Назад | Перейти на главную страницу

Объяснение постфиксных записей в системном журнале

Мой syslog абсолютно забит postfix сообщения вроде:

Jun 28 10:27:07 myserver postfix/smtpd[28830]: connect from unknown[180.215.170.141]
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: unknown: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: 180.215.170.141: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: unknown: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: 180.215.170.141: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: smtp_stream_setup: maxtime=300 enable_deadline=0
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostname: unknown ~? 127.0.0.0/8
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? 127.0.0.0/8
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? [::ffff:127.0.0.0]/104
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostname: unknown ~? [::1]/128
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? [::1]/128
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: unknown: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: 180.215.170.141: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: send attr request = connect
Jun 28 10:27:07 myserver postfix/smtpd[28830]: send attr ident = smtp:180.215.170.141
Jun 28 10:27:07 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: status
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute name: status
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute value: 0
Jun 28 10:27:07 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: count
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute name: count
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute value: 1
Jun 28 10:27:07 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: rate
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute name: rate
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute value: 21
Jun 28 10:27:07 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: (list terminator)
Jun 28 10:27:07 myserver postfix/smtpd[28830]: input attribute name: (end)
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 220 myserver.mydomain.co.uk ESMTP Postfix (Ubuntu)
Jun 28 10:27:07 myserver postfix/smtpd[28830]: < unknown[180.215.170.141]: EHLO ylmf-pc
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: unknown: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: match_list_match: 180.215.170.141: no match
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-myserver.mydomain.co.uk
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-PIPELINING
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-SIZE 10240000
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-VRFY
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-ETRN
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-STARTTLS
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-ENHANCEDSTATUSCODES
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250-8BITMIME
Jun 28 10:27:07 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 250 DSN
Jun 28 10:27:08 myserver postfix/smtpd[28830]: < unknown[180.215.170.141]: AUTH LOGIN
Jun 28 10:27:08 myserver postfix/smtpd[28830]: > unknown[180.215.170.141]: 503 5.5.1 Error: authentication not enabled
Jun 28 10:27:08 myserver postfix/smtpd[28830]: smtp_get: EOF
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostname: unknown ~? 127.0.0.0/8
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? 127.0.0.0/8
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? [::ffff:127.0.0.0]/104
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostname: unknown ~? [::1]/128
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_hostaddr: 180.215.170.141 ~? [::1]/128
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_list_match: unknown: no match
Jun 28 10:27:08 myserver postfix/smtpd[28830]: match_list_match: 180.215.170.141: no match
Jun 28 10:27:08 myserver postfix/smtpd[28830]: send attr request = disconnect
Jun 28 10:27:08 myserver postfix/smtpd[28830]: send attr ident = smtp:180.215.170.141
Jun 28 10:27:08 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: status
Jun 28 10:27:08 myserver postfix/smtpd[28830]: input attribute name: status
Jun 28 10:27:08 myserver postfix/smtpd[28830]: input attribute value: 0
Jun 28 10:27:08 myserver postfix/smtpd[28830]: private/anvil: wanted attribute: (list terminator)
Jun 28 10:27:08 myserver postfix/smtpd[28830]: input attribute name: (end)
Jun 28 10:27:08 myserver postfix/smtpd[28830]: lost connection after AUTH from unknown[180.215.170.141]
Jun 28 10:27:08 myserver postfix/smtpd[28830]: disconnect from unknown[180.215.170.141]
Jun 28 10:27:08 myserver postfix/smtpd[28830]: master_notify: status 1
Jun 28 10:27:08 myserver postfix/smtpd[28830]: connection closed

Это просто бот пытается (и не может) получить доступ? Может ли кто-нибудь объяснить мне различные части? что происходит с match_list_match и match_hostname биты?

Почему эти журналы загромождают системный журнал, а не просто находятся в выделенном mail.log?

Помимо конфигурации назначения syslog ... похоже, вы активировали отладочный вывод Postfix (с debug_peer_list). Сделайте себе одолжение и отключите это, тогда вы получите 3-5 строк журнала вместо 100 строк на соединение.

ПК из Индии пошли мошенники и подключили свой сервер. Этот бот слишком глуп, поэтому пытается авторизоваться. К сожалению, ваш сервер не объявляет о возможности AUTH, поэтому postfix выдает ошибку 503 5.5.1 Error: authentication not enabled. Таким образом, он отключается от вашего сервера и переходит на следующий сервер жертвы. Не о чем беспокоиться.

И для второго вопроса о системном журнале OP заявил, что отредактированная строка

*.*;auth,authpriv.none;mail.none;mail.error -/var/log/syslog

в /etc/rsyslog.d/50-default.conf заставит журнал идти в журнал почты вместо системного журнала.