我刚刚注意到我的系统日志中出现了这个奇怪的警告:
postfix/smtpd[26261]: warning: hostname localhost does not resolve to
address 113.167.250.138
...紧接着的是:
postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
550 5.1.1 <[email protected]>: Recipient address rejected: User
unknown; from=<[email protected]>
to=<[email protected]> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]
因此我决定从另一台 Win 机器执行跟踪路由,并将远程 IP 解析为该机器的主机名:
> tracert 113.167.250.138
Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:
1 MYHOSTNAME [113.167.250.138]
2 [2-5 removed]
6 ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
7 if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
8 if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
9 if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
10 if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
11 Request timed out.
12 Request timed out.
13 vdc.vn [123.29.5.170]
14 vdc.vn [123.29.6.238]
15 MYHOSTNAME [113.167.250.138]
显然,这是一个垃圾邮件发送者试图向我服务器上的本地帐户发送邮件,但是我的两台机器如何将该 IP 地址解析为 localhost/MYHOSTNAME?
编辑1:我将在今天晚些时候从这个问题中删除垃圾邮件发送者的(明显的)IP。
编辑2:好吧,任何人都可以查看编辑历史,所以我认为删除垃圾邮件发送者的 IP 地址没有任何好处。Mods,如果您想永久删除 IP,我认为这是一个好主意。
答案1
拥有 IP 地址的人可以将其解析为他们想要的任何主机/域名,而控制域的人可以将其主机解析为他们想要的任何 IP 地址。
答案2
更可能的解释是,当远程邮件服务器连接到您的服务器时,它发送了一个HELO localhost
。如果您(很可能)启用了反向查找,这将生成您看到的错误。
答案3
鉴于名称解析的这种奇怪行为,有可能(为了允许EHLO LOCALHOST
工作),垃圾邮件发送者已设法将其 rDNS 记录(138.250.167.113.in-addr.arpa
)设置为IN PTR localhost.
。
如果您愿意,您实际上可以使用 dig 来确认这一点;事实上这就是他们所做的(这就是为什么将攻击者的 IP 发布给我们所有人看并不是那么坏的事情)。
然后,您的 Windows 计算机会看到此信息,并将其转换为自己的名称(在 Windows 跟踪路由中)。路径中还有其他类似的主机(例如113.171.5.14
)。Linux 不会进行这种转换。