服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么我的端口25如此活跃?
Intereting Posts
如何从VPS节制带宽速度 ASP.NET和SQL Server自主主机的最低要求 压缩的networking文件副本 活动目录从GroupA中删除用户,如果GroupB的成员 Windows Server 2008经常在出站TCP端口445上发送外部IP 我怎样才能得到一个域名与godaddy的托pipe? networking负载平衡,效率和限制? IIS7反向代理Subversion 403 具有8000个字符的SQL Server字段 – text或nvarchar? 限制FTP客户端端口? 适用于Windows 2003群集的Sane补丁程序 在下次更改密码时更改密码过期策略 如何在nis passwd文件中添加root用户? 备份和恢复MySQL数据库,无需系统访问 Trac与mod_python慢​​?

为什么我的端口25如此活跃?

使用netstat -na我注意到我有很多连接 

tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED

那些地址到美国,巴西等,尽pipe我的服务器位于英国。
这可能是一些“非法”的活动,如垃圾邮件或什么的? 

 [root@myserver ~]# tcpdump port 25 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK> 20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7> 20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660 20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46 20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637 20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46 20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632

是。

或者至less,正在尝试。 如果您打开了25号端口,则可以保证有人试图通过您转发邮件。 如果你有80端口打开,你可以保证有人试图利用您的网站。 如果你打开22号港口,你可以保证有人试图强迫你。 注意一个模式?

幸运的是,他们几乎完全是业余的。 使用诸如日志文件,telnet和tcpdump之类的工具来validation这些只是尝试,并且您没有成功用于中继垃圾邮件。

端口25是SMTPstream量运行的标准端口。 如果你打算让你的系统成为一个电子邮件服务器,那些可能是合法的服务器试图发送给你或你的用户的电子邮件。 如果您不打算将您的系统作为电子邮件服务器,请考虑如何closures端口25。

历史上,电子邮件服务器将被configuration为礼貌地发送其他服务器的电子邮件。 今天这是坏的,坏的,坏的。 这被称为是一个开放的电子邮件中继。 validation你没有这样做是明智的。 但是,如果您确实想要接受来自外部世界的电子邮件,请不要走得太远,尝试阻止端口25的stream量。

如果你需要打开它,你需要打开它。 试着locking你接受smtp连接的人。 YOu可以获得一个异地垃圾邮件/病毒filter,其中包含DNS MXlogging的服务器。 那么只有从他们的networking接受SMTP的SMTP。

请注意,tcp端口587是一个RFC邮件提交端口。

你有在这台机器上的电子邮件服务器?
如果没有,closures端口(防火墙),这应该是足够的。
如果是,那么查看你的mail.log(/var/log/mail.log),看看它发生了什么。 它会说谁连接,做了什么。
如果IP试图发送大量的电子邮件给您的域名或其他域名或其他“回收”活动(阻止或成功)的未知用户,我会把它们放在防火墙,如果他们这样做了很多,每天,但它只是一个人的select,而不是一个必要的select,你不能呆在那里整天看着所有的连接阻止每个人!

在那之后,我认为你应该调查一下,看看你的电子邮件是否在转发谁的电子邮件。 无论如何,如果你有一个邮件服务器,人们会尝试使用它。 没有什么可以对付他们,但是你应该能够在日志中看到他们是否成功接力或被阻挡。 确保您的电子邮件服务器configuration为不中继不可信或未知的服务器(或已知,当然不允许!:))。

编辑:现在只记得…如果你没有一个电子邮件服务器和端口25是开放的,我想你需要看看其他端口也closures未使用。

如果您的服务器/电脑是邮件服务器,请使用http://mxtoolbox.com/进行validation,看看它是不是一个开放的中继&#x3002; 如果MxToolbox会说这不是你最好的假设传入的连接不会对你造成任何伤害(除了试图通过你不成功的中继)。 您可以检查您的服务器是否在垃圾邮件列表中,以确认您不是自己发送垃圾邮件。