27.4.3 監視內送 SMTP 連線

來自指定 IP 位址的內送 SMTP 連線數異常增長可能表示︰

• 外部使用者在嘗試轉送郵件。

• 外部使用者在嘗試進行拒絕服務攻擊。

27.4.3.1 未經授權的 SMTP 連線的徵兆

• 外部使用者在轉送郵件︰沒有明顯徵兆。

• 拒絕服務攻擊︰使用郵件請求使 SMTP 伺服器超載的外部嘗試。

27.4.3.2 監視內送 SMTP 連線

• 外部使用者在轉送郵件︰查看 msg-svr-base/log/mail.log_current，以查找帶有記錄項目代碼 J 的記錄 (遭拒絕的轉送)。若要啟動遠端 IP 位址記錄，請以下行增加至 option.dat 檔案：

  log_connection=1

  請注意，啟用此功能時效能可能會略微降低。

• 拒絕服務攻擊︰若要找出連線 SMTP 伺服器的使用者以及使用者數量，可以執行指令 netstat，並檢查 SMTP 連接埠 (預設值：25) 上的連線。範例：

Local address       Remote address                                 State
192.18.79.44.25     192.18.78.44.56035    32768   0  32768   0   CLOSE_WAIT
192.18.79.44.25     192.18.136.54.57390    8760   0  24820   0   ESTABLISHED
192.18.79.44.25     192.18.26.165.48508   33580   0  24820   0   TIME_WAIT

請注意，首先需要確定適當的系統 SMTP 連線數目及其狀態 (ESTABLISHED、CLOSE_WAIT 等)，以確定特定讀取是否不正常。

如果發現許多連線處於 SYN_RECEIVED 狀態，則這可能是由網路中斷或拒絕服務攻擊導致的。此外，SMTP 伺服器程序的存在時間是受限制的。該時間由 dispatcher.cnf 檔案中的 MTA 配置變數 MAX_LIFE_TIME 控制。預設為 86,400 秒 (一天)。同樣地，MAX_LIFE_CONNS 指定伺服器程序可在其使用期限內處理的連線之最大數目。如果您發現特定 SMTP 伺服器使用了很長一段時間，則可能希望調查一下。