Назад | Перейти на главную страницу

Как удаленный IP-адрес преобразуется в localhost?

Я только что заметил это странное предупреждение в своем системном журнале:

postfix/smtpd[26261]: warning: hostname localhost does not resolve to
    address 113.167.250.138

... за которым сразу следует:

postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
    550 5.1.1 <advertising@crestore.com>: Recipient address rejected: User
    unknown; from=<bseatz@somedomain.example.com>
    to=<advertising@mydomain.example.com> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]

Поэтому я решил провести трассировку с другой машины win, и этот удаленный IP-адрес разрешился в HOSTNAME машины:

> tracert 113.167.250.138

Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:

  1  MYHOSTNAME [113.167.250.138]
  2  [2-5 removed]
  6  ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
  7  if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
  8  if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
  9  if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
 10  if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
 11  Request timed out.
 12  Request timed out.
 13  vdc.vn [123.29.5.170]
 14  vdc.vn [123.29.6.238]
 15  MYHOSTNAME [113.167.250.138]

Очевидно, что это спамер, пытающийся отправить почту на локальную учетную запись на моем сервере, но как этот IP-адрес разрешается на localhost / MYHOSTNAME двумя моими машинами?

Изменить 1: Я удалю (очевидный) IP спамера из этого вопроса сегодня позже.

Изменить 2: Что ж, любой может просто посмотреть историю изменений, поэтому я не вижу пользы в удалении IP-адреса спамера. Моды, я думаю, было бы неплохо, если вы хотите удалить IP навсегда.

Человек, владеющий IP-адресом, может разрешить ему любое имя хоста / домена, которое он хочет, а человек, который контролирует домен, может разрешить его хостам любые IP-адреса, которые они хотят.

Гораздо более вероятное объяснение состоит в том, что когда удаленный почтовый сервер подключился к вашему серверу, он отправил сообщение HELO localhost. Это сгенерирует именно ту ошибку, которую вы видите, если у вас (весьма вероятно) включен обратный поиск.

Учитывая это странное поведение с разрешением имени, возможно, что (чтобы разрешить EHLO LOCALHOST работает), спамеру удалось установить свою запись rDNS (138.250.167.113.in-addr.arpa) к IN PTR localhost..

Вы можете подтвердить это, если хотите, используя dig; На самом деле это именно то, что они сделали (и поэтому неплохо опубликовать IP злоумышленника, чтобы мы все могли его увидеть).

Затем происходит то, что ваш компьютер с Windows видит это и преобразует его в свое собственное имя (в Windows traceroute). На пути есть и другие подобные хосты (например, 113.171.5.14). Linux не сделает этого перевода.