Понимание постфиксного почтового журнала (вторая часть)
Существует несколько журналов как ниже в моем Постфиксном почтовом журнале:
Mar 9 06:01:10 postfix/smtpd[23043]: initializing the server-side TLS engine
Mar 9 06:01:10 postfix/smtpd[23043]: connect from mlxmail4.icicibank.com[203.27.235.122]
Mar 9 06:01:11 postfix/smtpd[23043]: setting up TLS connection from mlxmail4.icicibank.com[203.27.235.122]
Mar 9 06:01:11 postfix/smtpd[23043]: mlxmail4.icicibank.com[203.27.235.122]: TLS cipher list "ALL:+RC4:@STRENGTH"
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:before/accept initialization
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C0] (11 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C0] (11 bytes => 11 (0xB))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 16 03 01 02 00 01 00 01|fc 03 03 ........ ...
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4CE] (506 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4CE] (506 bytes => 506 (0x1FA))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 0128 - <SPACES/NULLS>
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read client hello B
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write server hello A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write certificate A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write key exchange A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write server done A
Mar 9 06:01:11 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4CBE80] (1567 bytes => 1567 (0x61F))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 061c - <SPACES/NULLS>
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 flush data
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (134 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (134 bytes => 134 (0x86))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read client key exchange A
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 14 03 03 00 01 .....
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (1 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (1 bytes => 1 (0x1))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 01 .
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:11 postfix/smtpd[23043]: 0000 16 03 03 00 28 ....(
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (40 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (40 bytes => 40 (0x28))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 read finished A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write change cipher spec A
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 write finished A
Mar 9 06:01:11 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4CBE80] (51 bytes => 51 (0x33))
(some cipher text)
Mar 9 06:01:11 postfix/smtpd[23043]: 0030 d1 82 cb ...
Mar 9 06:01:11 postfix/smtpd[23043]: SSL_accept:SSLv3 flush data
Mar 9 06:01:11 postfix/smtpd[23043]: Anonymous TLS connection established from mlxmail4.icicibank.com[203.27.235.122]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Mar 9 06:01:11 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => 5 (0x5))
Mar 9 06:01:12 postfix/smtpd[23043]: 0000 17 03 03 00 35 ....5
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (53 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C8] (53 bytes => 53 (0x35))
(some cipher text)
Mar 9 06:01:12 postfix/smtpd[23043]: Read 29 chars: EHLO mlxmail4.icicibank.com??
Mar 9 06:01:12 postfix/smtpd[23043]: Write 158 chars: 250-mail.xxx.com??250-PIPELINING??250
Mar 9 06:01:12 postfix/smtpd[23043]: write to 7FE9DE41E2C0 [7FE9DE4C6A13] (187 bytes => 187 (0xBB))
(some cipher text)
Mar 9 06:01:12 postfix/smtpd[23043]: read from 7FE9DE41E2C0 [7FE9DE4BE4C3] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF))
Что mlxmail4.icicibank.com пытался сделать? Это хотело отправить спам в мой почтовый ящик?
-1
задан rei
16 March 2015 в 05:40
Ссылка
1 ответ
Основываясь на вашем почтовом блоге и обсуждении в комментарии выше , выглядит так, будто SMTP клиент mlxmail4.icicibank.com был неправильным . Он не отвечает после постфиксного EHLO ответа
Mar 9 06:01:12 postfix/smtpd[23043]: Read 29 chars: EHLO mlxmail4.icicibank.com??
Mar 9 06:01:12 postfix/smtpd[23043]: Write 158 chars: 250-mail.xxx.com??250-PIPELINING??250
Должен ли я обратить внимание на это странное поведение?
Если только у другого клиента нет такого же симптома, тогда вам не о чем беспокоиться. Это не ваша вина после исправления.
Что пытался сделать сайт mlxmail4.icicibank.com? Хотел ли он отправлять спам на мою электронную почту?
Не знаю. Он повесил трубку после того, как SMTP не был закончен. Но в отличие от ваших предыдущих логов , никаких попыток AUTH от mlxmail4.icicibank.com. Таким образом, еще слишком рано делать вывод, что этот клиент хочет отправлять письма на ваш сервер.
Спам может быть обнаружен с помощью grep-попытки постфиксной статистики с anvil демона. Спамер склонен делать массовую рассылку за короткое время.
3