Inbraakpoging door Belgacom

[Briolet]

Wat is hier aan de hand. Ik kijk net in mijn log en vind een heleboel disconnects vanuit belgocom.be. Als ik dit IP terug volg dan zie ik dat het op 15 Juli gestart is. Toen zijn er 5 inlogpogingen gedaan, waarna dat IP op mijn bloklist terecht kwam:

Jul 15 22:23:32 GedeeldeData postfix/smtpd[32303]: connect from 58.184-78-194.adsl-static.isp.belgacom.be[194.78.184.58]
Jul 15 22:23:38 GedeeldeData postfix/smtpd[32303]: warning: 58.184-78-194.adsl-static.isp.belgacom.be[194.78.184.58]: SASL Login authentication failed: authentication failure
Jul 15 22:23:38 GedeeldeData postfix/smtpd[32303]: lost connection after AUTH from 58.184-78-194.adsl-static.isp.belgacom.be[194.78.184.58]
Jul 15 22:23:38 GedeeldeData postfix/smtpd[32303]: disconnect from 58.184-78-194.adsl-static.isp.belgacom.be[194.78.184.58] ehlo=1 auth=0/1 commands=1/2
Jul 15 22:26:58 GedeeldeData postfix/anvil[32181]: statistics: max connection rate 1/60s for (25:194.78.184.58) at Jul 15 22:23:32
Jul 15 22:26:58 GedeeldeData postfix/anvil[32181]: statistics: max connection count 1 for (25:194.78.184.58) at Jul 15 22:23:32

Dit belgacom.be adres behoort toe aan 'skynet.be' waarvan ik ook regelmatig mailtjes krijg. Nu lijkt me Belgacom geen criminele organisatie, maar ik kan geen legitieme reden bedenken waarom zij, met een accountnaam, op mijn nas zouden willen inloggen.

Heeft iemand een idee waarom dit wel legitiem zou zijn?

[Robert Koopman]

Is dat niet gewoon een gebruiker van Belgacom?

[Hofstede]

Zo te zien wel. Een machine die op internet is aangesloten via een adsl aansluiting van Belgacom.

[ThePostman]

Dat je er maar een paar ziet is een wonder. Afhankelijk van hoeveel DNS namen er aan jouw externe IP gekoppeld zijn kan dit oplopen tot honderden en zelfs duizenden of meer per dag. Zeker als je SMTP open zet aan de buitenkant om externe mail binnen te krijgen is de kans meer dan 100% dat er pogingen gedaan worden. Men is namelijk altijd opzoek naar mailservers die mail kunnen verzenden zonder dat je daarvoor geauthenticeerd hoeft te zijn. Dit om spam te kunnen versturen. Wees trouwens blij dat je de melding krijgt dat het ze niet gelukt is. Je moet je pas zorgen maken als je vanaf het zelfde IP daarna een succesvolle actie voorbij ziet komen.

Dit is overigens exact de reden waarom je voorzichtig moet zijn met services beschikbaar te maken op internet zonder de benodigde aandacht en kennis. Dat soort diensten wordt niet voor niks geleverd door ISPs die daar dagelijks mensen voor aan het werk zet om te beheren en in de gaten te houden.

[Briolet]

Is dat niet gewoon een gebruiker van Belgacom?

Daar dacht ik veel te laat aan, maar zal de reden zijn. Ik was even bang dat ook reguliere mail door deze IP blokkade tegengehouden zou worden.