Hallo zusammen,
neuerdings haben wir bei einem sonst fehlerfrei laufenden System einen Schub an Fehlermeldungen im Syslog und als Benachrichtigung im Postfach des Admin. Meist nachts zw. 00:00 und 05:00 bekomme ich eine status-Mail mit dem SMTP-Protokoll. Zeitgleich füllt sich das Syslog mit Meldungen wie diesen:
Der Inhalt der Infomail an den Admin sieht so aus:
Der reguläre Mail-Verkehr ob Ein- oder Ausgang läuft anstandslos.
Hat jemand eine Idee ob und wo ich anfangen sollte zu suchen? Habe den Verdacht hierbei handelt es sich um Mails die den Proxy als SMTP-Relay missbrauchen wollen.
Bin für jeden Hinweis dankbar.
FG Mehle
neuerdings haben wir bei einem sonst fehlerfrei laufenden System einen Schub an Fehlermeldungen im Syslog und als Benachrichtigung im Postfach des Admin. Meist nachts zw. 00:00 und 05:00 bekomme ich eine status-Mail mit dem SMTP-Protokoll. Zeitgleich füllt sich das Syslog mit Meldungen wie diesen:
Aug 31 04:42:52 mx.meinedomain.tld postfix/smtpd[20622]: connect from 55-dmta.mxxx1.com[1xx.1x0.1x4.5x]
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: Anonymous TLS connection established from 5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aug 31 04:42:53 mx.meinedomain.tld pmgpolicy[20322]: SPF says pass
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: NOQUEUE: client=55-5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x]
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: warning: connect to proxy filter 127.0.0.1:10024: Connection refused
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: proxy-reject: END-OF-MESSAGE: 451 4.3.0 Error: queue file write error; from=<bounce-45xTlxGZU0W43y5b5XaX4byBLnXJSObs_UX--IwObYfM@e.vixxxl.com> to=<xx@alxxec-witxxxpf.xx> proto=ESMTP helo=<5x-dxxa.mxxp1.com>
Aug 31 04:42:53 mx.meinedomain.tld postfix/cleanup[20628]: 3701D40C4C: message-id=<20200831024253.3701D40C4C@mx.meinedomain.tld>
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: disconnect from 5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: Anonymous TLS connection established from 5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aug 31 04:42:53 mx.meinedomain.tld pmgpolicy[20322]: SPF says pass
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: NOQUEUE: client=55-5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x]
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: warning: connect to proxy filter 127.0.0.1:10024: Connection refused
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: proxy-reject: END-OF-MESSAGE: 451 4.3.0 Error: queue file write error; from=<bounce-45xTlxGZU0W43y5b5XaX4byBLnXJSObs_UX--IwObYfM@e.vixxxl.com> to=<xx@alxxec-witxxxpf.xx> proto=ESMTP helo=<5x-dxxa.mxxp1.com>
Aug 31 04:42:53 mx.meinedomain.tld postfix/cleanup[20628]: 3701D40C4C: message-id=<20200831024253.3701D40C4C@mx.meinedomain.tld>
Aug 31 04:42:53 mx.meinedomain.tld postfix/smtpd[20622]: disconnect from 5x-dxxa.mxxp1.com[1xx.1x0.1x4.5x] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7
Der Inhalt der Infomail an den Admin sieht so aus:
Transcript of session follows.
Out: 220 mx.meinedomain.tld ESMTP alxxec-witxxpf.xx
In: EHLO ready.blotsisop.com
Out: 250-mx.meinedomain.tld
Out: 250-PIPELINING
Out: 250-SIZE 26214400
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250-SMTPUTF8
Out: 250 CHUNKING
In: MAIL FROM:<markoxhmpmbfmertins@blotsisop.com> BODY=8BITMIME
Out: 250 2.1.0 Ok
In: RCPT TO:<aa@alxxec-witxxpf.xx>
Out: 250 2.1.5 Ok
In: DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 451 4.3.0 Error: queue file write error
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
Out: 220 mx.meinedomain.tld ESMTP alxxec-witxxpf.xx
In: EHLO ready.blotsisop.com
Out: 250-mx.meinedomain.tld
Out: 250-PIPELINING
Out: 250-SIZE 26214400
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250-SMTPUTF8
Out: 250 CHUNKING
In: MAIL FROM:<markoxhmpmbfmertins@blotsisop.com> BODY=8BITMIME
Out: 250 2.1.0 Ok
In: RCPT TO:<aa@alxxec-witxxpf.xx>
Out: 250 2.1.5 Ok
In: DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 451 4.3.0 Error: queue file write error
In: QUIT
Out: 221 2.0.0 Bye
For other details, see the local mail logfile
Der reguläre Mail-Verkehr ob Ein- oder Ausgang läuft anstandslos.
Hat jemand eine Idee ob und wo ich anfangen sollte zu suchen? Habe den Verdacht hierbei handelt es sich um Mails die den Proxy als SMTP-Relay missbrauchen wollen.
Bin für jeden Hinweis dankbar.
FG Mehle
