なぜ人々は繰り返し私のMTAに接続し、何もせずに去っていくのですか?
Sendmailサーバーがあります。定期的(つまり、1時間に数回)に次のようなログエントリが表示されます。
Sep 3 10:06:49 lory sendmail[30561]: v8396nsQ030561: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep 3 10:06:49 lory sendmail[30564]: v8396nmv030564: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
[29 very similar lines deleted]
Sep 3 10:06:50 lory sendmail[30654]: v8396or0030654: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep 3 10:06:50 lory sendmail[30657]: v8396ou3030657: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
この特定のサーバーは、そのレートで少しの間動作し続け、その後、バースト的になり、110秒間に合計で約600の接続をノッチアップしました。他のものはそれほど乱雑ではありません。それらは私のサーバーに問題を引き起こしません。 fail2banは少し運動し、メールログファイルでSMTP AUTHの失敗を監視し、これらの新しいエントリをすべて無視する必要がありますが、サーバーを煩わせることはありません。
私が興味を持っていること、そして私が求めていることは、なぜだれでもそのようなことをするでしょう。彼らは私のリレー/グレイリスト/ SPFエンジンが非常に小さな頭脳を持っていることを望んでいますか、そしてそれはそれがそれ自体と言う500接続の後まあ、彼らは私に話したいと本当に熱望しているので、私は受け入れたほうがいいです彼らが今送るものは何か?彼らは私のサーバーに予備のVMがないことを望んでいますか?sendmailは膨らんでOOMキラーを起動しますか?誰かがこのようなことをしているのは理由があると思いますが、誰かがその理由が何であるかを最も暗い考えを持っていますか?
Sendmail "は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした"警告は、予期しないものではなく、拒否される認証試行によってトリガーされますが、正しくない場合だけではありませんユーザー名とパスワードの組み合わせが提供されますが、認証がサポートされていない場合でも同じエラーが表示されます(または少なくともTLSなしでは許可されていません):
telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 hbruijn ESMTP Sendmail 8.14.4/8.14.4; Fri, 8 Sep 2017 13:06:31 +0200
AUTH LOGIN
504 5.3.3 AUTH mechanism LOGIN not available
QUIT
これにより、表示されるログイベントのタイプが生成されます。
9月8日13:06:39 hbruijn sendmail [11333]:v88B6VYg011333:localhost [127.0.0.1]はMTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
「攻撃者」はユーザー名またはパスワードを提供できる段階にさえ到達しないため、実際のユーザー名はログに記録されません。
STARTTLSを使用して接続し、(誤った)ユーザー名とパスワードの組み合わせを指定すると、sendmailはまったく同じエラーをログに記録します。
openssl s_client -starttls smtp -connect localhost:25
250 HELP
AUTH LOGIN
334 VXNlcm5hbWU6
bXl1c2VybmFtZUBkb21haW4uY29t
334 UGFzc3dvcmQ6
d2Vha3Bhc3M=
535 5.7.0 authentication failed
QUIT
DONE
追加のログ行が生成されますが、その後はまったく同じイベントが発生します。
9月8日13:24:22 hbruijn sendmail [11648]:STARTTLS = server、relay = localhost [127.0.0.1]、version = TLSv1/SSLv3、verify = NO、cipher = DHE-RSA-AES256-GCM-SHA384、bits = 256/256
Sep 8 13:24:32 hbruijn sendmail [11648]:v88BOMvW011648:localhost [127.0.0.1]はMTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
愚かさによって適切に説明される悪意の属性:
私のドメインではメールは多くありませんが、ポートスキャンやブルートフォース攻撃に関する十分なインターネットバックグラウンドノイズがあります。私は過去2日間のすべてのSMTPトラフィックをキャプチャし、そのようなログイベントをトリガーするかなりの数の固有のIPアドレスに加えて、サーバーに2つのIPアドレスがあり、sendmailがAUTHはサポートされていないと応答したときに取り消せませんでした(TLSなし)結果として、それらのIPから多数の警告が出されます。
少なくとも、私が期待したとおりの2つのIPアドレスについては、ユーザー名/パスワードのリストを処理しているように見えますが、実際にはエラー制御を行わず、最初の失敗の後に後退しません(これは不思議に思います)彼らが成功したかどうか、いつ成功したかを検出できれば...)
および関連するログ:
Sep 10 04:04:34 hbruijn sendmail [7558]:v8A24YLM007558:[196.196.27.126]はMTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:34 hbruijn sendmail [7561]:v8A24Yi1007561:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:34 hbruijn sendmail [7564]:v8A24YHM007564:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:35 hbruijn sendmail [7567]:v8A24YSY007567:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:35 hbruijn sendmail [7570]:v8A24ZC2007570:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:35 hbruijn sendmail [7573]:v8A24ZYo007573:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:35 hbruijn sendmail [7576]:v8A24ZLt007576:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした
Sep 10 04:04:35 hbruijn sendmail [7579]:v8A24Zva007579:[196.196.27.126]は、MTAへの接続中にMAIL/EXPN/VRFY/ETRNを発行しませんでした