내 postfix 로그를 보고 최근에 이상한 일이 일어나고 있음을 발견했습니다. 다음과 같이 RCPT TO 직후에 SMTP 세션이 종료되는 것 같았습니다.
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 220 [mydomain.com] ESMTP (Ubuntu)
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: EHLO LMSPC.[otherdomain.com]
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-[mydomain.com]
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-PIPELINING
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-SIZE 10240000
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ETRN
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-STARTTLS
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-ENHANCEDSTATUSCODES
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250-8BITMIME
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 DSN
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: MAIL From:<tobyami@LMSPC.[otherdomain.com]>
postfix/smtpd[11333]: > unknown[XXX.XXX.238.86]: 250 2.1.0 Ok
postfix/smtpd[11333]: < unknown[XXX.XXX.238.86]: RCPT To:<[myusername]@[mydomain.com]>
비교를 위해 내 로그에서 "일반" 세션의 모습은 다음과 같습니다.
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 220 [mydomain.com] ESMTP (Ubuntu)
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: EHLO mail-wg0-f52.google.com
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-[mydomain.com]
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-PIPELINING
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-SIZE 10240000
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ETRN
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-ENHANCEDSTATUSCODES
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250-8BITMIME
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 DSN
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: MAIL FROM:<[whatever]@gmail.com> SIZE=1774
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.0 Ok
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: RCPT TO:<[my username]@[mydomain.com]>
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.1.5 Ok
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: DATA
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 354 End data with <CR><LF>.<CR><LF>
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 250 2.0.0 Ok: queued as 6346912215C
postfix/smtpd[31674]: < mail-wg0-f52.google.com[74.125.82.52]: QUIT
postfix/smtpd[31674]: > mail-wg0-f52.google.com[74.125.82.52]: 221 2.0.0 Bye
첫 번째 경우에 RCPT TO를 얻은 후 내 서버가 "Ok"라고 응답하지 않는 것 같습니다. 상황이...멈추는 것 같았습니다.
여전히 이메일을 받고 있기 때문에 별로 신경쓰지 않습니다. 이전 예와 같은 이벤트는 모두 역방향 DNS가 없는 IP 또는 "이상한" 도메인에서 오는 것처럼 보입니다. 따라서 스팸 시도임에 틀림없다고 가정합니다.
그래도 여기서 무슨 일이 일어나고 있는지 알고 싶습니다. 내 서버인지 원격 서버인지 누가 먼저 연결을 끊었는지 알 수 없습니다. 둘 중 하나도 알 수 없습니다.왜연결이 끊어집니다. 내 편이었다면 왜 RCPT TO 이전에는 삭제되지 않고 이후에 삭제되었나요? 원격 측에 있는 경우, 무엇인가 전송되기 전이나 심지어 서버가 응답하기 전에 삭제되는 이유는 무엇입니까?
편집: 아이러니하게도 smtpd가 상세 모드에 있기 때문에 모든 것을 기록하지 않는 것 같습니다. 장황한 모드를 비활성화한 후 실제로 RCPT TO 이후의 모드를 거부한 것으로 나타났습니다. 하지만 자세히 설명하라는 지시를 받았을 때 왜 문서화되지 않았는지 알 수 없습니다.
답변1
여기에는 여러 가지 이유가 있을 수 있습니다.
나는 메일 서버가 올바르게 구성되었는지 확인하기 위해 이러한 테스트를 실행하곤 했습니다(특정 도메인에 대한 메일을 허용하도록 설정되어 있는지 여부). 새 메일 서버가 올바르게 설정되지 않은 상황이 있었고 사람들은 이에 대해 불평했습니다. 시스템 구성이 잘못되었다는 사실을 깨닫고 메일을 받지 못했기 때문에 메일 서버가 변경되기 전에 그때부터 이러한 테스트를 수행하기로 결정했습니다.
스팸의 관점에서 볼 때 시스템이 오픈 릴레이(잘못 구성)로 설정되어 누구나 인터넷상의 누구에게나 이메일을 보낼 수 있도록 허용하는지 테스트하는 데 사용할 수 있습니다.
http://en.wikipedia.org/wiki/Open_mail_relay
보안/인텔리전스 관점에서 해당 사람의 이메일 주소가 해당 회사에 아직 존재하는지 확인하여 해당 사람이 여전히 해당 회사에 근무하는지 확인할 수 있습니다.
이러한 유형의 예외가 발생하는 것을 본 유일한 경우는 부적절하게 설정된 보안 장치, 장치/소프트웨어 내의 버그, 이상한 DoS 공격 및 하드웨어 오류 때문이었습니다.