2011年3月 8日

[postfix-jp: 3902] Re:non-SMTP commandについて

木谷と申します。

postfix2.2から追加された「smtpd_forbidden_commands」のようですね。
postfix2.8から追加されたpostscreenはデフォルトでこれをチェックして拒否するようです。
http://www.postfix.org/POSTSCREEN_README.html の「Non-SMTP command test」

2011年3月8日12:13 Shigeo Honda <shigeo.honda@xxxxx>:
> 本多です。

>
> 以下に同じ現象に該当する記述があるようです。
>
> http://www.irbs.net/internet/postfix/0807/0923.html
>
> まだ詳細を読んでいませんが、ログにもあるように、SMTPではないコマンド(HTTPのリクエスト)を送りつけて、経由できるProxyを探しているのが目的のようです。
>
> ご参考まで。
>
>
> 2011/2/28 <momoko@xxxxx>:
>> お世話になっております、広瀬と申します
>>
>>
>> 今年の1月末頃からですが、メールログに以下のようなメッセージが
>> 散見されるようになりました。
>>
>> Jan 29 09:09:45 mail postfix/smtpd[16416]: warning: non-SMTP command from loft4325.serverloft.com[188.138.24.163]: GET / HTTP/1.1
>> Jan 29 11:31:12 mail postfix/smtpd[17725]: warning: non-SMTP command from ns.e-doceo.com[91.121.87.24]: GET / HTTP/1.1
>> Jan 29 22:01:06 mail postfix/smtpd[22742]: warning: non-SMTP command from unknown[91.206.30.142]: GET / HTTP/1.1
>> Jan 30 20:36:16 mail postfix/smtpd[10750]: warning: non-SMTP command from ulm202.server4you.de[62.75.202.94]: GET / HTTP/1.1
>>
>> Feb 7 02:44:01 mail postfix/smtpd[1936]: warning: non-SMTP command from golf544.server4you.de[85.25.144.169]: GET / HTTP/1.1
>> Feb 7 23:42:47 mail postfix/smtpd[15586]: warning: non-SMTP command from vs1143032.vserver.de[62.75.143.32]: GET / HTTP/1.1
>> Feb 8 06:08:21 mail postfix/smtpd[20726]: warning: non-SMTP command from usloft2185.serverloft.com[173.224.120.221]: GET / HTTP/1.1
>> Feb 9 19:39:43 mail postfix/smtpd[16274]: warning: non-SMTP command from ns33.medialook.net[91.121.108.5]: GET / HTTP/1.1
>> Feb 14 13:03:26 mail postfix/smtpd[5184]: warning: non-SMTP command from mx.expert-ls.ru[94.79.62.109]: GET / HTTP/1.1
>> Feb 15 03:09:48 mail postfix/smtpd[14948]: warning: non-SMTP command from unknown[91.206.30.142]: GET / HTTP/1.1
>> Feb 25 01:07:36 mail postfix/smtpd[1143]: warning: non-SMTP command from unknown[208.87.241.91]: GET / HTTP/1.1
>> Feb 26 12:56:48 mail postfix/smtpd[26148]: warning: non-SMTP command from quintweb03.quintessentially.com[94.76.208.9]: GET / HTTP/1.1
>> Feb 27 16:49:13 mail postfix/smtpd[17523]: warning: non-SMTP command from ww3.kozkincs.hu[212.52.160.207]: GET / HTTP/1.1
>>
>>
>> 似たり寄ったりな送信元なので、ボット絡みだろうなぁと勝手に推測して
>> いますが、具体的にこれらは何を試みようとしているのかが不明です。
>> 単純にボット側の作り込みの問題でこうなるだけというのであれば、さし
>> て気にする必要は無いのかもしれませんが・・・
>>
>> 1月以前の過去1年分のログには該当するようなログが全く無いことから、
>> 新手なのかなと少々気になった次第です。
>>
>> 何らかの脆弱性を狙ったものであったり、施策が必要なものだとすれば、
>> どのような点に注意すべきか、何かしら情報をお持ちでしたらご提供頂ける
>> と助かります。
>>
>>
>> 以上、よろしくお願いいたします。
>>
>> _______________________________________________
>> Postfix-jp-list mailing list
>> Postfix-jp-list@xxxxx
>> http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
>>
>
>
> --
> :: Shigeo Honda
> :: shigeo.honda@xxxxx
> :: http://www.shigeo.net
> :: http://twitter.com/ShigeoH
> :: ricerco - communication designing company
> :: http://www.ricerco.com
>
> _______________________________________________
> Postfix-jp-list mailing list
> Postfix-jp-list@xxxxx
> http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
>

--
京都大学東南アジア研究所
木谷 公哉(KITANI Kimiya) kitani@xxxxx

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2011年3月 8日 12:51
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/102526
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。