s)
> >    Connection lost after command MAIL : 2 Time(s)
> >    Connection lost after command RCPT : 365 Time(s)
> >    Connection lost after command RSET : 19 Time(s)
> >    Connection lost after command STARTTLS : 1 Time(s)
> > 
> > Die errors nach dem CONNECT und dem RCPT sind ja schon recht hoch.
> > Meine vermutung ist, dass die die RBL Checks etc. sind. Ist dem so?
> 
> Ich wuerde prinzipiell auf Port-Scans sowie Relay-Versuche von
> Spam-Zombies tippen. 
...
> zgrep "lost connection" /var/log/mail.log* | awk '{ print $NF 
> }' | sort |
>     uniq -c | sort -rn | head -20

 8241 h619319.serverkompetenz.net[81.169.162.230]
    213 localhost[127.0.0.1]
    100 unknown[82.194.50.28]
     91 nan92-1-81-57-214-226.fbx.proxad.net[81.57.214.226]
     87 unknown[194.170.173.72]
     77 107.Red-83-41-166.dynamicIP.rima-tde.net[83.41.166.107]
     59 host190-31.pool8288.interbusiness.it[82.88.31.190]
     53 unknown[85.104.50.92]
     52 unknown[88.241.83.242]
     52 unknown[82.207.51.184]
     52 unknown[59.15.67.224]
     52 CableLink39-2.INTERCABLE.net[207.248.39.2]
     51 unknown[61.17.182.122]
     51 unknown[201.130.66.1]
     51 host93-119-static.29-87-b.business.telecomitalia.it[87.29.119.93]
     51 c-71-201-123-176.hsd1.il.comcast.net[71.201.123.176]
     51 203-206-99-199.dyn.iinet.net.au[203.206.99.199]
     50 unknown[84.90.138.251]
     50 unknown[220.115.67.134]
     50 unknown[217.17.236.93]

Das kommt dabei raus in meinen Logs. Viele unknown etc.
also sind das wohl die SPAMmer imho. Mich wundert der erste Eintrag:

sollte ich den mal in den client_access blocken?

Gruß 
  Marcel

---
Marcel Hartmann

Bokeler Landstraße 24a, 26215 Wiefelstede / Bokel
Tel 044 02 - 69 55 800,    Fax 044 02 - 69 55 801
mail at marcel-hartmann.com, www.marcel-hartmann.com
---

Mehr Informationen über die Mailingliste Postfixbuch-users