El firewall no impide que los intentos de retransmisión lleguen a postfix

tag-icon tag-icon centos postfix firewall webmin
El firewall no impide que los intentos de retransmisión lleguen a postfix

Tengo un vps basado en centos administrado con webmin y de vez en cuando recibo unos cientos de correos electrónicos como este:

From: MAILER-DAEMON@mail.<redacted>.com
To: postmaster@<redacted>.com
Subject: Postfix SMTP server: errors from unknown[20.229.210.160]

Transcript of session follows.

 Out: 220 mail.<redacted>.com ESMTP Postfix
 In:  EHLO yupk81.domain
 Out: 250-mail.<redacted>.com
 Out: 250-PIPELINING
 Out: 250-SIZE 30720000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-STARTTLS
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  STARTTLS
 Out: 454 4.7.0 TLS not available due to local problem
 Out: 421 4.4.2 mail.<redacted>.com Error: timeout exceeded

Sesión cancelada, motivo: tiempo de espera

Para obtener más detalles, consulte el archivo de registro de correo local.

Esto es lo que creo que son las entradas de registro relacionadas con uno de esos correos electrónicos:

Jun 10 19:20:46 fla postfix/qmgr[931]: 9CFCD40033: removed
Jun 10 19:21:54 fla postfix/submission/smtpd[29389]: connect from unknown[20.229.210.160]
Jun 10 19:21:54 fla postfix/submission/smtpd[29389]: warning: connect to Milter service inet:127.0.0.1:8891: Connection refused
Jun 10 19:22:07 fla postfix/submission/smtpd[29551]: timeout after STARTTLS from unknown[20.229.210.160]
Jun 10 19:22:07 fla postfix/cleanup[30329]: E0A0840033: message-id=<20220610232207.E0A0840033@mail.<redacted>.com>
Jun 10 19:22:07 fla postfix/qmgr[931]: E0A0840033: from=<double-bounce@mail.<redacted>.com>, size=914, nrcpt=1 (queue active)
Jun 10 19:22:07 fla postfix/submission/smtpd[29551]: disconnect from unknown[20.229.210.160]
Jun 10 19:22:09 fla postfix/smtp[30336]: E0A0840033: to=<my_personal_email>, orig_to=<postmaster>, relay=mail.<redacted>.com [<IP address redacted>]:25, delay=2, delays=0.01/0/0.76/1.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 4LKcS06tJyz9vNQY)
Jun 10 19:22:09 fla postfix/qmgr[931]: E0A0840033: removed
Jun 10 19:22:18 fla postfix/postfix-script[30470]: warning: not owned by root: /etc/postfix/dump
Jun 10 19:22:18 fla postfix/postfix-script[30471]: warning: not owned by root: /etc/postfix/dump.txt

Configuré el Firewall IPTables de Linux para descartar paquetes provenientes de la dirección IP anterior, pero Postfix sigue enviándome esos correos electrónicos desde la cuenta del administrador de correo, por lo que los intentos aún llegan a Postfix. Me está volviendo loco. ¿No se supone que el firewall detiene el tráfico que se origina en esa dirección IP? ¿Por qué no hace su trabajo?

¡Gracias!

Editar 2022-06-10 21:25 - Se agregaron iptables aquí (no está claro por qué las fechas enumeradas en el archivo son todas de 2015, ya que muestra los cambios que hice hoy):

# Generated by iptables-save v1.4.21 on Sat Nov 28 22:24:57 2015
*security
:INPUT ACCEPT [28036:5505542]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [27892:10681911]
COMMIT
# Completed on Sat Nov 28 22:24:57 2015
# Generated by iptables-save v1.4.21 on Sat Nov 28 22:24:57 2015
*raw
:PREROUTING ACCEPT [28036:5505542]
:OUTPUT ACCEPT [27892:10681911]
COMMIT
# Completed on Sat Nov 28 22:24:57 2015
# Generated by iptables-save v1.4.21 on Sat Nov 28 22:24:57 2015
*nat
:PREROUTING ACCEPT [1490:86220]
:INPUT ACCEPT [1490:86220]
:OUTPUT ACCEPT [4732:332455]
:POSTROUTING ACCEPT [4732:332455]
COMMIT
# Completed on Sat Nov 28 22:24:57 2015
# Generated by iptables-save v1.4.21 on Sat Nov 28 22:24:57 2015
*mangle
:PREROUTING ACCEPT [28036:5505542]
:INPUT ACCEPT [28036:5505542]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [27892:10681911]
:POSTROUTING ACCEPT [27892:10681911]
COMMIT
# Completed on Sat Nov 28 22:24:57 2015
# Generated by iptables-save v1.4.21 on Sat Nov 28 22:24:57 2015
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Drop packets from 31.210.20.235
-A INPUT -s 20.229.210.160 -j DROP
-A INPUT -i eth0 -j LOG  --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m state -m icmp --icmp-type 8 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 25 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 80 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 443 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth0 -j LOG  --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG  --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -m limit --limit 5/min -j LOG  --log-prefix "iptables_FORWARD_denied: " --log-level 7
-A OUTPUT -o eth0 -j LOG  --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A INPUT -m limit --limit 5/min -j LOG  --log-prefix "iptables_INPUT_denied: " --log-level 7
-A INPUT -p tcp -m tcp -m state --dport 587 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 465 --state NEW -j ACCEPT
# test
-A INPUT
COMMIT
# Completed on Sat Nov 28 22:24:57 2015

Editar 2022-06-10 22:05 - /var/log/maillog después de cerrar y reiniciar postfix:

Jun 10 22:03:23 fla postfix/postfix-script[4257]: stopping the Postfix mail system
Jun 10 22:03:23 fla postfix/master[3818]: terminating on signal 15
Jun 10 22:03:24 fla postfix/postfix-script[4321]: warning: not owned by root: /etc/postfix/dump
Jun 10 22:03:24 fla postfix/postfix-script[4322]: warning: not owned by root: /etc/postfix/dump.txt
Jun 10 22:03:24 fla postfix/postfix-script[4323]: warning: not owned by root: /etc/postfix/<redacted>.pem
Jun 10 22:03:24 fla postfix/postqueue[4341]: warning: Mail system is down -- accessing queue directly
Jun 10 22:03:36 fla dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=<redacted_ip_address>, lip=<redacted_ip_address>, session=<itN0diLhLABqS77J>
Jun 10 22:04:00 fla postfix/postfix-script[4488]: warning: not owned by root: /etc/postfix/dump
Jun 10 22:04:00 fla postfix/postfix-script[4489]: warning: not owned by root: /etc/postfix/dump.txt
Jun 10 22:04:00 fla postfix/postfix-script[4490]: warning: not owned by root: /etc/postfix/<redacted>.pem
Jun 10 22:04:00 fla postfix/postfix-script[4507]: starting the Postfix mail system
Jun 10 22:04:00 fla postfix/master[4509]: daemon started -- version 2.10.1, configuration /etc/postfix
Jun 10 22:04:01 fla postfix/postfix-script[4567]: warning: not owned by root: /etc/postfix/dump
Jun 10 22:04:01 fla postfix/postfix-script[4568]: warning: not owned by root: /etc/postfix/dump.txt
Jun 10 22:04:01 fla postfix/postfix-script[4569]: warning: not owned by root: /etc/postfix/<redacted>.pem

Respuesta1

  1. Ha configurado Milter y no se ha asegurado de que esté funcionando y sea accesible; Postfix se queja de que no puede conectarse connect to Milter service inet:127.0.0.1:8891: Connection refused. EstepodríaTambién puede ser un error en la configuración de su firewall, ya que la conexión a Milter está sujeta a filtrado de paquetes.

  2. No tiene reglas establecidas para restringir las IP que se pueden usar para acceder a suenvíoservicio. Esto puede deberse a que por error solo restringió el acceso al primer puerto SMTP (25), omitiendo otros puertos (465 y/o 587, muy probablemente) en los que está exponiendo servicios SMTP adicionales.

  3. Has optado por recibirerrornotificaciones al cuadro de administrador de correo, pero parecen centrarse en elconexiónintentar. No me preocuparía mucho que alguien se conecte (y presumiblemente normalmente se le niegue el servicio por considerarlo no autorizado), ya que me preocuparía que ese intento fuera la ocasión para que Postfix notara un problema de configuración. Esto podría serseparado(de 1.) problema en su configuración de Postfix que tendría Postfixregistradoen el arranque. Reinicie Postfix y lea los registros.

Respuesta2

Ha pasado un tiempo y, a pesar de mis intentos de proporcionar la información que me pedían, nadie más que el usuario anx pareció encontrar mi problema digno de brindarme ayuda. Desearía que quien lo rechazó a -1 tuviera la decencia de explicar por qué, pero eso es discutible ahora.

El problema con los cientos de rebotes de vez en cuando continuó ocurriendo y hoy encontré a alguien (su IP es 20.168.57.26), cuyos dedos con mucho gusto me cortaría al intentar usar mi servidor como retransmisión.milesde veces, lo que me creó otros problemas, así que forcé el problema eliminando la cuenta de postmaster del sistema.

información relacionada