Toggle sidebar

Verdächtige Einträge in volume1/@maillog/maillog

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
rednag

rednag

Benutzer
Registriert
08. Nov. 2013
Beiträge
3.955
Reaktionspunkte
12
Punkte
104
Hallo mein geschätzes Forrum,

ich habe ein paar - für mich verdächtige - Aktivitäten im Mailserver-Log stehen, welche ich mir nicht erkären kann.

May 3 01:30:24 DS213 postfix/smtpd[31813]: warning: hostname ns1.mywhitemonkey.com does not resolve to address 180.180.247.70: Name or service not known
May 3 01:30:24 DS213 postfix/smtpd[31813]: connect from unknown[180.180.247.70]
May 3 01:30:24 DS213 postfix/smtpd[31813]: disconnect from unknown[180.180.247.70] commands=0/0

Der erste Eintrag ist wie oben steht um 01:30:24. der letze aber gleiche Eintrag ist um 01:33:54
Automatische Blockierung ist natürlich aktiviert.
Warum wird diese Adresse bei dem Versuch (ich weiß nicht mal genau was versucht wird) nicht blockiert?

Gruß Rednag
 
Wieso sollte die IP blockiert werden? Autoblock schützt ja nur Logins. Das ist ja kein Login.
 
Hallo jahlives,

Danke für Deine Antwort. Nun ja, daß mit dem Autoblock leuchtet mir ein. Was wird dann hier aber versucht? Damit habe ich meine Verständnisprobleme.
Ein "connect" intepretiere ich hier, daß jemand versucht sich am Mailserver der DS anzumelden.
 
Das ist nur der TCP-Connect. Erst der nächste Schritt wäre ein Login. Hier proben wahrscheinlich irgendwelche Typen auf Schwachstellen, z.B. altes SSL, offenes Relay usw. Nimm's nicht persönlich, die klappern das ganze Internet ab.
 
Danke für die Erklärung. Dann bin ja beruhigt.
Wenngleich ich das nicht wirklich verstehe. Werden bei einem Connect nicht auch Versuche unternommen sich am Server anzumelden?
Wie wird eine Verbindung ohne Authentifizierung aufgebaut, bzw was passiert dabei?

Gruß Rednag
 
Das sind erstmal nur TCP Handshakes, also nur die grundlegende Kommunikationsverbindung zwischen Partnern.
Damit prüft man erstmal, ob und wer denn da antwortet. Erst danach wir auf höheren Ebenen kommuniziert bzw. wenn Schwachstellen gesucht und gefunden werden Angriffe gefahren.

https://de.wikipedia.org/wiki/Transmission_Control_Protocol
 
rednag schrieb:
Wenngleich ich das nicht wirklich verstehe. Werden bei einem Connect nicht auch Versuche unternommen sich am Server anzumelden?
nicht zwangsläufig. Das ist erstmal nur ein SMTP Verbindungsaufbau. Nichts weiter. Fehlerhafte Logins werden von SASL-Auth geloggt
Wie wird eine Verbindung ohne Authentifizierung aufgebaut, bzw was passiert dabei?
es braucht ja nicht unbedingt einen Login für einen Verbindungsaufbau. Wenn dir z.B. jemand von gmx eine Mail schickt, dann geschieht dies ohne Login. GMX hat ja (hoffentlich) die Logindaten für deinen Server ned
Zum Vergrößern anklicken....
Es sind genau genommen nicht die TCP Handshakes die hier geloggt werden. Denn die passieren auf Ebene von TCP/IP. Das was bei dir geloggt wird sind Connects auf die Applikation, zu diesem Zeitpunkt hat aber der TCP Connect (SYN, SYN/ACK, ACK) bereits stattgefunden
 
@Fusion,

danke für die Erklärung. Jetzt verstehe ich.
Kein Grund zur Beunruhigung meinerseits.

PS:

Ntürlich auch @jahlives ein Danke.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten