[Postfixbuch-users] Sender address rejected: not owned by user

Uwe Drießen driessen at fblan.de
Sa Aug 9 13:50:40 CEST 2014


Hallo Postfix Admins 

Seit Tagen stelle ich fest das es zunehmend mehr Einträge der Art

"Sender address rejected: not owned by user"

Überwiegend aus Adressbereichen Russland, Indien usw.

NOQUEUE: reject: RCPT from unknown[92.55.8.159]: 553 5.7.1 <vax at meine.de>:
Sender address rejected: not owned by user linux at meine.de;
from=<vax at meine.de> to=<boatengah at yahoo.co.uk> proto=ESMTP
helo=<[192.168.0.2]>

Alle haben soweit ich das bis dato gesehen habe helo eine 192.168.1.X oder
192.168.0.X Adresse drin 

Zieladressen hotmail, yahoo, msn usw. 

Zur Zeit gehen darüber keine Mails an unbeteiligte dritte raus soweit ich
das feststellen kann.


2. Fragen 
Wie bekomme ich raus welche Passwörter die versuchen zu verwenden?
          (haben die eins gehackt oder versuchen die nur eins
rauszubekommen) 
Muss ich mir ernste Gedanken um diese Art der zugriffe machen ?

Ich mache mir gerade eine fail2ban action damit der komplette Adressbereich
der Angreifer gesperrt wird 

Für die crontab :

#/sbin/bash

LASTHOUR=$(date -d -1hour "+%b  %-d %H:")

for i in `egrep -i "$LASTHOUR.*not owned by user" /var/log/mail.log
/var/log/mail/mail.log.1 |cut -d"[" -f3 | cut -d"]" -f1`
    do /sbin/ipset -A mailprober `whois $i |grep route |cut -d":" -f2 | tr
-d " " | grep -v [a-Z]` timeout 592205
done

------------------

Vorher noch ein 
ipset -N mailprober nethash timeout 86400

absetzen 

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045





Mehr Informationen über die Mailingliste Postfixbuch-users