นี่ log ครับ
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.124.238] F=<atxfayecqk@yahoo.com.tw > rejected RCPT <iang.lichih@msa.hinet.net >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.124.238] F=<pkdjmral@yahoo.com.tw > rejected RCPT <mummy.blue@msa.hinet.net >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.109.150] F=<fufmebffj@yahoo.com.tw > rejected RCPT <suns.shine@msa.hinet.net >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.110.124] F=<hsrovnxefi@yahoo.com.tw > rejected RCPT <jeff912@giga.net.tw >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.109.150] F=<vtskhu@yahoo.com > rejected RCPT <a1398@ms6.hinet.net >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.124.238] F=<elvuibtmoc@yahoo.com > rejected RCPT <perfect.ying@msa.hinet.net >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.124.238] F=<aveiffbjbiv@yahoo.com.tw > rejected RCPT <sunnyboy9413@yahoo.com.tw >: authentication required
2011-10-17 13:48:19 H=(XXXXXXXXXXXXXX) [125.110.109.239] F=<ughvwqa@yahoo.com.tw > rejected RCPT <winny0717@ms61.url.com.tw >: authentication required
ส่วนเช็คที่ http://www.mxtoolbox.com
ขึ้นแบบนี้ครับ
OK - XXXXXXXX resolves to XXXXX
OK - Reverse DNS matches SMTP Banner
0 seconds - Good on Connection time
Not an open relay.
35.912 seconds - Not good! on Transaction time
log ของ exim แบบนี้หมายถึงว่าเจอยิงเข้ามาหรือเปล่าอ่ะครับ เพราะขึ้นมาถี่มากๆ วินึงเป็น 100 เลย แต่มีตั้ง iptables block ไปก่อนแล้ว
oatcpe
October 18, 2011, 2:51pm
2
ต้องเรียกว่าโดนขโมย SMTP ใช้ดีกว่า
ลองปรับ security ตรง mail server ใหม่ (ใช้ firewall ไม่ได้ผลนะ) แล้วค่อยแจ้ง unban
เดี๋ยวพอเค้าปลด ban ให้แล้วก็จะรับเมล์จาก gmail ได้เอง
mean
October 18, 2011, 2:58pm
3
ตรวจสอบ mail log ดูครับอาจถูกแอบส่งออกโดยไม่ทำการ auth ทาง smtp
หรือ อาจโดนส่งทาง cgi / php ได้ครับ
kke
October 18, 2011, 3:17pm
4
log ข้างบนไม่มีอะไร เพราะ server เราไม่ส่งให้ เนื่องจากไม่มีการ login
ส่วนที่ gmail ส่งเข้ามาไม่ได้ ก็ต้องไปเอา log ตรงนั้นมาดู
Log ที่เอามาให้ดูไม่เกี่ยวกับปัญหานะครับ
IP ไม่ได้ติด Blacklist นะครับ
แจ้งให้ IDC Shutdown + Clear CRC Errors ที่ Port ตอนนี้ก็รับ เมล์จาก gmail ได้เป็นปกติแล้วครับ
ตอนที่มีปัญหา ไม่มี log เมล์จาก gmail เข้ามาเลย เหมือนว่าค้างอยู่ที่ portสักที่หนึ่งอ่ะครับ
ถ้าโดน ยิง connection จาก SMTP มาเป็นปริมาณมากๆแบบนี้คิดว่าน่าจะมีปัญหาอีก ติดต่อแจ้งให้ IDC Block ให้ก็บอกต้องซื้อ service firewall เพิ่มเติม จะมีแนวทางแก้ปัญหาในลักษณะนี้ยังไงบ้างนะครับ ตอนนี้ก็ block ที่ iptables อยู่แล้วครับ
แต่ตอนนี้มีอีกปัญหาหนึ่ง ไม่ได้รับเมล์เนื่องจากติด policy ของพวกระบบกัน spam ในเครื่อง ลองลงใหม่หมดทั้ง exim, spamassassin, load default config exim จาก directadmin ก็ยังไม่หายครับ
อันนี้ log
2011-10-19 14:48:21 1RGQF6-0006zI-CO internal problem in domain_filter router (recipient is xxxxxxxxxx): failure to transfer data from subprocess: status=0100 readerror=‘Success’
2011-10-19 14:48:21 1RGQF6-0006zI-CO ==xxxxxxxxx R=domain_filter defer (-1): internal problem in domain_filter router (recipient is xxxxxxxxxx): failure to transfer data from subprocess: status=0100 readerror=‘Success’
พอขึ้น log แบบนี้ mail จะถูกส่งไปยัง mail queue
พอเข้าไปกด retry เมล์ก็จะเข้าไปใน inbox
มีวิธีแก้ไขบ้างมั้ยครับ