Làm thế nào để một địa chỉ IP từ xa giải quyết đến localhost?

1

Tôi chỉ nhận thấy cảnh báo kỳ lạ này trong syslog của tôi:

postfix/smtpd[26261]: warning: hostname localhost does not resolve to
    address 113.167.250.138

... sau đó ngay lập tức theo sau:

postfix/smtpd[26261]: connect from unknown[113.167.250.138]
postfix/smtpd[26261]: NOQUEUE: reject: RCPT from unknown[113.167.250.138]:
    550 5.1.1 <advertising@crestore.com>: Recipient address rejected: User
    unknown; from=<bseatz@somedomain.example.com>
    to=<advertising@mydomain.example.com> proto=ESMTP helo=<localhost>
postfix/smtpd[26261]: disconnect from unknown[113.167.250.138]

Vì vậy, tôi đã quyết định thực hiện theo dõi từ một máy thắng khác và IP từ xa đó được phân giải thành HOSTNAME của máy:

> tracert 113.167.250.138

Tracing route to MYHOSTNAME [113.167.250.138] over a maximum of 30 hops:

  1  MYHOSTNAME [113.167.250.138]
  2  [2-5 removed]
  6  ix-8-0-3-0.tcore1.CT8-Chicago.as6453.net [x.x.x.x]
  7  if-22-2.tcore2.CT8-Chicago.as6453.net [x.x.x.x]
  8  if-11-3.tcore2.PDI-PaloAlto.as6453.net [x.x.x.x]
  9  if-22-2.tcore2.LVW-LosAngeles.as6453.net [x.x.x.x]
 10  if-10-0-0-5.mcore5.LAA-LosAngeles.as6453.net [x.x.x.x]
 11  Request timed out.
 12  Request timed out.
 13  vdc.vn [123.29.5.170]
 14  vdc.vn [123.29.6.238]
 15  MYHOSTNAME [113.167.250.138]

Rõ ràng đó là một kẻ gửi thư rác đang cố gắng gửi thư đến một tài khoản cục bộ trên máy chủ của tôi, nhưng địa chỉ IP đó giải quyết như thế nào với localhost / MYHOSTNAME bởi hai máy của tôi?

Chỉnh sửa 1: Tôi sẽ xóa IP của người gửi thư rác khỏi câu hỏi này vào ngày hôm nay.

Chỉnh sửa 2: Mọi người chỉ cần nhìn vào lịch sử chỉnh sửa, vì vậy tôi thấy không có lợi trong việc xóa địa chỉ IP của người gửi thư rác. Mod, tôi nghĩ sẽ là một ý tưởng tốt nếu bạn muốn xóa IP vĩnh viễn.

ip domain-name-system

— Jeff
nguồn

5

Một người sở hữu một địa chỉ IP có thể khiến nó phân giải thành bất kỳ tên máy chủ / tên miền nào họ muốn và một người kiểm soát một tên miền có thể khiến các máy chủ của nó quyết định với bất kỳ địa chỉ IP nào họ muốn.

— David Schwartz
nguồn

Làm thế nào để chủ sở hữu làm cho IP phân giải thành MYHOSTNAME trên traceroute? Đó là những gì thực sự làm tôi bối rối.

— Jeff

1

Anh ta có thể đặt tên "MYHOSTNAME", nhưng có vẻ như hệ thống của bạn bằng cách nào đó đã chuyển đổi "localhost" thành "MYHOSTNAME". (Tôi đã kiểm tra bản ghi và có vẻ như nói "localhost", ít nhất là ngay bây giờ.)

— David Schwartz

4

Một lời giải thích rất có thể là khi máy chủ thư từ xa được kết nối với máy chủ của bạn, nó đã gửi a HELO localhost. Điều này sẽ tạo ra chính xác lỗi bạn đang thấy nếu bạn (rất có thể) đã bật tra cứu ngược.

— David Hoelzer
nguồn

Tôi cũng nghĩ điều tương tự cho đến khi traceroute được giải quyết thành localhost.

— Jeff

@Jeff, cả hai câu trả lời bạn nhận được không mâu thuẫn mà bổ sung cho nhau. David Hoelzer đã giải thích lý do lỗi trong nhật ký postfix và David Schwartz đã giải thích kết quả theo dõi của bạn.

— Alex P.

0

Với hành vi kỳ quặc này với độ phân giải tên, có thể (để cho phép hoạt EHLO LOCALHOSTđộng), người gửi thư rác đã quản lý để đặt bản ghi rDNS ( 138.250.167.113.in-addr.arpa) của mình thành IN PTR localhost..

Bạn thực sự có thể xác nhận điều này nếu bạn muốn bằng cách sử dụng đào; thực tế đây là những gì họ đã làm (và đây là lý do tại sao việc đăng IP của kẻ tấn công không quá tệ cho tất cả chúng ta để xem).

Sau đó, những gì xảy ra là máy tính windows của bạn nhìn thấy điều này và dịch nó sang tên riêng của nó (trong windows traceroute). Có những máy chủ khác như thế này trong đường dẫn quá (chẳng hạn như 113.171.5.14). Linux sẽ không làm bản dịch đó.

— Chim ưng
nguồn

Cảm ơn bạn về thông tin. Đó chính xác là những gì tôi nghĩ @DavidSchwartz có nghĩa với câu trả lời của anh ấy. Thêm xác nhận là luôn luôn tốt! Về địa chỉ IP, một ngày nào đó ai đó hợp pháp sẽ chịu trách nhiệm về nó. Tôi ghét phải phạt "quản gia tương lai."

— Jeff

Vâng, tôi chỉ nghĩ rằng tôi muốn thêm chi tiết.

— Falcon Momot