27.4.3.2 监视入站 SMTP 连接

• 外部用户转发邮件：在 msg-svr-base/log/mail.log_current 中查找具有日志记录条目代码 J（拒绝的转发）的记录。要启用远程 IP 地址的日志记录，请向 option.dat 文件添加以下行：

  log_connection=1

  请注意，启用此功能要付出少量性能代价。

• 拒绝服务攻击：要查找连接到 SMTP 服务器的用户及其数量，可以运行命令 netstat 并检查 SMTP 端口（默认值：25）上的连接。示例：

Local address       Remote address                                 State
192.18.79.44.25     192.18.78.44.56035    32768   0  32768   0   CLOSE_WAIT
192.18.79.44.25     192.18.136.54.57390    8760   0  24820   0   ESTABLISHED
192.18.79.44.25     192.18.26.165.48508   33580   0  24820   0   TIME_WAIT

请注意，您首先需要确定系统的 SMTP 连接的适当数量及其状态（ESTABLISHED、CLOSE_WAIT 等），以便确定某次特定的读取是否超出了正常范围。

如果发现很多连接处于 SYN_RECEIVED 状态，则可能是由网络断开或拒绝服务攻击造成的。此外，SMTP 服务器进程的生存期是有限的。它是由 dispatcher.cnf 文件中的 MTA 配置变量 MAX_LIFE_TIME 控制的。默认值为 86,400 秒（一天）。与此类似，MAX_LIFE_CONNS 可以指定服务器进程在其生存期内所能处理的最大连接数。如果发现某个特定的 SMTP 服务器已经运行了很长时间，则可能需要进行调查。