Discussion:
91.92.242.0/23 haufenweise Verbindungen zum MTA, aber nie eine Mail gesendet
(zu alt für eine Antwort)
Marco Moock
2023-11-18 16:17:26 UTC
Permalink
Hallo zusammen!

Ich sehe aus de, o.g. Netz viele Verbindungen, die aber keinen Befehl
absetzen.

Nov 18 04:00:58 srv1.dorfdsl.de sm-mta[11116]: 3AI30wPC011116: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 04:10:22 srv1.dorfdsl.de sm-mta[11125]: 3AI3AJxq011125: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 04:26:48 srv1.dorfdsl.de sm-mta[11162]: 3AI3QmI2011162: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 04:40:54 srv1.dorfdsl.de sm-mta[11194]: 3AI3eqtK011194: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 04:52:44 srv1.dorfdsl.de sm-mta[11202]: 3AI3qi7E011202: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 05:15:22 srv1.dorfdsl.de sm-mta[11240]: 3AI4FKCV011240: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 05:18:50 srv1.dorfdsl.de sm-mta[11246]: 3AI4Ioxl011246: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 05:45:19 srv1.dorfdsl.de sm-mta[11305]: 3AI4jJPG011305: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 06:04:57 srv1.dorfdsl.de sm-mta[11339]: 3AI54ugx011339: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 06:12:07 srv1.dorfdsl.de sm-mta[11348]: 3AI5C7ET011348: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 06:38:40 srv1.dorfdsl.de sm-mta[11508]: 3AI5cePw011508: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 06:39:35 srv1.dorfdsl.de sm-mta[11509]: 3AI5dZTv011509: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 07:05:13 srv1.dorfdsl.de sm-mta[11678]: 3AI65DrP011678: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 07:12:53 srv1.dorfdsl.de sm-mta[11683]: 3AI6Cnhs011683: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 07:31:48 srv1.dorfdsl.de sm-mta[11726]: 3AI6Vmh6011726: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 07:51:46 srv1.dorfdsl.de sm-mta[11772]: 3AI6pcfR011772: [91.92.241.95] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 07:58:05 srv1.dorfdsl.de sm-mta[11778]: 3AI6w45w011778: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 08:24:30 srv1.dorfdsl.de sm-mta[11845]: 3AI7OUqI011845: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 08:50:47 srv1.dorfdsl.de sm-mta[11878]: 3AI7olqZ011878: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 09:16:39 srv1.dorfdsl.de sm-mta[11920]: 3AI8Gdl0011920: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 09:42:09 srv1.dorfdsl.de sm-mta[11978]: 3AI8g9Hp011978: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 10:08:12 srv1.dorfdsl.de sm-mta[12016]: 3AI98CUH012016: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 10:34:28 srv1.dorfdsl.de sm-mta[12054]: 3AI9YSV4012054: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 11:01:00 srv1.dorfdsl.de sm-mta[12116]: 3AIA10j2012116: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 11:27:22 srv1.dorfdsl.de sm-mta[12164]: 3AIARM2p012164: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 11:53:03 srv1.dorfdsl.de sm-mta[12205]: 3AIAr3C0012205: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 12:18:51 srv1.dorfdsl.de sm-mta[12256]: 3AIBIpFs012256: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 12:44:36 srv1.dorfdsl.de sm-mta[12314]: 3AIBiaAH012314: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 13:10:28 srv1.dorfdsl.de sm-mta[12358]: 3AICASmU012358: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 13:36:07 srv1.dorfdsl.de sm-mta[12400]: 3AICa7Mu012400: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 14:01:42 srv1.dorfdsl.de sm-mta[12465]: 3AID1g1O012465: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 14:27:15 srv1.dorfdsl.de sm-mta[12509]: 3AIDRF1i012509: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 14:52:31 srv1.dorfdsl.de sm-mta[12555]: 3AIDqV1j012555: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 15:17:56 srv1.dorfdsl.de sm-mta[12597]: 3AIEHuIe012597: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 15:42:47 srv1.dorfdsl.de sm-mta[12698]: 3AIEglRZ012698: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 16:07:30 srv1.dorfdsl.de sm-mta[12742]: 3AIF7UUF012742: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 16:32:19 srv1.dorfdsl.de sm-mta[12803]: 3AIFWJjl012803: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
Nov 18 16:57:34 srv1.dorfdsl.de sm-mta[12854]: 3AIFvYNA012854: [91.92.242.137] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Bei uceprotect ist das ein Spammernetz.
http://www.uceprotect.net/de/rblcheck.php

Was ist der Zweck dieser Verbindungen, wenn keine Mail geschickt wird?
Ich habe das Netz jetzt auf die Firewall-Backlist gepackt, da wird
sicher kein legitimer Nutzer nen Mailserver haben, weil der eh in fast
allen Listen drin ist.
--
Gruß
Marco
Marco Moock
2023-11-19 18:31:01 UTC
Permalink
Post by Marco Moock
Ich habe das Netz jetzt auf die Firewall-Backlist gepackt, da wird
sicher kein legitimer Nutzer nen Mailserver haben, weil der eh in fast
allen Listen drin ist.
Seit ein paar Stunden ist Ruhe. Ich beobachte das mal noch ein paar
Tage und werde den dann mal wieder von der FW entfernen und gucken, was
dann passiert.
Paul Muster
2023-11-20 08:53:43 UTC
Permalink
Post by Marco Moock
Post by Marco Moock
Ich habe das Netz jetzt auf die Firewall-Backlist gepackt, da wird
sicher kein legitimer Nutzer nen Mailserver haben, weil der eh in fast
allen Listen drin ist.
Seit ein paar Stunden ist Ruhe. Ich beobachte das mal noch ein paar
Tage und werde den dann mal wieder von der FW entfernen und gucken, was
dann passiert.
Kein Thema, womit man sich lange beschäftigen müsste. Entsprechende
Regel in fail2ban einbauen, fertig.


mfG Paul
Andreas Kohlbach
2023-11-20 23:22:44 UTC
Permalink
Post by Paul Muster
Post by Marco Moock
Post by Marco Moock
Ich habe das Netz jetzt auf die Firewall-Backlist gepackt, da wird
sicher kein legitimer Nutzer nen Mailserver haben, weil der eh in fast
allen Listen drin ist.
Seit ein paar Stunden ist Ruhe. Ich beobachte das mal noch ein paar
Tage und werde den dann mal wieder von der FW entfernen und gucken, was
dann passiert.
Kein Thema, womit man sich lange beschäftigen müsste. Entsprechende
Regel in fail2ban einbauen, fertig.
Obwohl mein Port 25 zum Internet offen ist (Rechner ist auch in der DMZ),
blockiert mein ISP den leider eingehend. Wäre sicher interessant zu sehen,
was da abgeht. Meine IP ist vermutlich ein interessantes Ziel, da ich sie
seit drei Jahren habe.

SSH und HTTP sind auch offen, und da ist viel los. Und die meisten versuchen
"root" als User... Sollte es nicht wahrscheinlicher sein, dass der (wie
auch hier) deaktiviert ist, dass man andere versuchen sollte?

Bei SMTP vermute ich aber einen noch größeren Traffic als bei SSH.
--
Andreas
Marco Moock
2023-11-21 07:38:08 UTC
Permalink
Post by Andreas Kohlbach
SSH und HTTP sind auch offen, und da ist viel los. Und die meisten
versuchen "root" als User... Sollte es nicht wahrscheinlicher sein,
dass der (wie auch hier) deaktiviert ist, dass man andere versuchen
sollte?
Das ist bei Ubuntu so, einige andere Systeme haben root aktiv.
Post by Andreas Kohlbach
Bei SMTP vermute ich aber einen noch größeren Traffic als bei SSH.
Bei SMTP ist hier über IPv4 gar nicht so viel los.
Paar mal keinen Befehl und paar Mal Auth-Tests.

SSH und Telnet viel mehr, aber da gibt es ein ICMP administratively
prohibited.

Ich hatte das mal über IPv4 offen, da kamen massenhaft Loginversuche.
Marco Moock
2023-11-23 07:46:02 UTC
Permalink
Post by Marco Moock
Seit ein paar Stunden ist Ruhe. Ich beobachte das mal noch ein paar
Tage und werde den dann mal wieder von der FW entfernen und gucken,
was dann passiert.
Gestern kamen wieder ein paar Versuche, die haben noch nicht aufgegeben.
Stefan Möding
2023-11-26 10:54:12 UTC
Permalink
Post by Marco Moock
Was ist der Zweck dieser Verbindungen, wenn keine Mail geschickt wird?
Inkompetenz.

Ich vermute, du hast SMTP AUTH deaktiviert oder erlaubst das nur nach
STARTTLS. Bei mir kommen mit dieser Konfiguration derartig regelmäßige
Verbindung auch vor. Da wird ohne STARTTLS ein SMTP AUTH versucht und bei
einer Fehlermeldung des MTA die Verbindung wieder geschlossen. Ohne
MAIL/EXPN/VRFY/ETRN gibt es aber die gezeigte Fehlermeldung im Log.

Die Script-Kiddies probieren es dann später nochmal und hoffen offenbar,
dass du in der Zwischenzeit deinen Mailer "repariert" hast.
--
Stefan
Stefan Möding
2023-11-26 17:57:27 UTC
Permalink
Post by Stefan Möding
Post by Marco Moock
Was ist der Zweck dieser Verbindungen, wenn keine Mail geschickt wird?
Inkompetenz.
Ich vermute, du hast SMTP AUTH deaktiviert oder erlaubst das nur nach
STARTTLS. Bei mir kommen mit dieser Konfiguration derartig regelmäßige
Verbindung auch vor. Da wird ohne STARTTLS ein SMTP AUTH versucht und bei
einer Fehlermeldung des MTA die Verbindung wieder geschlossen. Ohne
MAIL/EXPN/VRFY/ETRN gibt es aber die gezeigte Fehlermeldung im Log.
Die Script-Kiddies probieren es dann später nochmal und hoffen offenbar,
dass du in der Zwischenzeit deinen Mailer "repariert" hast.
Um das potentielle Missverständnis zu vermeiden bzw. gerade zu rücken:
ich meinte die Inkompetenz der Script-Kiddies, die immer wieder auf den
gleichen Fehler laufen und trotzdem die IP immer wieder probieren.

Sorry, falls die Wortwahl eine andere Deutung zuließ!
--
Stefan
Andreas Kohlbach
2023-11-27 02:24:41 UTC
Permalink
Post by Stefan Möding
Post by Stefan Möding
Post by Marco Moock
Was ist der Zweck dieser Verbindungen, wenn keine Mail geschickt wird?
Inkompetenz.
[...]
Post by Stefan Möding
ich meinte die Inkompetenz der Script-Kiddies, die immer wieder auf den
gleichen Fehler laufen und trotzdem die IP immer wieder probieren.
Sorry, falls die Wortwahl eine andere Deutung zuließ!
Zumindest ich habe es aus dem Kontext heraus gleich richtig gedeutet. War
IMO doch eindeutig, was gemeint war. :-)
--
Andreas
Marco Moock
2023-11-27 09:01:46 UTC
Permalink
Post by Marco Moock
Bei uceprotect ist das ein Spammernetz.
http://www.uceprotect.net/de/rblcheck.php
Ich habe die Firewall nun deaktiviert und im sendmail uceprotect Level
1 eingerichtet.
Mal gespannt, ob die es weiterhin probieren, wenn es eine 550 5.7.1
gibt.
Marco Moock
2023-11-29 08:17:34 UTC
Permalink
Post by Marco Moock
Ich habe die Firewall nun deaktiviert und im sendmail uceprotect Level
1 eingerichtet.
Mal gespannt, ob die es weiterhin probieren, wenn es eine 550 5.7.1
gibt.
Geändert hat sich nix, es scheint die Gegenseite (sind Windows-Server
mit offenen Ports, NetBIOS, SMB & Co.). nicht zu stören.

Loading...