來自給定 IP 位址的內送 SMTP 連線數異常增長可能表示︰
外部使用者在嘗試轉送郵件。
外部使用者在嘗試進行拒絕服務攻擊。
外部使用者在轉送郵件︰查看 msg_svr_base/log/mail.log_current,以查找帶有記錄項目代碼 J 的記錄 (被拒絕的轉送)。若要啟動遠端 IP 位址記錄,請將以下行增加至 option.dat 檔案:
log_connection=1
請注意,啟用此功能時效能可能會略微降低。
拒絕服務攻擊︰若要找出連線 SMTP 伺服器的使用者以及使用者數量,可以執行指令 netstat,並檢查 SMTP 連接埠 (預設值:25) 上的連線。範例:
Local address Remote address State 192.18.79.44.25 192.18.78.44.56035 32768 0 32768 0 CLOSE_WAIT 192.18.79.44.25 192.18.136.54.57390 8760 0 24820 0 ESTABLISHED 192.18.79.44.25 192.18.26.165.48508 33580 0 24820 0 TIME_WAIT |
請注意,首先需要確定適當的系統 SMTP 連線數目及其狀態 (ESTABLISHED、CLOSE_WAIT 等),以確定特定讀取是否不正常。
如果發現許多連線處於 SYN_RECEIVED 狀態,則這可能是由網路中斷或拒絕服務攻擊導致的。此外,SMTP 伺服器程序的存在時間是受限制的。該時間由 dispatcher.cnf 檔案中的 MTA 配置變數 MAX_LIFE_TIME 控制。預設為 86,400 秒 (一天)。同樣地,MAX_LIFE_CONNS 指定伺服器程序可在其使用期限內處理的連線之最大數目。如果您發現特定 SMTP 伺服器使用了很長一段時間,則可能希望調查一下。