Postfix: Merkwürdige Logeinträge

Sonstiges Software
1

Hallo zusammen,

ich habe seit kurzer Zeit auf meinem vServer Postfix installiert, damit mein Redmine automatisiert Notifications und solche Späße senden kann.
Nun habe ich mir heute mal /var/log/mail.log angesehen und sehe häufiger mal solche Einträge:

NOQUEUE: reject: RCPT from 114-43-11-83.dynamic.hinet.net[114.43.11.83]: 554 5.7.1 <superedm002@yahoo.com.hk>: Relay access denied; from=<0546@msa.hinet.net> to=<superedm002@yahoo.com.hk> p
roto=SMTP helo=<62.75.188.150>


NOQUEUE: reject: RCPT from unknown[36.225.124.168]: 554 5.7.1 <gk49fawn@yahoo.com.tw>: Relay access denied; from=<z2007tw@yahoo.com.tw> to=<gk49fawn@yahoo.com.tw> proto=SMTP helo=<62.75.188
.150>

Versucht da jemand über meinen Server Mails zu verschicken?

2

dd
[spoiler][/SPOILER][quote=Shadoka]Versucht da jemand über meinen Server Mails zu verschicken?[/quote]
jap - das ist Stufe 1. Stufe 2 wäre dann auch schauen ob e-Mails verteilt werden, wenn der Server sie annimmt. Stufe 3 ist die SPAM Menge langsam zu erhöhen.

ich mag das “Ding” -> https://help.ubuntu.com/community/Fail2ban

[SPOILER=Demomail von Freitag 23:29]Hi,

The IP 212.67.215.96 has just been banned by Fail2Ban after
3 attempts against postfix.

Here are more information about 212.67.215.96:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘212.67.215.0 - 212.67.215.255’

% Abuse contact for ‘212.67.215.0 - 212.67.215.255’ is ‘abuse@webfusion.co.uk’

inetnum: 212.67.215.0 - 212.67.215.255
netname: UK-WEBFUSION-LEEDS
descr: VPS-123
country: GB
admin-c: HM2819-RIPE
tech-c: HM2819-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: MNT-WEBFUSION
source: RIPE # Filtered

role: Hostmaster Contact
address: Unit 4
address: The Tristram Center
address: Brown Lane West
address: Leeds
address: LS12 6BF
address: United Kingdon
admin-c: DC9000-RIPE
admin-c: PB11287-RIPE
admin-c: AC23366-RIPE
tech-c: DC9000-RIPE
tech-c: PB11287-RIPE
tech-c: AC23366-RIPE
nic-hdl: HM2819-RIPE
abuse-mailbox: abuse@webfusion.com
remarks: ------------------------------------------------------
remarks:
remarks: Please direct Abuse complaints to abuse@webfusion.com
remarks: Complaints directed elsewhere will not be actioned.
remarks:
remarks: ------------------------------------------------------
mnt-by: MNT-WEBFUSION
source: RIPE # Filtered

% Information related to ‘212.67.192.0/19AS20738’

route: 212.67.192.0/19
descr: Webfusion Internet Solutions
origin: AS20738
member-of: AS20738:RS-CUSTOMER
remarks:
remarks: ------------------------------------------------------
remarks:
remarks: Please direct Abuse complaints to abuse@webfusion.com
remarks: Complaints directed elsewhere will not be actioned.
remarks:
remarks: ------------------------------------------------------
remarks:
mnt-by: MNT-WEBFUSION
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.70 (WHOIS3)

Regards,

Fail2Ban[/spoiler]

interessant ist das gar nicht veruscht wird so oft den Mailserver zu hacken - ich bekomme zu dem Thema kaum Mails von Fail2Ban

3

[QUOTE=Shadoka]
Versucht da jemand über meinen Server Mails zu verschicken?[/QUOTE]

Ist normal, dass Bots versuchen über öffentliche Mailserver Spam zu verschicken. Da braucht man sich nicht wundern. Solange das mit Relay acces denied endet ist alles in Ordnung.

4

Danke für die Antworten und den Link @mogel …ich werde mir mal fail2ban anschauen :slight_smile: