我只是在我的系统日志中注意到这个奇怪的警告:
postfix/smtpd[26261]: warning: hostname localhost does not resolve to address 113.167.250.138 …然后紧接着是:
postfix/smtpd[26261]: connect from unknown[113.167.250.138] postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<localhost> postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]
所以我决定从一台不同的win机器上做一个traceroute,并且把远程IPparsing成机器的HOSTNAME:
> tracert 113.167.250.138 Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops: 1 MYHOSTNAME [113.167.250.138] 2 [2-5 removed] 6 ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [xxxx] 7 if-22-2.tcore2.CT8-Chicago.as6453.net [xxxx] 8 if-11-3.tcore2.PDI-PaloAlto.as6453.net [xxxx] 9 if-22-2.tcore2.LVW-LosAngeles.as6453.net [xxxx] 10 if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [xxxx] 11 Request timed out. 12 Request timed out. 13 vdc.vn [123.29.5.170] 14 vdc.vn [123.29.6.238] 15 MYHOSTNAME [113.167.250.138]
很明显,这是一个垃圾邮件发送者,试图将邮件发送到我的服务器上的本地帐户,但是,我的两台计算机如何将IP地址parsing为localhost / MYHOSTNAME?
编辑1:我今天晚些时候会从这个问题中删除垃圾邮件发送者的(明显的)IP。
编辑2:那么任何人都可以看看编辑历史,所以我看不到删除垃圾邮件发送者的IP地址的好处。 国防部,我认为这将是一个好主意,如果你想永久删除IP。
拥有IP地址的人可以将其parsing为任何他们想要的主机/域名,而控制域名的人可以使其主机能够parsing他们想要的任何IP地址。
更可能的解释是,当远程邮件服务器连接到您的服务器,它发送了一个HELO localhost 。 如果您(很可能)启用了反向查找,则会产生精确的错误。
鉴于这种名称parsing的奇怪行为,有可能(为了允许EHLO LOCALHOST工作),垃圾邮件发送者已经设法将他的rDNSlogging( 138.250.167.113.in-addr.arpa )设置为IN PTR localhost. 。
如果你想通过挖掘,你可以确认这一点; 这实际上就是他们所做的(这就是为什么把攻击者的IP发布给我们所有人看看还不错)。
然后,发生什么事是你的Windows电脑看到这个,并将其转换为自己的名字(在Windows跟踪路由)。 path中还有其他类似主机(如113.171.5.14 )。 Linux不会做那个翻译。