У меня есть настройка logcheck, чтобы отправлять мне ежечасные обновления моих файлов журналов, и в течение последних двух дней я получаю эту запись один раз в час в моем /var/log/mail.warn:
Nov 17 12:36:02 mailserv postfix/smtpd[4114]: warning: hostname secure.sitesdns.com does not resolve to address 77.92.66.3: Name or service not known
Итак, я попытался узнать больше о том, что здесь происходит, и нашел соответствующие строки в /var/log/mail.info:
Nov 17 12:36:02 mailserv postfix/postscreen[6112]: CONNECT from [77.92.66.3]:43778 to [my IP]:25
Nov 17 12:36:02 mailserv postfix/postscreen[6112]: PASS OLD [77.92.66.3]:43778
Nov 17 12:36:02 mailserv postfix/smtpd[6117]: warning: hostname secure.sitesdns.com does not resolve to address 77.92.66.3: Name or service not known
Nov 17 12:36:02 mailserv postfix/smtpd[6117]: connect from unknown[77.92.66.3]
Nov 17 12:36:02 mailserv postfix/smtpd[6117]: NOQUEUE: reject: RCPT from unknown[77.92.66.3]: 450 4.7.1 Client host rejected: cannot find your hostname
Nov 17 12:36:02 mailserv postfix/smtpd[6117]: disconnect from unknown[77.92.66.3]
Я не совсем понял все, что здесь происходит, но «ПРОЙДИТЕ СТАРЫЙ» означает, что он временно занесен в белый список постэкраном Postfix, поэтому я пошел, чтобы найти первый экземпляр, который был два дня назад:
Nov 15 03:17:12 mailserv postfix/postscreen[4486]: CONNECT from [77.92.66.3]:41907 to [my IP]:25
Nov 15 03:17:18 mailserv postfix/postscreen[4486]: PASS NEW [77.92.66.3]:41907
Nov 15 03:17:18 mailserv postfix/smtpd[4491]: warning: hostname secure.sitesdns.com does not resolve to address 77.92.66.3: Name or service not known
Nov 15 03:17:18 mailserv postfix/smtpd[4491]: connect from unknown[77.92.66.3]
Nov 15 03:17:18 mailserv postfix/smtpd[4491]: NOQUEUE: reject: RCPT from unknown[77.92.66.3]: 450 4.7.1 Client host rejected: cannot find your hostname
Nov 15 03:17:18 mailserv postfix/smtpd[4491]: disconnect from unknown[77.92.66.3]
С тех пор эта запись появляется примерно каждые 70 минут.
Очевидно, я не первый, кто получил эту запись в журнале, поэтому я пытался найти решения в Google, но в большинстве случаев это просто указывает на то, что мое собственное имя хоста не разрешено для моего собственного IP. Но проблема не в этом. Мне просто интересно, скомпрометирован ли мой сервер каким-либо образом.
Что касается настроек почтового сервера, это сервер Debian 8.5 со всеми настройками, точно такими, как описано в этом руководстве (руководство на немецком языке, но все настройки можно найти там):
Любая помощь приветствуется - даже если она просто объясняет, что именно означают эти вещи, поскольку я даже не совсем уверен, что там происходит.