Quando guardo i miei registri di sendmail, di gran lunga l'errore più comune che vedo è il seguente:
22 novembre 16:49:50 MyHostname sendmail [18832]: rAMMnj2u018832: [ indirizzo IP redatto per nascondere il colpevole ] non ha emesso MAIL / EXPN / VRFY / ETRN durante la connessione a MTA
Questo non proviene da MUA mal configurati all'interno della mia piccola rete. Viene sempre da fuori dalla mia rete, da dove solo i MTA dovrebbero comunicare con il mio sendmail. La stragrande maggioranza, la principale fonte di questi indirizzi IP è la Cina, ma molti altri paesi ne sono la fonte.
Suppongo che questo debba far parte di una sorta di tentativo di hackeraggio, ma non riesco a capire di cosa si tratta. Proviene da hacker / script che si collegano alla porta 25, capisco che il mio sendmail non è una combinazione di MTA / OS / versione in cui possono entrare e disconnettersi senza fare nulla? (Se è così, perché si collegano ripetutamente?) Oppure sta succedendo qualcos'altro? Mentre ho fail2ban in esecuzione, e vedo verificarsi divieti regolari, c'è altro da fare al riguardo? Per il contesto, il sistema operativo è Fedora 19.
Nota: ciò che mi confonde in particolare è che di solito vedo molti di questi in fila dallo stesso indirizzo IP. Non lo vedo quasi mai solo una volta da un dato indirizzo IP. Sono persino stato "attaccato" in questo modo, prima, da più server nella stessa sottorete ... dopo che ognuno è stato bannato (tramite fail2ban), si spostano semplicemente sul server successivo nella stessa / 24 sottorete. Alla fine ho cambiato la mia regola send2ban di sendmail per mettere al bando un'intera / 24 subnet invece di un solo indirizzo IP - solo per ridurre il rumore. Se questo fosse solo un "check-in per vedere se potevamo sfruttare" allora mi aspetterei un singolo bussare alla porta, non tali ripetuti tentativi.
In realtà sono tentato di mettere un ascolto di 24 ore sulla porta 25 - ricevo abbastanza posta che questo non mi ucciderebbe - solo per cercare di capire cosa sta succedendo in queste connessioni. Alcuni giorni ottengo dozzine di queste connessioni dallo stesso indirizzo IP.