免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: fluke888

[Mail] 关于收到aaazzzaaazzzaaazzzaaazzzaaazzz邮件的原因(已有结论) [复制链接]

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2006-09-27 10:16 |显示全部楼层
原帖由 fluke888 于 2006-9-27 10:07 发表


o ,我说的一遍是客户发送正常的邮件发送一遍,客户端却收到很多遍。不是aaazzz的邮件。我想也应当是reset的问题。大家的服务器每天的日志中大概能有多少reset记录呢?昨天我说了,5w封邮件时有2k个reset记录。 ...

reset ?  Client (MTA/MUA) 何必做這種事呢! 中毒也不可能
而是 CN GW 所送的 TCP flag RST ,  因為在 DATA 後才送 RST,但 DATA 可能巳經出去了
所以 Source MTA 才可能再重送,而不是 SMTP 中的 reset !

论坛徽章:
0
发表于 2006-09-27 10:21 |显示全部楼层
原帖由 abel 于 2006-9-27 10:16 发表

reset ?  Client (MTA/MUA) 何必做這種事呢! 中毒也不可能
而是 CN GW 所送的 TCP flag RST ,  因為在 DATA 後才送 RST,但 DATA 可能巳經出去了
所以 Source MTA 才可能再重送,而不是 SMTP 中的 reset !


呵呵,我说的就是MTA中的reset,我的MTA在与客户的MTA通讯时有很多reset记录。我想重复收到的原因就是data已经送出,而恰巧此时会触发GFW的规则,发送fake的RST信号,导致连接结束。so,source MTA不得不重传,再被reset,如此往复,导致用户收到多封。

论坛徽章:
0
发表于 2006-09-27 10:25 |显示全部楼层
我向客户要到了一个原始的邮件,邮件头很奇怪。估计是被修改后的结果。也请大家帮忙分析分析:用户名、源ip和域名部分做了修改。

  1. Received: from McAfeeK.aig.co.jp ([170.105.205.142]) by svmalc01.clis.co.jp with Microsoft SMTPSVC(5.0.2195.6713);
  2.          Fri, 22 Sep 2006 10:27:57 +0900
  3. Received: from (170.105.205.143) by McAfeeK.aig.co.jp via smtp
  4.          id 42be_7af89fba_49d9_11db_8aca_00304827c729;
  5.         Fri, 22 Sep 2006 10:27:15 +0900
  6. Received: from nsk.aig.co.jp (unverified) by skmime11kj.r6-core.r6.aig.net
  7. (Content Technologies SMTPRS 4.3.17) with SMTP id <T7ae1795844aa69cd8f4a0@skmime11kj.r6-core.r6.aig.net>;
  8. Fri, 22 Sep 2006 10:27:16 +0900
  9. Message-ID: <T7ae1795844aa69cd8f4a0@skmime11kj.r6-core.r6.aig.net>
  10. Received: from mailgate1.domain.com ([ip.ip.ip.ip]) by nsk.aig.co.jp
  11.           with ESMTP id jp; Fri, 22 Sep 2006 10:14:54 +0900
  12. From: user@domain.com
  13. Bcc:
  14. Return-Path: user@domain.com
  15. X-OriginalArrivalTime: 22 Sep 2006 01:27:57.0209 (UTC) FILETIME=[556D7090:01C6DDE6]
  16. Date: 22 Sep 2006 10:27:57 +0900

  17. aaazzzaaazzzaaazzzaaazzzaaazzz
复制代码

论坛徽章:
0
发表于 2006-09-27 10:25 |显示全部楼层
To Abel,

我如何拿出来半年多以前的证明?我的亲身经历,我就说了。难道我还故意说假话不成。
现在问题不难判断,只要在SERVER上检查,CLIENT发过这短az垃圾,哪怕是一次,那就是client的问题。



flute888说过client的确发个这垃圾。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2006-09-27 10:28 |显示全部楼层
SMTP 中 DATA 後的 RESET 不會影響資料重傳,因為 DATA 後的東西若是 2xx 巳代表成功了
至於 DATA 後若收到 TCP flag 中的 RST (reset),因為 TCP 連線被重設,所以在 mail log 中就會
顯示 connection reset  (smtp 的 reset 不會有這種訊息,更何況誰寄信會送 smtp reset)
這種 reset 訊息通常是被動式的 FW/IDS 所引起 , 這才是根本的原因,和 smtp protocol 中的 reset 根本無關

论坛徽章:
0
发表于 2006-09-27 10:29 |显示全部楼层
还有:
CU上一个朋友说:
用windows explore的send to mail recipient就会产生这种邮件,我的postfix也发生过这个问题,开始也是以为是病毒或垃圾邮件,试验多次才知道原因。

你们也可以实验看可否重复

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2006-09-27 10:35 |显示全部楼层
原帖由 思一克 于 2006-9-27 10:25 发表
To Abel,

我如何拿出来半年多以前的证明?我的亲身经历,我就说了。难道我还故意说假话不成。
现在问题不难判断,只要在SERVER上检查,CLIENT发过这短az垃圾,哪怕是一次,那就是client的问题。



flute8 ...

我並沒有說你說假話, 但是你從不想想 google 上呈現的 Search 結果代表的意涵,那一個外對外有這種問題 ?



flute888 兄的 maillog 的 CN GW 欺騙他的結果,所以他以為真的是從該 Source  IP 來的結果,實際上卻是假的(去查對方的 maillog 即可知),所以 maillog 故然重要,但是要知道這裏面所代表的 IP GW 都可以做掉的,
如果兩端的 maillog 可以 match 這封信,那才代表這個不是 GW 作假

论坛徽章:
0
发表于 2006-09-27 10:38 |显示全部楼层
flute888,
你的SERVER和CLIENT是否在一个内部网?如果是那就可以否定了一个结论。
如果不是,比如SERVER在外IP,基本上也差不多。Abel说的那些过滤一般不会设在这之间。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2006-09-27 10:39 |显示全部楼层
[quote]原帖由 fluke888 于 2006-9-27 10:25 发表
我向客户要到了一个原始的邮件,邮件头很奇怪。估计是被修改后的结果。也请大家帮忙分析分析:用户名、源ip和域名部分做了修改。

[code]Received: from McAfeeK.aig.co.jp ([170.105.205.142]) by svmalc01.cl ... [/quote ]
信件不重要,你可以去問 Source MTA 的管理者,他的 maillog 有沒有這一筆

论坛徽章:
0
发表于 2006-09-27 10:39 |显示全部楼层
flute888,
你的SERVER和CLIENT是否在一个内部网?如果是那就可以否定了一个结论。
如果不是,比如SERVER在外IP,基本上也差不多。Abel说的那些过滤一般不会设在这之间。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP