пустые EHLO со всего интернета, это бот? [закрыто]
Я получил это несколько недель назад:
Transcript of session follows.
Out: 220 www.example.com ESMTP
In: EHLO
Out: 501 Syntax: EHLO hostname
In: HELO
Out: 501 Syntax: HELO hostname
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
Эти соединения приходят со всего интернета, от 2.0.0.0/8 до 221.0.0.0/8
Мой вопрос НЕ в том, как остановить это (-j DROP --dport 25) или как перестать получать почту (удалить протокол в postfix main.cf)
Мой вопрос прост: почему? Это неправильно настроенный бот? Я гуглил и видел сообщения, связанные с этим с 2006 года. Я получаю 30 таких сообщений в день или больше. Мне очень любопытно. У кого-нибудь есть больше информации об этом? Когда это началось? Что происходит?
Это все, спасибо.
Многие боты неправильно понимают имя хоста. Я подозреваю, что вы это видите. Глядя в свою почтовую базу данных, я вижу только одну такую запись. Однако многие боты вызывают задержки ответа и сдаются, прежде чем они перейдут на этап EHLO / HELO.
Я не знаю возможностей Postfix, но я откладываю ответ на соединение на несколько секунд, если записи DNS для сервера не хорошо. Правильный почтовый сервер подождет и подключится. Большинство ботов не ждут, вероятно, потому что они хотят доставлять сообщения как можно быстрее, а не как можно надежнее.
Попробуйте выполнить поиск хоста по адресам, которые не работают. Допустимые почтовые серверы вернут указатель на полное доменное имя (полное доменное имя). Это полное доменное имя почти всегда будет возвращать IP-адрес, с которого вы начали. Если не, вероятно, у вас есть бот, пытающийся подключиться. Поскольку имя пустое, это наиболее вероятно.