PDA

Bekijk Volledige Versie : Vreemde exim log? (klant banned door fail2ban)



Svn
04/06/16, 15:44
Hola,

Op een VPS draai ik (DirectAdmin Centos 7) CSF en Fail2ban. Werkt allemaal prima :) Alleen nu kreeg ik een mail dat fail2ban een ip geblokkeerd heeft vanwege teveel mislukte acties voor exim. Nu blijkt dat dit het ip adres is van mijn 'klant' c.q. kennis.

De logs die ik heb bekeken in exim/mainlog laat de volgende rare zaken zien. Heeft de klant een virus op de PC? Of heeft deze zelf lopen rommelen? Komen ook allemaal rare tekens in voor zoals je kunt zien.




* klant probeert vanaf zijn schildersbedrijf.nl (die niet bij mij is gehost) een testmail te sturen (vraag me niet waarom) naar info@zijngehostewebshop.nl (die wel bij mij is gehost)

2016-06-04 10:52:40 1b97Jw-0007Fp-Tf DKIM: d=Kpnmail.nl s=kpnmail01 c=relaxed/relaxed a=rsa-sha256 t=1465030358 [verification succeeded]
2016-06-04 10:52:40 1b97Jw-0007Fp-Tf <= info@schildersbedrijf.nl H=cpsmtpb-ews04.kpnxchange.com [213.75.39.7] P=esmtp S=1592 id=B9B744D3-B3EA-4603-BEFC-CA0F5D784064@schildersbedrijf.nl T="Test" from <info@schildersbedrijf.nl> for info@gehostewebshop.nl
2016-06-04 10:52:40 1b97Jw-0007Fp-Tf => info <info@gehostewebshop.nl> F=<info@schildersbedrijf.nl> R=virtual_user T=virtual_localdelivery S=1719
2016-06-04 10:52:40 1b97Jw-0007Fp-Tf Completed
2016-06-04 10:53:30 SMTP call from dbip4c6c.direct-adsl.nl [77.171.**.***] dropped: too many syntax or protocol errors (last command was "�^G�^Q?^E?^D^A??=???^Z?^X??^Umail.gehostewebshop.n l?")
2016-06-04 10:53:30 SMTP call from dbip4c6c.direct-adsl.nl [77.171.**.***] dropped: too many syntax or protocol errors (last command was "�^G�^Q?^E?^D^A??=???^Z?^X??^Umail.gehostewebshop.n l?")

iets later.. :

2016-06-04 10:58:29 SMTP command timeout on TLS connection from dbip4c6c.direct-adsl.nl [77.171.**.***]
2016-06-04 10:58:31 SMTP command timeout on TLS connection from dbip4c6c.direct-adsl.nl [77.171.**.***]
2016-06-04 10:58:33 TLS error on connection from dbip4c6c.direct-adsl.nl [77.171.**.***] (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2016-06-04 10:58:33 TLS client disconnected cleanly (rejected our certificate?)
2016-06-04 10:59:25 SMTP call from dbip4c6c.direct-adsl.nl [77.171.**.***] dropped: too many syntax or protocol errors (last command was "�^G�^Q?^E?^D^A??=???^Z?^X??^Umail.gehostewebshop.n l?")
2016-06-04 11:03:53 SMTP command timeout on TLS connection from dbip4c6c.direct-adsl.nl [77.171.**.***]
2016-06-04 11:04:08 TLS error on connection from dbip4c6c.direct-adsl.nl [77.171.**.***] (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2016-06-04 11:04:08 TLS client disconnected cleanly (rejected our certificate?)
2016-06-04 11:04:14 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:04:15 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:05:13 TLS error on connection from dbip4c6c.direct-adsl.nl [77.171.**.***] (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2016-06-04 11:05:13 TLS client disconnected cleanly (rejected our certificate?)
2016-06-04 11:05:21 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:05:21 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:07:39 TLS error on connection from dbip4c6c.direct-adsl.nl [77.171.**.***] (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2016-06-04 11:07:39 TLS client disconnected cleanly (rejected our certificate?)
2016-06-04 11:07:46 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:07:46 SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=dbip4c6c.direct-adsl.nl [77.171.**.***] input="\026\003\001"
2016-06-04 11:07:47 1b97YZ-0007MZ-KF <= fail2ban@srvname.mijnvps.nl U=root P=local S=3222 T="[Fail2Ban] exim: banned 77.171.**.*** from srvname.mijnvps.nl" from <fail2ban@srvname.mijnvps.nl> for info@mijnwebsite.nl
2016-06-04 11:07:49 1b97YZ-0007MZ-KF => info@mijnwebsite.nl.nl F=<fail2ban@srvname.mijnvps.nl> R=lookuphost T=remote_smtp S=3269 H=srv1.mijnwebsite.nl [128.140.219.56] X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 C="250 OK id=1b97Ya-00027H-Sw"
2016-06-04 11:07:49 1b97YZ-0007MZ-KF Completed
2016-06-04 11:12:44 SMTP command timeout on TLS connection from dbip4c6c.direct-adsl.nl [77.171.**.***]
2016-06-04 11:12:47 SMTP command timeout on TLS connection from dbip4c6c.direct-adsl.nl [77.171.**.***]


Heb de afgelopen tijd al veel geleerd op servergebied, maar dit kan ik zo gauw niet plaatsen. Ik zou de klant graag weer unbannen, maar wil voorkomen dat dit in de toekomst weer gebeurt, en wil natuurlijk al helemaal voorkomen dat er inderdaad rare dingen gebeuren :P

Iemand die hier iets zinnigs over kan zeggen? Normaliter helpt Google me uit de brand, maar laat me hier even in de steek.

Alvast bedankt!

DutchTSE
04/06/16, 16:14
Heeft volgens mij te maken met dat de klant SSL gebruikt op de verkeerde SMTP poort. Dus of SSL uitvinken of de juiste poort icm SSL gebruiken.