Smtp connections

[s0urce]

tcp 1 0 *.pureserv:smtp *:seaview CLOSE_WAIT
tcp 7 0 *.pureserv:smtp pD951128A.dip.t-di:4806 CLOSE_WAIT
tcp 1 0 *.pureserv:smtp apol.com.tw:lnvalarm CLOSE_WAIT
tcp 1 0 *.pureser:smtps *.dsl.:3857 CLOSE_WAIT

* ist mein zensierter hostname,aber was haben die anderen connections zu bedeuten?Ist auf den 1&1 rootservern standartmässig ein smtp server am laufen wo vieleicht relaying erlaubt ist?Das ganze kommt mir nähmlich ziemlich komisch vor...

[captaincrunch]

Schau dir an, was ganz hinten steht : CLOSE_WAIT

Spätestens die manpage zu netstat verrät, dass die "Gegenseite" die Verbindung beendet hat, und dein Rechner auf das Schließen des zugehörigen Sockets wartet. Wie kommst du auf die Annahme, dass es sich dabei um Spam handelt ?

[s0urce]

der rootserver läuft erst seit einem tag und ich frage mich woher die connections kommen bzw. warum irgendwelche leute auf meinen smtp connecten

[captaincrunch]

In dem Fall tippe ich viel eher auf Leute, die es nicht schaffen, ihren Virenscanner auf einem halbegs aktuellen Stand zu halten, bzw. gar keinen im Einsatz haben, und die ihre Würmer wahllos in die weite Welt loslassen.

Ohne Logs deines MTA können wir alle hier aber dazu nur raten.

[s0urce]

Ich habe jetzt zum ersten mal die mail log datei gecheckt welche so gross ist das sie kein normaler mensch durchlesen kann.Ausserdem habe ich sehr viele tolle 'Der Lizenzkey ist ungültig.' mails.Da scheint wohl irgendwas ziemlich schief zu laufen...

Hier mal ein paar auszüge:

Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: connect from pD951128A.dip.t-dialin.net[217.81.18.138]
Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: disconnect from pD951128A.dip.t-dialin.net[217.81.18.138]

Oct 9 22:25:06 p1514**** postfix/smtpd[29271]: warning: database /etc/postfix/access.db is older than source file /etc/postfix/access
Oct 9 22:25:37 p1514**** postfix/smtpd[29291]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical
Oct 9 22:25:37 p1514**** postfix/smtpd[29291]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual
Oct 9 22:25:37 p1514**** postfix/smtpd[29291]: warning: database /etc/postfix/relocated.db is older than source file /etc/postfix/relocated
Oct 9 22:25:37 p1514**** postfix/smtpd[29291]: warning: database /etc/postfix/access.db is older than source file /etc/postfix/access

Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: warning: 210.200.75.22: address not listed for hostname apol.com.tw
Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: connect from unknown[210.200.75.22]
Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: lost connection after CONNECT from unknown[210.200.75.22]
Oct 9 22:25:06 p1514**** postfix/smtpd[29270]: disconnect from unknown[210.200.75.22]
Oct 9 22:25:06 p1514**** postfix/smtpd[29271]: warning: database /etc/postfix/relocated.db is older than source file /etc/postfix/relocated


Oct 9 22:41:45 p1514**** postfix/local[29476]: BFA5F2F4561: to=<root@p1514****.pureserver.info>, relay=local, delay=3044, status=sent (mailbox)
Oct 9 22:41:45 p1514**** postfix/local[29475]: AADD22F4562: to=<root@p1514****.pureserver.info>, relay=local, delay=2924, status=sent (mailbox)
Oct 9 22:41:45 p1514**** postfix/local[29476]: AB8342F4563: to=<root@p1514****.pureserver.info>, relay=local, delay=2804, status=sent (mailbox)
Oct 9 22:41:45 p1514**** postfix/local[29475]: AD9442F4564: to=<root@p1514****.pureserver.info>, relay=local, delay=2684, status=sent (mailbox)
Oct 9 22:41:45 p1514**** postfix/local[29476]: AFE522F4565: to=<root@p1514****.pureserver.info>, relay=local, delay=2564, status=sent (mailbox)
Oct 9 22:41:45 p1514**** postfix/local[29475]: 605F62F4516: to=<root@p1514****.pureserver.info>, relay=local, delay=12044, status=sent (mailbox)
Oct 9 22:41:46 p1514**** postfix/local[29474]: 5C5EB2F43B6: to=<root@p1514****.pureserver.info>, relay=local, delay=54285, status=sent (mailbox)

[s0urce]

tjo,ich krieg jetzt tausende lizenzkey ungültig mails,das ist das untere bei den geposteten logs wie ich jetzt festgestellt habe,obwohl laut confixx meine lizenz gültig ist,das scheint schon so seit gestern nach der einrichtung durch die 1&1 leute gegangen zu sein,alles voll mit error und send messages.

From root@p*.pureserver.info Thu Oct 9 23:15:04 2003
Return-Path: <root@p*.pureserver.info>
Delivered-To: root@p*.pureserver.info
Received: by p*.pureserver.info (Postfix, from userid 0)
id C98D72F42BF; Wed, 8 Oct 2003 23:25:01 +0200 (CEST)
From: root@p*.pureserver.info (Cron Daemon)
To: root@p*.pureserver.info
Subject: Cron <root@p*> /root/confixx/confixx_counterscript.pl
X-Cron-Env: <MAILTO=root@p*.pureserver.info>
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=root>
Message-Id: <20031008212501.C98D72F42BF@p*.pureserver.info>
Date: Wed, 8 Oct 2003 23:25:01 +0200 (CEST)

Der Lizenzkey ist ungültig.

[schl]

Du sagst der Server läuft erst einen Tag, hm??? Vielleicht schaust'e erstmal hier rein und machst Deinen Server tauglich für die große weite Welt.

http://www.netsecond.net/howto

sCHL

[s0urce]

Das howto kenne ich wohl,das mit der confixx lizenz war auch nur nebensächlich und wurde auch behoben,was mich nur interessiert wären die connections der IPs zu meinem smtp und der zusammenhang zu den fehlermeldungen.