[Exim-users] exim 4.90 странные ошибки в логах

Thu, 04 Jan 2018 15:21:07 -0800 

Привет всем.

Обнаружился сабж, с которым ранее не сталкивался:

2018-01-04 11:28:10 no host name found for IP address 163.53.168.95
2018-01-04 11:28:17 H=(163.53.168.95) [163.53.168.95] Warning:
Inconsistent or no DNS PTR record
2018-01-04 11:28:17 H=(163.53.168.95) [163.53.168.95] Warning: HELO is IP
address
2018-01-04 11:28:17 H=(163.53.168.95) [163.53.168.95] Warning: IP-address
seems to belong to cn
2018-01-04 11:28:17 H=(163.53.168.95) [163.53.168.95] Warning: Listed in
DNSBL zen.spamhaus.org
2018-01-04 11:28:18 H=(163.53.168.95) [163.53.168.95] Warning: Listed in
DNSBL cbl.abuseat.org
2018-01-04 11:28:20 H=(163.53.168.95) [163.53.168.95] F=<au...@gmail.com>
temporarily rejected RCPT <u...@example.com>: invalid "condition" value
"1Secure Shell Login
2018-01-04 11:28:22 unexpected disconnection while reading SMTP command
from (163.53.168.95) [163.53.168.95] D=12s

Есть три такие записи в логе:

         1   Temporarily rejected RCPT: invalid "condition" value "1Secure
Shell Login
         1   Temporarily rejected RCPT: invalid "condition" value "1t     
           23/udp
         1   Temporarily rejected RCPT: invalid "condition" value "1udp   
       #Secure
Shell Login

Похоже на куски из /etc/services.

Везде в логах есть только открытие кавычек перед этими странными сообщениями.

Судя по всему, сервер выдавал:
451 Temporary local problem - please try later

После проверки IP в DNSBL оценивается количество набранных очков. Если их
очень много - IP заносится в локальный блеклист с дропом соединения, что и
должно было произойти в данном случае:

  drop    message       = Your host looks like malicious spam sender\nIP
$sender_host_address added to BlackList\nDetails:\n$acl_c_bouncemessage
          log_message   = IP $sender_host_address added to BlackList
          condition     = ${if >{$acl_c_spamscore}{50}}
          condition     = ${lookup mysql { insert into blacklist_ips
(relay_ip,create_time)\
                                           values
('${quote_mysql:$sender_host_address}',now());
}}

Как куски /etc/services могли просочиться в кондишен? Или это - 4.90 такой
глючный?

Обычно приходит куча ботов и успешно влетает в блеклист. Вот - пример:

         1   Rejected RCPT: BlackListed IP 60.177.224.28
         1   Rejected RCPT: IP 190.13.106.220 added to BlackList
         1   Rejected RCPT: IP 60.177.224.28 added to BlackList
         1   Rejected RCPT: IP 61.190.99.62 added to BlackList

-- 
Alexander Sheiko


_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Ответить