使用 netstat -na 我注意到我有很多连接,例如
tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED
tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED
尽管我的服务器位于英国,但这些地址却是发往美国、巴西等地的。
这可能是某种“非法”活动,比如垃圾邮件之类的?
[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632
答案1
是的。
或者至少有人在尝试。如果您打开了端口 25,那么可以肯定有人在尝试通过您转发邮件。如果您打开了端口 80,那么可以肯定有人在尝试利用您的网站。如果您打开了端口 22,那么可以肯定有人在尝试暴力破解您。注意到一个模式了吗?
幸运的是,它们几乎完全是业余的。使用日志文件、telnet 和 tcpdump 等工具来验证这些只是尝试并且你未能成功被用来转发垃圾邮件。
答案2
端口 25 是 SMTP 流量运行的标准端口。如果您打算将系统用作电子邮件服务器,那么这些可能是试图向您或您的用户发送电子邮件的合法服务器。如果您不打算将系统用作电子邮件服务器,请弄清楚如何关闭端口 25。
过去,电子邮件服务器会配置为礼貌地向其他服务器发送电子邮件。如今,这非常非常糟糕。这被称为公开电子邮件中继。明智的做法是验证您没有这样做。但是,如果您确实想接受来自外界的电子邮件,请不要走得太远并尝试阻止端口 25 流量。
答案3
如果您需要它打开,您就需要它打开。尝试锁定您接受来自谁的 smtp 连接。您可以获得一个异地垃圾邮件/病毒过滤器,它托管 DNS MX 记录的服务器。然后只接受来自其网络的 smtp。
请注意,tcp 端口 587 是 RFC 邮件提交端口。
答案4
如果您的服务器/计算机是邮件服务器,请使用以下方式验证http://mxtoolbox.com/看看它是否不是开放中继。如果 MxToolbox 说不是,那么您可以假设传入连接很可能不会对您造成任何伤害(除了尝试通过您进行中继,但失败了)。您可以检查您的服务器是否在垃圾邮件列表中,以验证您自己没有发送垃圾邮件。