Понимание почтового журнала Postfix (часть II)
В моем почтовом журнале Postfix есть несколько журналов, как показано ниже:
Mar 9 06:01:10 postfix/smtpd[23043]: initializing the server-side TLS engine
Mar 9 06:01:10 postfix/smtpd[23043]: connect from mlxmail4.icicibank.com[203.27.235.122]
Mar 9 06:01:11 postfix/smtpd[23043]: setting up TLS connection from mlxmail4.icicibank.com[203.27.235.122]
Mar 9 06:01:11 postfix/smtpd[23043]: mlxmail4.icicibank.com[203.27.235.122]: TLS cipher list "ALL:+RC4:@STRENGTH"
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:before/accept initialization
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C0] (11 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C0] (11 bytes => 11 (0xB))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 16 03 01 02 00 01 00 01|fc 03 03 ........ ...
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4CE] (506 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4CE] (506 bytes => 506 (0x1FA))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 0128 - <SPACES/NULLS>
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read client hello B
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write server hello A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write certificate A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write key exchange A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write server done A
Mar 9 06:01:11 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4CBE80] (1567 bytes => 1567 (0x61F))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 061c - <SPACES/NULLS>
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 flush data
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (134 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (134 bytes => 134 (0x86))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read client key exchange A
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 14 03 03 00 01 .....
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (1 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (1 bytes => 1 (0x1))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 01 .
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 16 03 03 00 28 ....(
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (40 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (40 bytes => 40 (0x28))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read finished A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write change cipher spec A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write finished A
Mar 9 06:01:11 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4CBE80] (51 bytes => 51 (0x33))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 0030 d1 82 cb ...
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 flush data
Mar 9 06:01:11 postfix/smtpd[23043]: Anonymous TLS connection established from mlxmail4.icicibank.com[203.27.235.122]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:12 postfix/smtpd[23043]: 0000 17 03 03 00 35 ....5
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (53 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (53 bytes => 53 (0x35))
(some cipher text)
Mar 9 06:01:12 postfix/smtpd[23043]: Read 29 chars: EHLO mlxmail4.icicibank.com??
Mar 9 06:01:12 postfix/smtpd[23043]: Write 158 chars: 250-mail.xxx.com??250-PIPELINING??250
Mar 9 06:01:12 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4C6A13] (187 bytes => 187 (0xBB))
(some cipher text)
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Что попытался сделать mlxmail4.icicibank.com? Хотели ли вы отправлять спам на мою учетную запись?
1 ответ
Решение
Судя по вашему почтовому журналу и обсуждению в комментарии выше, похоже, что SMTP-клиент mlxmail4.icicibank.com работал не так, как надо. Он не отвечает после постфикса EHLO ответить
Mar 9 06:01:12 postfix/smtpd[23043]: Read 29 chars: EHLO mlxmail4.icicibank.com??
Mar 9 06:01:12 postfix/smtpd[23043]: Write 158 chars: 250-mail.xxx.com??250-PIPELINING??250
Стоит ли обращать внимание на это странное поведение?
Если у другого клиента такой же симптом, вам не о чем беспокоиться. Это не ваша ошибка постфикса.
Что попытался сделать mlxmail4.icicibank.com? Хотели ли вы отправлять спам на мою учетную запись?
Не знаю Он завис после того, как SMTP не был закончен. Но в отличие от ваших предыдущих журналов, ни одна попытка AUTH с mlxmail4.icicibank.com. Итак, пока рано делать вывод, что этот клиент хочет отправлять электронную почту на ваш сервер.
Спам активность может быть обнаружена grep статистика постфикса из anvil демон. Спаммер имеет тенденцию делать массовые рассылки в короткие сроки.