[Postfixbuch-users] Externe Verbindungen an postfix/smtpd landen als localhost in den logs

Pechi smpechi at gmx.de
Do Nov 9 17:35:09 CET 2006


Sandy Drobic wrote:

>> Sandy Drobic wrote:
>>
>> postconf -n ::
>>
>> alias_maps = hash:/etc/aliases
>> body_checks = regexp:/etc/postfix/body_checks
>> canonical_maps = hash:/etc/postfix/canonical
>> command_directory = /usr/sbin
>> config_directory = /etc/postfix
>> content_filter =
> 
> Okay, content_filter ist explizit ausgeschaltet.
> 
>> smtpd_recipient_restrictions = reject_non_fqdn_sender,
>> reject_non_fqdn_recipient,   reject_unknown_sender_domain,
>> reject_unknown_recipient_domain,  permit_mynetworks,
>> check_client_access btree:/etc/postfix/dracd,
>> permit_sasl_authenticated,   reject_unauth_destination,
>> check_recipient_access hash:/etc/postfix/recipient_checks,
>> warn_if_reject check_sender_access hash:/etc/postfix/sender_checks,
>> warn_if_reject check_client_access hash:/etc/postfix/client_checks,
>> reject_rbl_client relays.ordb.org,       reject_rbl_client
>> opm.blitzed.org,      reject_rbl_client list.dsbl.org,
>> reject_rbl_client sbl.spamhaus.org,     reject_rbl_client
>> cbl.abuseat.org,       reject_rbl_client dul.dnsbl.sorbs.net,        permit
> 
> Die RBLs sbl, cbl, opm sind in der RBL sbl-xbl.spamhaus.org 
> zusammengefasst, du sparst dir damit 2 DNS-Abfragen.
Danke für den Tipp.
> 
>> transport_maps = hash:/etc/postfix/transport
> 
> Ist hier ein Transport auf einen Dienst nach localhost drin?
Negativ.  Alle Zeilen sind auskommentiert.
> 
>> #localhost:10025 inet   n       -       n       -       -       smtpd -o
> 
> Das sieht so aus, als ob Postfix mal darauf vorbereitet wurde, amavisd-new 
> als content_filter zu verwenden. Hattest du mal amavisd-new im Einsatz und 
> später gelöscht?
Eigentlich nicht. Das bereitet vielleicht Yast vor ...
> 
> Die einzige andere Möglichkeit, die ich sehe, ist eine Monitoring 
> Software, die Verbindungen zu localhost aufmacht, um zu sehen, ob der Port 
> noch erreichbar ist.
Habe ich auch schon dran gedacht. Passt aber mit den firewall logs nicht
zusammen, denn da wird ja eine Verbindung von Extern protokolliert.
Bisschen auffällig ist doch, dass das connect,  lost connection und
disconnect innerhalb einer Sekunde passiert. Ist es vielleicht ein
neuartiges "Ultra-Mini-Ping... /Port-Scan .. irgendwas", welches postfix
deshalb komisch logt, weil es *zu* kurz ist. Na ja, sehr
unwahrscheinlich. Zumal dann andere auch ähnliche Beobachtungen gemacht
haben müssten.
Oder vielleicht sind wir professionell gehackt?  Aber die externen
Verbindungen die als localhost gelogt werden, kommen von
ganz unterschiedlichen IP's und SourcePorts. Also ... ja ne snaju

Trotzdem erstmal vielen lieben Dank!

Pechi




Mehr Informationen über die Mailingliste Postfixbuch-users