Perchè libero e hotmail mi floodano la 25?

[usu]

Stavo analizzando il traffico bloccato da iptables degli utlimi giorni e mi sono accorto che la maggior parte sono pacchetti indirizzati alla porta 25 e provenienti da server libero e (molto meno) hotmail.

Ad esempio:

Codice:

Jul 17 17:20:21 kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:30:48:b8:ad:e0:00:09:13:4b:2a:c2:08:00 SRC=212.52.84.151 DST=91.121.223.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=16257 DF PROTO=TCP SPT=24021 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0

Jul 17 19:52:48 kernel: ** IN_TCP DROP ** IN=eth0 OUT= MAC=00:30:48:b8:ad:e0:00:09:13:4b:2a:c2:08:00 SRC=65.55.34.81 DST=91.121.223.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=21782 DF PROTO=TCP SPT=31547 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

La posta dell'unico dominio hostato sul server è su google apps, le uniche mail inviate direttamente dal server sono inviate tramite mail() da sendmail.

Cioè solo tra ieri e oggi i pacchetti diretti alla porta 25 bloccati sono stati 20000 (il 73% dei totali) provenienti da:

5887 29.90% mailrelay16.libero.it
5771 29.31% mailrelay05.libero.it
1134 5.76% smtp-sym-ip.libero.it
624 3.17% bay0-omc2-s1.bay0.hotmail.com
291 1.48% iron.libero.it
152 0.77% col0-omc2-s7.col0.hotmail.com

Che cazzo vogliono?

[GrG]

Hotmail tempo fa faceva verifiche idiote sui domini.

Se mandavi una mail da @grg-web.eu questo risolveva in A grg-web.eu e provava a contattargli la 25.

Ma non può far così tanto traffico. Non hai MX morti in giro?

[usu]

Hotmail tempo fa faceva verifiche idiote sui domini.

Se mandavi una mail da @grg-web.eu questo risolveva in A grg-web.eu e provava a contattargli la 25.

Eh infatti ho pensato ad una cosa del genere, ma per libero parliamo di un numero pazzesco di tentativi O.O

Ma non può far così tanto traffico. Non hai MX morti in giro?

Assolutamente no, a meno che questi non si tengano in cache gli MX di 3 anni fa

[Uno]

Ma quindi tu li blocchi a prescindere perchè tanto non ricevi mail sul server, giusto?

Potrebbe essere qualche spammer che passando per quei due cerca indirizzi mail che rispondano, ma tu li blocchi prima quindi sui log non hai le richieste

[EvolutionCrazy]

sblocca la porta e fai un po' di dump per capire cosa tentano di comunicare :P

[GrG]

Si esatto apri un attimo poi leggi i log.

[usu]

Dopo provo e vi faccio sapere

@Uno: sì, le uniche porte aperte sono ssh, web e ftp

[usu]

Ecco cosa sono riuscito a catturare con tshark:

25 CHIUSA:

Codice:

HOTMAIL:

  0.000000 65.54.190.76 -> 91.121.223.XXX TCP 18081 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
  3.039176 65.54.190.76 -> 91.121.223.XXX TCP 18081 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
  9.054648 65.54.190.76 -> 91.121.223.XXX TCP 18081 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460

LIBERO:

 12.761592 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 15.796671 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 19.029643 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 22.266589 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 25.481838 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 28.717376 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 35.007451 212.52.84.69 -> 91.121.223.XXX TCP [TCP Port numbers reused] 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 47.370571 212.52.84.69 -> 91.121.223.XXX TCP 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
 71.812505 212.52.84.69 -> 91.121.223.XXX TCP [TCP Port numbers reused] 12866 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
132.891722 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
135.922258 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
139.137956 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
142.363117 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
145.588187 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
148.833121 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
155.093171 212.52.84.69 -> 91.121.223.XXX TCP [TCP Port numbers reused] 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
167.379840 212.52.84.69 -> 91.121.223.XXX TCP 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
191.846773 212.52.84.69 -> 91.121.223.XXX TCP [TCP Port numbers reused] 14647 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380

25 APERTA:

Codice:

HOTMAIL:

48.711248 65.54.190.76 -> 91.121.223.XXX TCP 5877 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
48.711299 91.121.223.XXX -> 65.54.190.76 TCP smtp > 5877 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
49.344080 65.54.190.76 -> 91.121.223.XXX TCP 5877 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
49.344136 91.121.223.XXX -> 65.54.190.76 TCP smtp > 5877 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
50.001576 65.54.190.76 -> 91.121.223.XXX TCP 5877 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
50.001629 91.121.223.XXX -> 65.54.190.76 TCP smtp > 5877 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
289.528620 65.54.190.76 -> 91.121.223.XXX TCP 9973 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
289.528655 91.121.223.XXX -> 65.54.190.76 TCP smtp > 9973 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
290.177050 65.54.190.76 -> 91.121.223.XXX TCP 9973 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
290.177094 91.121.223.XXX -> 65.54.190.76 TCP smtp > 9973 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
290.723974 65.54.190.76 -> 91.121.223.XXX TCP 9973 > smtp [SYN] Seq=0 Win=65535 Len=0 MSS=1460
290.724018 91.121.223.XXX -> 65.54.190.76 TCP smtp > 9973 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

LIBERO:

61.280749 212.52.84.69 -> 91.121.223.XXX TCP nicetec-mgmt > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
61.280785 91.121.223.XXX -> 212.52.84.69 TCP smtp > nicetec-mgmt [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
121.312020 212.52.84.69 -> 91.121.223.XXX TCP ttntspauto > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
121.312056 91.121.223.XXX -> 212.52.84.69 TCP smtp > ttntspauto [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
181.445911 212.52.84.69 -> 91.121.223.XXX TCP remctl > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
181.445942 91.121.223.XXX -> 212.52.84.69 TCP smtp > remctl [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
242.322880 212.52.84.69 -> 91.121.223.XXX TCP 5103 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
242.322933 91.121.223.XXX -> 212.52.84.69 TCP smtp > 5103 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
302.455821 212.52.84.69 -> 91.121.223.XXX TCP 5915 > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1380
302.455871 91.121.223.XXX -> 212.52.84.69 TCP smtp > 5915 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Nei log di sendmail non compare nulla, sinceramente non capisco proprio che stanno cercando di comunicare

[GrG]

Cioè zero totale? Aprono la connessione ma niente SMTP?