每次 CSF 屏蔽某人时,我都会收到来自它的电子邮件。这是我今天早上收到的一封:
Time: Sat Jan 19 10:17:24 2013 -0800
IP: <REDACTED> (US/United States/-)
Hits: 21
Blocked: Temporary Block
Sample of block hits:
Jan 19 10:16:28 red kernel: [6727856.279786] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=48 TOS=0x00 PREC=0x00 TTL=52 ID=47609 DF PROTO=TCP SPT=40954 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 19 10:16:30 red kernel: [6727858.716317] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=64 TOS=0x00 PREC=0x00 TTL=52 ID=40975 DF PROTO=TCP SPT=43688 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 19 10:16:31 red kernel: [6727859.809269] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=<REDACTED> DST=<REDACTED> LEN=64 TOS=0x00 PREC=0x00 TTL=52 ID=56375 DF PROTO=TCP SPT=43688 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
..... (It continues on with more of the same)
我理解的意思是,这个特定的 IP(SRC,对吧?)因为过多地访问端口 587(DPT,对吧?)(即 SMTP)而被阻止。我说得对吗?还有其他我应该知道如何阅读的重要信息吗?当我尝试学习如何解读这些东西时,谷歌并没有提供帮助。
然后是解释问题:这恰好是我商业伙伴的 IP。他说他当时没有发送任何电子邮件。有什么理论可以解释发生了什么吗?
答案1
正如您所看到的,有人尝试使用不正确的登录详细信息通过端口 587 连接您的服务器,因此 csf/lfd 已阻止该 IP。
同样,您的合作伙伴可能对 cpanel/mail 有错误的尝试,并且 IP 已被阻止,您可以检查以下方法:
csf -g(合作伙伴的 IP)
或者
grep (合作伙伴的 IP) /etc/csf/*
如果您在 csf.deny 或 csf.tempip 中看到条目,则删除该条目以解除对该 IP 的阻止。