主页 / server / 问题 / 872660
Accepted
MadHatter
Asked: 2017-09-09 01:51:35 +0800 CST

为什么人们反复连接到我的 MTA,什么也不做,然后离开?

  • 772

我有一个 sendmail 服务器。定期(即每小时几次)我得到这样的日志条目:

Sep  3 10:06:49 lory sendmail[30561]: v8396nsQ030561: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep  3 10:06:49 lory sendmail[30564]: v8396nmv030564: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
[29 very similar lines deleted]
Sep  3 10:06:50 lory sendmail[30654]: v8396or0030654: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep  3 10:06:50 lory sendmail[30657]: v8396ou3030657: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6

这个特定的服务器以这种速度运行了一段时间,然后突然爆发,在 110 秒内总共增加了大约 600 个连接;其他人则不那么冗长。它们不会导致我的服务器出现任何问题;fail2ban得到了一些锻炼,观察邮件日志文件中的 SMTP AUTH 失败,并且不得不忽略所有这些新条目,但这并没有让服务器出汗。

我很好奇,我想问的是,为什么有人会做这样的事情。他们是否希望我的中继/灰名单/SPF 引擎有一个非常小的大脑,并且在 500 次连接后它对自己说天哪,他们真的很想和我交谈,我最好接受他们现在发送的任何东西?他们是否希望我的服务器没有备用虚拟机,而 sendmail 会膨胀并调用 OOM 杀手,从而对我进行 DoSsing?我认为有人做这种事情是有原因的,但有没有人知道这个原因可能是什么?

security

1 个回答

  1. Best Answer

    sendmail “在连接到 MTA 期间未发出 MAIL/EXPN/VRFY/ETRN”警告并非意外,由被拒绝的身份验证尝试触发,但不仅是在提供了不正确的用户名密码组合时,而且您会看到相同的错误即使不支持身份验证(或至少在没有 TLS 的情况下不允许):

    telnet localhost 25
   Trying 127.0.0.1...
   Connected to localhost.
   Escape character is '^]'.
   220 hbruijn ESMTP Sendmail 8.14.4/8.14.4; Fri, 8 Sep 2017 13:06:31 +0200
AUTH LOGIN
   504 5.3.3 AUTH mechanism LOGIN not available
QUIT

    这会生成您看到的日志事件类型:

    9 月 8 日 13:06:39 hbruijn sendmail[11333]: v88B6VYg011333: localhost [127.0.0.1] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN

    您看不到任何实际的用户名记录,因为“攻击者”甚至没有达到他们可以提供用户名或密码的阶段。

    当我连接 STARTTLS 并提供(不正确的)用户名和密码组合时,sendmail 记录完全相同的错误。

    openssl s_client -starttls smtp -connect localhost:25
   250 HELP
AUTH LOGIN
   334 VXNlcm5hbWU6
bXl1c2VybmFtZUBkb21haW4uY29t
   334 UGFzc3dvcmQ6
d2Vha3Bhc3M=
   535 5.7.0 authentication failed
QUIT
   DONE

    这会生成一个额外的日志行,但之后会产生完全相同的事件。

    9 月 8 日 13:24:22 hbruijn sendmail[11648]:STARTTLS=server,relay=localhost [127.0.0.1],version=TLSv1/SSLv3,verify=NO,cipher=DHE-RSA-AES256-GCM-SHA384,bits= 256/256
    Sep 8 13:24:32 hbruijn sendmail[11648]: v88BOMvW011648: localhost [127.0.0.1] 在连接到 MTA 期间未发出 MAIL/EXPN/VRFY/ETRN

    永远不要把可以用愚蠢充分解释的事情归咎于恶意:

    我自己的域没有收到太多邮件,但在端口扫描和暴力尝试方面有足够的互联网背景噪音。我在过去几天捕获了所有 SMTP 流量,除了触发此类日志事件的许多唯一 IP 地址外,我的服务器还有两个 IP 地址在我的 sendmail 响应AUTH不受支持时没有后退(没有 TLS)导致来自这些 IP 的大量警告。

    至少对于这两个 IP 地址来说,正如我所预料的那样,它们看起来只是愚蠢而愚蠢的恶意软件程序,显然是通过用户名/密码列表工作,没有真正进行任何错误控制,并且在初始失败后没有退缩(这让我想知道如果他们甚至可以检测他们是否/何时成功......)

    流量捕获

    和相关的日志:

    9 月 10 日 04:04:34 hbruijn sendmail[7558]: v8A24YLM007558: [196.196.27.126] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
    Sep 10 04:04:34 hbruijn sendmail[7561]: v8A24Yi1007561: [ 196.196.27.126] 在连接到 MTA
    Sep 10 04:04:34 hbruijn sendmail[7564] 期间没有发出 MAIL/EXPN/VRFY/ETRN:v8A24YHM007564:[196.196.27.126] 在连接期间没有发出 MAIL/EXPN/VRFY/ETRN到 MTA Sep 10 04:04:35 hbruijn sendmail[7567]: v8A24YSY007567: [196.196.27.126] 在连接到 MTA Sep 10 04:04:35 hbruijn sendmail[7570]
    期间没有发出 MAIL/EXPN/VRFY/ETRN
    : [196.196.27.126] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
    9 月 10 日 04:04:35 hbruijn sendmail[7573]: v8A24ZYo007573: [196.196.27.126] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
    Sep 10 04:04:35 hbruijn sendmail[7576]: v8A24ZLt007576: [ 196.196.27.126] 在连接到 MTA
    9 月 10 日 04:04:35 hbruijn sendmail[7579] 期间没有发出 MAIL/EXPN/VRFY/ETRN:v8A24Zva007579:[196.196.27.126] 在连接期间没有发出 MAIL/EXPN/VRFY/ETRN到 MTA

    • 12

相关问题