Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1981 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help me dechiper this log entry ?

fxdsuperglide
I am having a problem trying to dechipher what this log entry is trying to tell me I am getting hundreds of these and similar enties from my SMTP proxy log file and I cannot understand it.. Where can I look for the source to this ? any help would be greatly appreciated.....


2004-Jan 30 19:11:24 (none) exim[20110]: 2004-01-30 19:11:24 H=(mail.nightowl.net) [209.176.170.18] sender verify defer for : could not connect to mail.worldnet.fr [195.3.3.11]: Connection timed out
2004-Jan 30 19:11:24 (none) exim[20110]: 2004-01-30 19:11:24 H=(mail.nightowl.net) [209.176.170.18] sender verify defer for : could not connect to mail.worldnet.fr [195.3.3.11]: Connection timed out
2004-Jan 30 19:11:24 (none) exim[20110]: 2004-01-30 19:11:24 H=(mail.nightowl.net) [209.176.170.18] F= temporarily rejected RCPT : Could not complete sender verify callout
2004-Jan 30 19:11:24 (none) exim[20110]: 2004-01-30 19:11:24 H=(mail.nightowl.net) [209.176.170.18] F= temporarily rejected RCPT : Could not complete sender verify callout
2004-Jan 30 19:14:17 (none) exim[21453]: 2004-01-30 19:14:17 H=(mail.nightowl.net) [209.176.170.18] sender verify defer for : could not connect to toile.qc.ca [207.253.99.43]: Connection refused
2004-Jan 30 19:14:17 (none) exim[21453]: 2004-01-30 19:14:17 H=(mail.nightowl.net) [209.176.170.18] sender verify defer for : could not connect to toile.qc.ca [207.253.99.43]: Connection refused
2004-Jan 30 19:14:17 (none) exim[21453]: 2004-01-30 19:14:17 H=(mail.nightowl.net) [209.176.170.18] F= temporarily rejected RCPT : Could not complete sender verify callout
2004-Jan 30 19:14:17 (none) exim[21453]: 2004-01-30 19:14:17 H=(mail.nightowl.net) [209.176.170.18] F= temporarily rejected RCPT : Could not complete sender verify callout
2004-Jan 30 19:19:17 (none) exim[21453]: 2004-01-30 19:19:17 SMTP command timeout on connection from (mail.nightowl.net) [209.176.170.18]


mail.nightowl.net is not me I thought that I could match the logs somewhere as the time to see the orginal source address but I cannot seem to see where it logs connections to port 25 and the source address clues anyone ?   


This thread was automatically locked due to age.
Parents
  • 0
    Do you have spam detection enabled?
    It looks like somebody is trying to spam you. Astaro's proxy can check for the existence of a sender by sending back a trivial return-receipt message and seeing if a receipt is generated...
       
Reply
  • 0
    Do you have spam detection enabled?
    It looks like somebody is trying to spam you. Astaro's proxy can check for the existence of a sender by sending back a trivial return-receipt message and seeing if a receipt is generated...
       
Children
  • 0 in reply to SecApp
    Yes, spam protection is on but what I was wondering is the source address. Is there somewhere that I can see what source IP address are trying to connect to port 25 and if they are spoofing that address or it really is that address it seems wierd to me.....   
  • 0 in reply to fxdsuperglide
    I also have the callout function turned on the thing is that mail.nightowl.net is not a open relay I know this for sure so it must be a user on mail.nightowl.net trying to spam through them to me ? Does that sound correct ?   
  • 0 in reply to fxdsuperglide
    Is there a possible way to look at live logs that I dont know about to see all transactions to port 25 I would like to see the transaction to the port from that mail.nightowl.net and log the times. So It may be possible for me to track the user on mail.nightowl.net. I would suspect it would have to be an active account on mail.nightowl.net as I said before I know that server does not relay mail. If I could see the acutal source dialup IP I can narrow it down to the account that is doing it....  
  • 0 in reply to fxdsuperglide
    The best logging would be what you were looking at.

    It is dubious that knowing the IP address of who is sending it is going to do you much good. MyDoom agents (and others for that matter) are all over the net now, so it could be one of a zillion machines out there...
       
  • 0 in reply to SecApp
    I figured out the problem with this log entry it was a .forward file set in sendmail for an address that is no longer in use. What was happening is that when the user would email to that address it would try and forward to me at my domain (as you said it was SPAM) and when the proxy would get it do a callout and seen that it was not an active account it would then drop. (which is what I want) but I had the admin axe the .forward file and let it go to the bit-bucket in the sky... 

    One intresting thing that I did do out of this was take my email that I have had forever on that server and .forward it to my proxy and walla no more spam (life is good) filters my mail from that account on my conditions...

    Also provided a good test for SPAM control and virus since that email has been there for serveral years and tends to get blown with SPAM ASL proxy does its job very well with spam assasin and tags or boots it very nice. 

    Cheers,