# [Wheezy] lost connection after CONNECT from unknown[unknown]



## Deleted member 5906 (19. Apr. 2014)

Hi,

folgende Meldung erscheint alle 5 Minuten in der mail.log:


> Apr 19 17:55:07 server postfix/smtpd[24553]: connect from unknown[unknown]
> Apr 19 17:55:07 server postfix/smtpd[24553]: lost connection after CONNECT from unknown[unknown]
> Apr 19 17:55:07 server postfix/smtpd[24553]: disconnect from unknown[unknown]
> Apr 19 17:58:28 server postfix/anvil[24555]: statistics: max connection rate 1/60s for (smtp:unknown) at Apr 19 17:55:07
> ...


Kurz zur Anmerkung, es handelt sich um einen kleinen VPS von OVH ohne ISPConfig.

Als Hostname/Mailname wird server.example.com genutzt.

*postconf -nf*


> access_map_reject_code = 554
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_at_myorigin = yes
> ...


*postconf -Mf*


> smtp       inet  n       -       -       -       -       smtpd
> submission inet  n       -       -       -       -       smtpd
> -o syslog_name=postfix/submission
> -o smtpd_tls_security_level=encrypt
> ...


*hostname*
server

*hostname -f*
server.example.com

*cat /etc/mailname*
server.example.com

Kann mir dabei jemand weiterhelfen?


----------



## nowayback (19. Apr. 2014)

hast du möglicherweise ein dns problem? connect from unknown kann mehrere ursachen haben. die warscheinlichste ist meiner erfahrung nach, das es ein problem mit dem dns server gibt. jedoch sollte dann hinter unknown noch die ip in eckigen klammern stehen. die lösung dazu wäre dann einfach gültige dns server einzutragen; entweder in die /etc/network/interfaces oder/und die /etc/resolv.conf
und um postfix da gar nicht in schwulitäten zu bringen reject_unknown_client


----------



## Deleted member 5906 (20. Apr. 2014)

Ich nutze unter anderem die Nameserver von Google, aber wie du schon sagtest sollte in der Regel dann die IP drin stehen, dies ist jedoch nicht der Fall. Was mich einfach wundert ist, dass die "Abfrage" alle 5 Minuten ist. Ich habe zuerst an das Monitoring von OVH gedacht, aber das weist sich korrekt aus:


> Apr 19 21:00:12 bonjour postfix/smtpd[25432]: connect from 250.ip-37-187-37.eu[37.187.37.250]
> Apr 19 21:00:12 bonjour postfix/smtpd[25432]: lost connection after CONNECT from 250.ip-37-187-37.eu[37.187.37.250]
> Apr 19 21:00:12 bonjour postfix/smtpd[25432]: disconnect from 250.ip-37-187-37.eu[37.187.37.250]


----------



## nowayback (20. Apr. 2014)

das sieht nach einem monitoring aus. da wird eine verbindung hergestellt auf den port und bevor postfix es verarbeiten kann, auch wieder beendet. es gibt keinen fehlerhaften login oder sowas. 
wenn du die dns server von google verwendest, sollte es generell kein problem geben. Was mich halt stört, ist der punkt das es keine ip dahinter gibt. was sagt denn rkhunter?


----------



## Deleted member 5906 (20. Apr. 2014)

Der VPS ist sehr frisch aufgesetzt, bis zu rkhunter kam ich jetzt nicht.


----------



## nowayback (20. Apr. 2014)

hmmm... wenn rkhunter jetzt wenig hilfreich ist: 
ich hatte auch mal nen fall, da hatte nen kunde nen vserver und hatte zu wenig ram für amavis, postfix und co. und der lief in den gleichen fehler.

zur sicherheit: ein fehlerhafter reverse dns eintrag hatte bei einem anderen fall den gleichen fehler erzeugt, jedoch nur weil die leistungsgrenzen erreicht waren. D.h. hätte er mehr Ram gehabt, wäre der nicht ins Gewicht gefallen.


----------



## Deleted member 5906 (20. Apr. 2014)

Es ist ein sehr kleiner VPS mit 1GB RAM, dieser ist gerade mal nur zu 10% ausgelastet. Ein Problem wegen Performance ist also ausgeschlossen. Reverse-Lookup funktioniert auch prima und tut was es soll.

Nochmal zur Ergänzung die /etc/hosts


> fe00::0     ip6-localnet
> ff00::0     ip6-mcastprefix
> ff02::1     ip6-allnodes
> ff02::2     ip6-allrouters
> ...


"1.2.3.4" steht dabei natürlich für meine IP 

Die Datei ist übrigens genau so auch unter /var/spool/postfix/etc/host vorhanden.


----------



## nowayback (20. Apr. 2014)

1gb kann zuwenig sein - je nach anforderung... 

deine hosts sieht nicht ganz schlecht aus, jedoch hat die praxis bei mir gezeigt, dass es sinn macht erst alle ipv6 und dann alle ipv4 einträge zu setzen. Gerade postfix ist da sehr eigen und produziert sonst gerne fehler wie hostname xxx does not resolve to address y.y.y.y
aber das hat mit deinem fehler selbst nichts zutun... 

wenn all das funktioniert und passt was ich bisher geschrieben habe, dann hab ich keine idee mehr, woran es hängen sollte - wobei ich auch nicht wirklich einen sinn darin sehe verbindungen von unknown zu akzeptieren


----------



## Deleted member 5906 (20. Apr. 2014)

Habe ich jetzt gerade umgestellt, danke für den Tipp! 

Nun, um beispielsweise solche Szenarien zu analysieren und, weil es immer mal vorkommen kann dass die DNS Einstellungen der einliefernden Mailserver haken.

Zusätzlich gerade nochmal den OVH Support angeschrieben, ich gehe wirklich stark davon aus, dass es vielleicht irgendwas auf deren Seite ist. Denn sowohl Hostname noch IP sind anderen bekannt außer mir. Wie gesagt, VPS ist frisch aufgesetzt - allerdings weiß ich auch nicht, wann die mir zugewiesene IP zuletzt benutzt wurde.


----------



## nowayback (20. Apr. 2014)

die dns einstellungen des senders spielen keine rolle... wenn der sender sich mit x.y.endung[1.2.3.4] meldet und x.y.endung auf eine andere als 1.2.3.4 zeigt, würde postfix ne andere fehlermeldung erzeugen.

deine unknown einträge deuten halt am ehesten auf deine fehlerhaften dns einstellungen hin... evtl. zahlendreher oder sowas (8.8.8.8 und 8.8.4.4 sind die ipv4 dns server, 2001:4860:4860::8888 und 2001:4860:4860::8844 sind die ipv6 ns)


----------



## Deleted member 5906 (20. Apr. 2014)

Das ist der Inhalt meiner resolv.conf


> nameserver 8.8.8.8
> nameserver 208.67.222.222
> nameserver 198.153.192.1


Es werden ja maximal drei abgefragt und ich habe unterschiedliche hinterlegt, um ganz sicher zu gehen. Und wie man bei den Abfragen durch OVH sieht, erledigen diese auch korrekt ihren Job.


----------



## nowayback (20. Apr. 2014)

wenn du ipv4 und ipv6 für postfix akzeptierst, brauchst du auch ipv6 dns server 

ich denke mal hier liegt evtl. auch einer der möglichen fehler... die von mir geposteten ipv6 server sind die von google. füg sie einfach mal hinzu


```
nameserver localhost
nameserver 8.8.4.4
nameserver 8.8.8.8
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844
```
*** edit ***
du wirst sehen das auch mehr wie 3 dns server abgefragt werden können, denn es ist protokoll basierend 

ich verabschiede mich nun in die osterfeiertage... mein kind hatte gestern geburtstag und ist 1 jahr geworden  - ich hab ne 12h schicht hinter mir - und langsam sind meine grenzen erreicht...

wenn wirklich alles läuft wie du es beschrieben hast können wir gerne kommende woche weiter ins detail gehen... wir werden den fehler dann auch finden -vvv sei dank  für jetzt und heute (und morgen) klink ich mich jedoch aus... wäre gut wenn du dann alle entsprechenden configs nachlieferst (postfix, dns, rdns, hostname (erklärung warum hostname != hostname -f) etc.) gerne auch per pm - da du kein ispconfig einsetzt - sonst wenn du ispconfig nutzt wende dich bitte an till (info@projektfarm.de) für support (aber nicht gratis =)).


----------



## Deleted member 5906 (20. Apr. 2014)

Habe deinen Input mal so übernommen, leider führte dies auch nicht zum Erfolg.

Alles klar, vielleicht hat auch wer anders noch einen Tipp. Dir besten Dank für deine Mithilfe und die Denkanstöße, hab eine schöne Zeit mit der Familie!


----------



## Deleted member 5906 (25. Apr. 2014)

Das Thema hat sich erledigt und kann geschlossen werden.

Ich habe den VPS einfach noch einmal neu aufgesetzt und jetzt scheint das Problem nicht mehr zu bestehen. Ich habe sicherlich einfach irgendwo eine falsche Einstellung vorgenommen, die diesen Fehler provoziert hat.


----------

