[Diskussion:]Nameserver Trick löst Spam aus

Jop, da geht was wenn auch nicht all zuviel:
grep "helo: .localhost" /var/log/mail.info | wc -l
243
Click to expand...

Aber nur aufm Secondary MX der Primary hat längst nicht soviele.
 
Last edited by a moderator:
Hier aktiv:
Code: 
123.26.48.70
123.26.49.26
123.26.84.210
123.27.185.6
123.27.221.28
222.252.158.84
222.252.39.86
222.252.42.102
222.252.91.184
222.253.88.77
222.253.216.89
222.254.79.134
222.254.109.57
222.254.129.201
222.254.131.81
222.254.137.157
222.254.183.165
 
Was mir gerade mal so einfällt:

Angenommen ich habe einen MySQL-Server, der an die öffentliche IP gebunden ist und habe dort Benutzern bloß die Verbindung von localhost aus gestattet - müsste man mit diesem Trick sich nicht auch als ein solcher Benutzer anmelden können?
 
@ GwenDragon: Ja, das mag schon sein, nur löst die IP bei diesem Trick, von den Angreifern auch auf localhost auf.
 
Den ersten Eintrag /var/qmail/bin/relaylock: mail from 222.253.5.149:2196 (localhost) hatte ich vor etwa einem Jahr.

Damals aber alle Jubeljahre (2008 ganze 23). Massiv geworden ist's erst jetzt.

Die fragliche Zone (5.253.222.in-addr.arpa) ist übrigens laut SOA (ja, den kann man beliebig setzen) am 9.10.2006 das letzte mal geändert worden.
 
marneus said:
@ GwenDragon: Ja, das mag schon sein, nur löst die IP bei diesem Trick, von den Angreifern auch auf localhost auf.
Click to expand...
Ich habe schon verstanden, dass deren reverse DNS auf localhost auflöst. Das muss aber nicht zum Relaying führen.
Wer setzt denn bitte localhost in die Konfiguration für das erlaubte Relaying in den eigenen Mailservern?
 
Na dann kann ich das ja toppen:
grep "helo: .localhost" /var/log/mail.info | wc -l
Click to expand...
4399

Wird zwar alles verworfen, aber es nervt. Werde mal an die iptables gehen! Danke für die Info.

Haggy
 
You must log in or register to reply here.
Back
Top