我查看了我的 postfix 日志,发现最近出现了一个奇怪的情况:SMTP 会话似乎在 RCPT TO 之后立即结束,如下所示:
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 220 [mydomain.com] ESMTP (Ubuntu)
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: EHLO LMSPC.[otherdomain.com]
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-[mydomain.com]
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-PIPELINING
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-SIZE 10240000
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ETRN
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-STARTTLS
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ENHANCEDSTATUSCODES
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-8BITMIME
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 DSN
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: MAIL From:<tobyami@LMSPC.[otherdomain.com]>
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 2.1.0 Ok
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: RCPT To:<[myusername]@[mydomain.com]>
为了进行比较,这就是我的日志中“正常”会话的样子:
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 220 [mydomain.com] ESMTP (Ubuntu)
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: EHLO mail-wg0-f52.google.com
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-[mydomain.com]
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-PIPELINING
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-SIZE 10240000
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ETRN
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ENHANCEDSTATUSCODES
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-8BITMIME
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 DSN
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: MAIL FROM:<[whatever]@gmail.com> SIZE=1774
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.0 Ok
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: RCPT TO:<[my username]@[mydomain.com]>
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.5 Ok
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: DATA
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 354 End data with <CR><LF>.<CR><LF>
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.0.0 Ok: queued as 6346912215C
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: QUIT
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 221 2.0.0 Bye
看来我的服务器在第一种情况下获得 RCPT TO 后不会回答“Ok”。事情似乎……停止了。
这并没有让我太烦恼,因为我仍然收到邮件,并且像前一个例子这样的事件似乎都来自没有反向 DNS 的 IP 或来自“奇怪”的域;因此,我假设它们一定是垃圾邮件尝试。
尽管如此,我还是想知道这里发生了什么。我无法判断谁先断开连接,是我的服务器还是远程服务器,我也无法判断为什么连接将被断开。如果它是在我这边,为什么它在 RCPT TO 之后而不是之前被丢弃?如果它位于远程端,为什么在发送任何内容之前甚至在让我的服务器响应之前将其删除?
编辑:讽刺的是,似乎因为 smtpd 处于详细模式,所以它没有记录所有内容。禁用详细模式后,我发现它实际上拒绝了 RCPT TO 之后的那些内容。不过,当它被告知要详细时,为什么它没有记录下来,这超出了我的范围。
答案1
这可能有多种不同的原因。
我曾经运行这些测试来查看邮件服务器是否配置正确(是否设置为接受该特定域的邮件。我曾经遇到过新邮件服务器未正确设置,然后人们抱怨他们没有收到邮件的情况只是意识到他们错误配置了他们的系统,所以我决定从那时起进行这些测试)在邮件服务器更改之前进行切换。
从垃圾邮件的角度来看,它可用于测试系统是否设置为开放中继(配置错误),允许任何人向互联网上的任何人发送电子邮件。
http://en.wikipedia.org/wiki/Open_mail_relay
从安全/情报角度来看,可以通过确定某个人的电子邮件地址是否仍然存在于某个公司来确定该人是否仍在该公司工作。
我唯一一次看到这种类型的异常情况是安全设备设置不当、设备/软件内的错误、奇怪的 DoS 攻击以及硬件故障。