我有一个运行出站代理服务器的小型 Ubuntu 邮件/Web 服务器,并且最近还使用Spamhaus DROP列表来阻止来自或到其中列出的网络的连接。
我发现从我们的 postfix 邮件服务器的 25 端口到这些网络的出站连接丢失的数量几乎与入站连接丢失的数量一样多(通常在 SASL 端口上)。
有时,有问题的 IP 会尝试连接 smtp(多次),然后大约一小时后,postfix 会尝试重新连接它。例如,在实施 DROP 规则之前的 00:07:10 和实施之后的 09:47:46:
Mar 09 00:07:10 postfix/smtpd[1421282]: connect from unknown[87.120.84.205]
Mar 09 00:07:11 postfix/smtpd[1421282]: disconnect from unknown[87.120.84.205] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
...
Mar 09 09:47:46 kernel: [SPAMHAUS BLOCK]IN= OUT=eth0 SRC=[MYSERVER] DST=87.120.84.205 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=25 DPT=51767 WINDOW=64240 RES=0x00 ECE ACK SYN URGP=0
Mar 09 09:47:47 kernel: [SPAMHAUS BLOCK]IN= OUT=eth0 SRC=[MYSERVER] DST=87.120.84.205 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=25 DPT=51767 WINDOW=64240 RES=0x00 ECE ACK SYN URGP=0
阻塞可能每 5 到 10 秒发生一次,停止几分钟,然后再次开始。
这似乎需要进一步调查,但我不知道从哪里开始。邮件日志没有显示通过端口 25 建立连接的失败尝试。我还看到防火墙有时也会丢弃通过 443 连接到这些网络的尝试。