ポート25が非常にアクティブなのはなぜですか?
Netstat -naを使用すると、次のような接続がたくさんあることに気付きます。
tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED
tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED
私のサーバーは英国にありますが、これらは米国、ブラジルなどのアドレスです。
それは、スパムなどの「違法な」活動である可能性がありますか?
[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632
はい。
または少なくとも、それは試みられています。ポート25を開いている場合は、誰かがあなたを介してメールを中継しようとしていることが保証されます。ポート80を開いている場合は、誰かがサイトを悪用しようとしていることが保証されます。ポート22を開いている場合は、誰かがブルートフォース攻撃を試みていることが保証されます。パターンに気づきましたか?
あなたにとって幸運なことに、彼らはほぼ完全に素人っぽいです。ログファイル、telnet、tcpdumpなどのツールを使用して、これらが試行のみであり、スパムの中継に正常に使用されていないことを確認します。
ポート25は、SMTPトラフィックが実行される標準ポートです。あなたのシステムをあなたやあなたのユーザーに電子メールを送ろうとしている合法的なサーバーよりもあなたのシステムを電子メールサーバーにするつもりなら。システムを電子メールサーバーにするつもりがない場合は、ポート25をオフにする方法を見つけてください。
従来、電子メールサーバーは、他のサーバーに電子メールを丁寧に送信するように構成されていました。今日、これは悪い、悪い、悪いです。これは、オープンな電子メールリレーと呼ばれます。これを行っていないことを確認することをお勧めします。ただし、外の世界からの電子メールを受け入れるつもりなら、遠くまで行ってポート25のトラフィックをブロックしようとしないでください。
開く必要がある場合は、開く必要があります。 SMTP接続を受け入れる相手をロックダウンしてみてください。 DNSMXレコードサーバーをホストするオフサイトスパム/ウイルスフィルターを取得できます。次に、ネットワークからSMTPにアクセスするだけです。
Tcpポート587はRFCメール送信ポートであることに注意してください。
サーバー/コンピューターがメールサーバーの場合は、 http://mxtoolbox.com/ で確認して、オープンリレーではないかどうかを確認してください。 MxToolboxが、着信接続が害を及ぼさない可能性が最も高いと想定するのは適切ではないと言う場合(失敗した中継を試みることを除いて)。サーバーがスパムリストに含まれているかどうかを確認して、自分でスパムを送信していないことを確認できます。
このマシンにメールサーバーがありますか?
そうでない場合は、ポート(ファイアウォール)を閉じれば十分です。
「はい」の場合は、mail.log(/var/log/mail.log)を調べて、そこで何が起こっているかを確認します。誰が接続し、何が行われたかが表示されます。
IPがドメイン内の存在しないユーザーや他のドメインに大量のメールを送信しようとしている場合、またはその他の「違法な」アクティビティ(ブロックまたは成功)を送信しようとしている場合、IPが大量に送信すると、ファイアウォールにドロップします。そして毎日ですが、それは個人的な選択であり、必要なオプションではなく、すべての接続を見て一日中そこにとどまり、すべての人をブロックすることはできません!!!
その後、あなたの電子メールがそれを要求する人のために電子メールを中継しているかどうかを調べるために調査する必要があると思います。とにかく、あなたがメールサーバーを持っているなら、人々はそれを使おうとします。彼らが試みていることに対してあなたができることは何もありません...しかし、彼らが中継に成功したかどうか、または彼らがブロックされたかどうかをログで見ることができるはずです。電子メールサーバーが、信頼できないサーバーや不明なサーバー(または既知で許可されていないサーバー)を中継しないように構成されていることを確認してください!:))。
編集:今覚えています...メールサーバーがなく、ポート25が開いている場合は、他のポートも確認して、未使用のポートを閉じる必要があると思います。