Пару дней назад случилось странное. С нашего почтового сервера (около 100 ящиков) улетело за 2 дня примерно 80 гигабайт исходящего траффика. Т.к. интернет в нашем городе дорогой (0.69 р. за метр) сумма получилась солидная.

Запросил детализацию у провайдера, оказалось, что весь трафик ушел с 143 TCP порта в сторону нескольких хостов, в WHOIS адреса числятся как «MAILRU-NET08». Никаких сборщиков почты у пользователей в нашем домене не настроено, это проверил в первую очередь. Собственно, после анализа предоставленной провайдером статистики вопросов только прибавилось.

Ответ нашелся совершенно случайно. Во первых, статистика нашего почтового сервера показала, что в те злополучные дни было зафиксировано примерно в 100 раз больше IMAP сессий чем в дни обычные. Изучив логи оказалось, что все эти сессии были с учетными данными одного пользователя. Причин ему не верить не было, да и проверил все что можно, по этому пришлось ткнуть пальцем в небо. Установил себе на телефон такой же как у этого пользователя почтовый клиент, от mail.ru. И вот тут начались странности.

Во первых, телефон подключенный к нашей сети по wifi не смог получить доступ к нашему IMAP серверу (доступ на 143 порт я закрыл, после просмотра статистики от провайдера). Tcpdump показал, что инициация соединения прилетает не из локальной сети, а с тех же самых адресов «MAILRU-NET08». Столкнувшись с такой аномалией, подумал, что с этим кто-то уже сталкивался, решил погуглить. Нашел не совсем то, что ожидал, но тоже не менее интересное приключение: https://blog.yurganov.com/all/neetichny-mail-ru/
В статье, рассказывается о не менее удивительной «фиче» всем известной почтовой системы. Оказывается, если при авторизации на маил ру, указать совершенно посторонний почтовый адрес, (yandex, gmail и т. д.), то … вы успешно залогинитесь в маил.ру и увидите там всю почту с указанного ящика. Т.е. при указании корректной пары email/password, сервер маил.ру не выдавая вам никаких предупреждений, резольвит в DNS домен, и пытается подключиться на 143 порт, если подключиться удается, он скачивает всю почту, которую вам потом и показывает.

Как оказалось, приложение «Почта mail.ru» для android, делает то же самое, вместо того, что бы подключиться на прямую к нашему серверу, оно пыталось загрузить почту на сервер маил.ру, при этом по какой то причине постоянно обрывая соединение, и таким образом образовало на счету нашей компании долг в 80 000 рублей.

Очень надеюсь, что кому-нибудь этот мой поток сознания поможет избежать подобных проблем.

UPD: Сегодня представитель маил.ру заверил меня, что проблема решена. Проверять не буду, но надеюсь что это так. Спасибо заместителю технического директора маил.ру Андрею Сумину за обратную связь.