[Postfixbuch-users] Externe Verbindungen an postfix/smtpd landen als localhost in den logs

Andreas Winkelmann ml at awinkelmann.de
Fr Nov 10 19:43:30 CET 2006 

Am Thursday 09 November 2006 14:54 schrieb Pechi:

> bin gerade über vermeintliche Unstimmigkeiten in den Postfix-Logs
> gestolpert. Bestimmt kann mir da jemand von Euch Nachhilfe geben.
> Also:
> Sporadisch (unregelmäßig alle Minuten/Stunden/halbe Tage) tauchen in den
> /var/log/mail folgende Meldungen auf, wobei es mir um die ersten drei
> Zeilen geht:
>
> Nov  9 09:13:15 med postfix/smtpd[20934]: connect from
> localhost[127.0.0.1] 
> Nov  9 09:13:15 med postfix/smtpd[20934]: lost 
> connection after CONNECT from localhost[127.0.0.1] 
> Nov  9 09:13:15 med 
> postfix/smtpd[20934]: disconnect from localhost[127.0.0.1]
> Nov  9 09:13:23 med postfix/smtpd[20934]: connect from
> cp355072-a.gelen1.lb.home.nl[84.28.193.140]
> Nov  9 09:13:26 med postfix/smtpd[20934]: NOQUEUE: reject: RCPT from
> cp355072-a.gelen1.lb.home.nl[84.28.193.140]: 554 Service unavailable;
> Client host [84.28.193.140] blocked using dul.dnsbl.sorbs.net; Dynamic
> IP Addresses See: http://www.sorbs.net/lookup.shtml?84.28.193.140;
> from=<dbubdhtx at home.nl> to=<unsre at mail.com> proto=ESMTP
> helo=<cp355072-a.gelen1.lb.home.nl>
> Nov  9 09:13:26 medusa postfix/smtpd[20934]: lost connection after RCPT
> from cp355072-a.gelen1.lb.home.nl[84.28.193.140]
>
> Die korrespondierenden /var/log/firewall Logs lesen sich wie folgt:
>
> Nov  9 09:13:15 med kernel: SFW2-INext-ACC-TCP IN=eth0
> OUT=MAC=00:e0:29:2d:f5:09:00:05:5d:a2:a9:40:08:00 SRC=61.140.144.232
> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=27494 DF PROTO=TCP
> SPT=10562 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
> Nov  9 09:13:23 med kernel: SFW2-INext-ACC-TCP IN=eth0
> OUT=MAC=00:e0:29:2d:f5:09:00:05:5d:a2:a9:40:08:00 SRC=84.28.193.140
> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=24581 DF PROTO=TCP
> SPT=3361 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)
>
> Es werden also laut Firewall zwei Verbindungen von externen Rechnern
> (über Firewall-Router usw.)  an den Port 25 des Mailservers
> aufgebaut/geschickt.

Was loggt denn Deine Firewall? Sind das abgelehnte Pakete?

Loggst Du überhaupt auf localhost <-> localhost?

Log doch mal mit iptables die uid mit. Dann siehst Du zumindest unter welcher 
uid der Verbindungsaufbau zu 127.0.0.1:25 passiert.

Evtl. auch mal tcpdump/wireshark bemühen.

> Die Frage ist nun: Warum wird einmal diese Verbindung als "localhost"
> ins postfix log geschrieben und (8s später) beim zweiten mal (bzw.
> sonst, bis auf die beschriebenen sporadischen Ausnahmen, immer) wie
> gewohnt im log vermerkt?
> (Die externen Verbindungen die als localhost gelogt werden, kommen von
> ganz unterschiedlichen IP's und SourcePorts.)
>
> Muss ich mir große Sorgen machen?
>
> Rein funktionelle Probleme habe ich mit dem System nicht.
>
> Konfiguration: postfix-2.2.9-10; kernel: 2.6.16.21-0.13-smp (suse linux
> 10.1); Dual-PII;

-- 
	Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users