远程 IP 地址如何解析为本地主机?

远程 IP 地址如何解析为本地主机?

我刚刚注意到我的系统日志中出现了这个奇怪的警告:

postfix/smtpd[26261]: warning: hostname localhost does not resolve to
    address 113.167.250.138

...紧接着的是:

postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
    550 5.1.1 <[email protected]>: Recipient address rejected: User
    unknown; from=<[email protected]>
    to=<[email protected]> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]

因此我决定从另一台 Win 机器执行跟踪路由,并将远程 IP 解析为该机器的主机名:

> tracert 113.167.250.138

Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:

  1  MYHOSTNAME [113.167.250.138]
  2  [2-5 removed]
  6  ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
  7  if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
  8  if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
  9  if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
 10  if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
 11  Request timed out.
 12  Request timed out.
 13  vdc.vn [123.29.5.170]
 14  vdc.vn [123.29.6.238]
 15  MYHOSTNAME [113.167.250.138]

显然,这是一个垃圾邮件发送者试图向我服务器上的本地帐户发送邮件,但是我的两台机器如何将该 IP 地址解析为 localhost/MYHOSTNAME?

编辑1:我将在今天晚些时候从这个问题中删除垃圾邮件发送者的(明显的)IP。

编辑2:好吧,任何人都可以查看编辑历史,所以我认为删除垃圾邮件发送者的 IP 地址没有任何好处。Mods,如果您想永久删除 IP,我认为这是一个好主意。

答案1

拥有 IP 地址的人可以将其解析为他们想要的任何主机/域名,而控制域的人可以将其主机解析为他们想要的任何 IP 地址。

答案2

更可能的解释是,当远程邮件服务器连接到您的服务器时,它发送了一个HELO localhost。如果您(很可能)启用了反向查找,这将生成您看到的错误。

答案3

鉴于名称解析的这种奇怪行为,有可能(为了允许EHLO LOCALHOST工作),垃圾邮件发送者已设法将其 rDNS 记录(138.250.167.113.in-addr.arpa)设置为IN PTR localhost.

如果您愿意,您实际上可以使用 dig 来确认这一点;事实上这就是他们所做的(这就是为什么将攻击者的 IP 发布给我们所有人看并不是那么坏的事情)。

然后,您的 Windows 计算机会看到此信息,并将其转换为自己的名称(在 Windows 跟踪路由中)。路径中还有其他类似的主机(例如113.171.5.14)。Linux 不会进行这种转换。

相关内容