Hilfe zum Verständnis ( ich kapiers net )

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Hilfe zum Verständnis ( ich kapiers net )

Post by twisterchen » 2017-01-29 23:46

Hallo
ich bekomme alle paar minuten solche einträge:

Code: Select all

postfix/smtpd[29413]: warning: hostname dedic869.hidehost.net does not resolve to address 91.200.12.166: Name or service not known
zum testen habe ich mal die ips gedropt.

Code: Select all

/sbin/iptables -A INPUT -p all -d 46.161.9.0/24 -j DROP
/sbin/iptables -A INPUT -p all -d 91.200.0.0/16 -j DROP
/sbin/iptables -A INPUT -p all -d 94.102.0.0/16 -j DROP
/sbin/iptables -A INPUT -p all -d 93.174.91.0/24 -j DROP

/sbin/iptables -A OUTPUT -p all -d 46.161.9.0/24 -j DROP
/sbin/iptables -A OUTPUT -p all -d 91.200.0.0/16 -j DROP
/sbin/iptables -A OUTPUT -p all -d 94.102.0.0/16 -j DROP
/sbin/iptables -A OUTPUT -p all -d 93.174.91.0/24 -j DROP
die einträge kommen trotzdem, was verstehe ich hier falsch ?? was kann ich tun damit diese einträge nicht mehr kommen ??

Gruss
Twisterchen

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 400
Joined: 2008-03-12 05:36

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by rudelgurke » 2017-01-30 13:21

Mit "-d" ist wohl Destination gemeint. Richtiger wäre wohl "-s" um die Quelle zu blocken. Statt

iptables -A INPUT -d 127.256.257.258 -j REJECT

ein

iptables -A INPUT -s 127.256.257.258 -j REJECT

Die OUTPUT Regeln kann man sich dann eigentlich schenken, es sei denn man verschickt wirklich etwas in die Richtung.

Ggf. kann man, falls noch offene Verbindungen bestehen, mit "tcpkill" dagegen "treten" und von sich aus die Verbindung dicht machen.

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by twisterchen » 2017-01-30 14:50

Ok vielen dank das mit den IPTABLES könnte ich verbessern........

leider geht das nicht in mein Gehirn:

Code: Select all

Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: warning: hostname dedic865.hidehost.net does not resolve to address 91.200.12.101: Name or service not known 
Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: lost connection after AUTH from unknown[91.200.12.101]

Code: Select all

hostname dedic865.hidehost.net
sagt mir nichts und ich kann auch keinen WHOIS drauf machen aber auf die IP 91.200.12.101 schon

Warum kommen diese Einträge zusatand ?? und wie kann ich herausfinden warum hostname dedic865.hidehost.net does not resolve to address 91.200.12.101

mich stören diese einträge einfach und will verstehen warum
;)
Vielen Dank für euer Bemühen

jan10001
Anbieter
Posts: 727
Joined: 2004-01-02 12:17

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by jan10001 » 2017-01-30 15:53

Besagt nur das dein Server die IP für "dedic865.hidehost.net" nicht ermitteln kann. Viele Server prüfen ob Hostname und IP zusammen passen, was hier nicht der Fall ist. Vermutlich ist das ein Spammer.

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by twisterchen » 2017-01-30 18:36

Vielen Dank auch dafür, verstehe ich auch, aber wie kommt die Anfrage in mein Server ??

ich habe oben angegeben

Code: Select all

/sbin/iptables -A INPUT -s all -d 46.161.9.0/24 -j REJECT
/sbin/iptables -A INPUT -s all -d 91.200.0.0/16 -j REJECT
/sbin/iptables -A INPUT -s all -d 94.102.0.0/16 -j REJECT
/sbin/iptables -A INPUT -s all -d 93.174.91.0/24 -j REJECT
wie man sieht ist der ganze Adressebereich 91.200.0.0/16 geblockt verworfen wie auch immer,
somit dürfte dieser spammer doch gar nicht bis zur abfrage kommen oder sich überhaupt versuchen
zu können, Anzumelden.

Wenn ich euch nerfe sagt es, aber ich verstehe somit nicht warum diese einträge überhaupt noch
vorhanden sind.

Code: Select all

Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: warning: hostname dedic865.hidehost.net does not resolve to address 91.200.12.101: Name or service not known 
Jan 30 14:40:43 XXXXXXXXXXXXXXX postfix/smtpd[1679]: lost connection after AUTH from unknown[91.200.12.101]
Gruss

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by Joe User » 2017-01-30 20:31

Das ist lediglich ein generischer Hostname wie ihn nahezu alle Serveranbieter für ihre Kundensysteme vergeben. Zu diesen Hostnamen vergeben allerdings nur die wenigsten Serveranbieter auch einen passenden PTR und/oder A Record im DNS.

Letzteres bemängelt Dein Mailserver und kann ruhigen Gewissens ignoriert werden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1125
Joined: 2011-07-04 10:56

Re: Hilfe zum Verständnis ( ich kapiers net )

Post by ddm3ve » 2017-02-01 21:23

Also die "korrekte" CIDR wäre wohl: 91.200.12.0/22

Prüfe mal auf Deinem System, ob er nicht eine Verbindung offen gehalten hat. Im Zweifel den Mailserver kurz durch starten.
Die Verbindung wird nicht automatisch rejected, wenn sie noch besteht.

Also prüfe ggf. mit netstat ob und welche Verbindungen noch bestehen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.