https://www.opennet.ru/openforum/vsluhforumID1/88305.html Здраствуйте уважаемые. Недавно столкнулся с проблемой в Postfix. Рассылаеться спам внутри домена, спам можется слаться как на самого себя так и на другие ящики домена, при чем по логам один ящик сразу спамит несколько других внутри домена. Перепробовал кучу вариантов, которые советуют на форумах. Сам экспериментировал - нечего не помогало. Очень нужна помощь - начальство порвет.<br><br>Привожу заголовок одного из писем и конфиг:<br><br>Return-Path: &lt;waterspouts6@anacalengineering.com&gt;<br>X-Original-To: ofis@radius-net.ru<br>Delivered-To: ofis@radius-net.ru<br>Received: by mail.radius-net.ru (Postfix, from userid 1982)<br>id CC74F2A2943; Wed, 24 Feb 2010 14:53:58 +0500 (YEKT)<br>Received: from localhost by mail.radius-net.ru<br>with SpamAssassin (version 3.2.4);<br>Wed, 24 Feb 2010 14:53:58 +0500<br>From: ofis@radius-net.ru<br>To: &lt;ofis@radius-net.ru&gt;<br>Subject: *****SPAM***** =?koi8-r?B?7tXWztkg2sHLwdrZPw==?=<br>Date: Wed, 24 Feb 2010 01:35:43 -0800<br>Message-Id: &lt;000d01cab534$bc252c00$6400a8c0@waterspouts6&gt;<br>X-Spam-Flag: YES<br>X-Spam-Chec https://www.opennet.ru/openforum/vsluhforumID1/88305.html#14 Thu, 11 Mar 2010 18:10:41 GMT &gt;Я конечно сыроват в этом деле, но вроди как внешний конектиться и <br>&gt;подписываеться во from как свой. Потом отключаеться а письмо валит на <br>&gt;себя же якобы от себя. <br><br>ответ в теме &#8470; 8<br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#13 Thu, 11 Mar 2010 10:58:09 GMT Я конечно сыроват в этом деле, но вроди как внешний конектиться и подписываеться во from как свой. Потом отключаеться а письмо валит на себя же якобы от себя. <br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#12 Thu, 11 Mar 2010 10:45:50 GMT Пример письма корявого.<br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#11 Thu, 11 Mar 2010 10:45:04 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие <br>&gt;прием чужой почты, подписанной вашим доменом. Тут я не советчик - <br>&gt;google вам в помощь. <br>&gt;<br>&gt;Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то <br>&gt;вы сами знаете, что делать с завирусевшим юзером. <br>&gt;<br>&gt;Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с <br>&gt;админом. <br><br>Mar 11 13:22:34 mail postfix/smtpd[75659]: connect from wds6g1ejc5.adsl.datanet.hu[195.56.30.123]<br>Mar 11 13:22:34 mail postfix/smtpd[75659]: CF9D62A685B: client=wds6g1ejc5.adsl.datanet.hu[195.56.30.123]<br>Mar 11 13:22:35 mail postfix/cleanup[75436]: CF9D62A685B: message-id=&lt;20100311082234.CF9D62A685B@mail.radius-net.ru&gt;<br>Mar 11 13:22:35 mail postfix/qmgr[73594]: CF9D62A685B: from=&lt;pvv@radius-net.ru&gt;, size=913, nrcpt=1 (queue active)<br>Mar 11 13:22:35 mail spamd[67650]: spamd: connection from localhost [127.0.0.1] at port 58645 <br>Mar 11 13:22:35 mail spamd[67650]: spamd: processing mes https://www.opennet.ru/openforum/vsluhforumID1/88305.html#10 Thu, 11 Mar 2010 06:12:02 GMT &gt;&gt;Мне кто нибудь ответит?))) <br>&gt;<br>&gt;может не заметил... а где лог с "connect from" текущего домена.... от <br>&gt;куда идет? кто делает это письмо... <br>&gt;<br>&gt;не видно from а только to. вот именно кусочек. полный кусок отразить... <br>&gt;с номером процесса. от коннекта до дисконекта. полный.... <br><br>Понял, в придет в течение дня - кину полный, а то я так полазил по форумам в основном одни понты а никто дельного нечего не скажет.<br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#9 Wed, 10 Mar 2010 15:51:57 GMT &gt;Мне кто нибудь ответит?))) <br><br>Сначала отделите мух от котлет, то бишь выясните: спам идет из локальной сети или извне?<br>Выясняется это по заголовкам таких писем (тот, что вы привели, или "подправлен" или приведен не целиком) или по полному логу (который тоже приведен вами по своему уразмению, а не так как надо)<br><br>Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие прием чужой почты, подписанной вашим доменом. Тут я не советчик - google вам в помощь.<br><br>Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то вы сами знаете, что делать с завирусевшим юзером.<br><br>Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с админом.<br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#8 Wed, 10 Mar 2010 05:25:07 GMT &gt;Мне кто нибудь ответит?))) <br><br>прописывай SPF для домена, делай проверку SPF<br>делай авторизацию для домена.<br>если определилось как спам откладывай в карантин на ручную проверку.<br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#7 Wed, 10 Mar 2010 05:17:20 GMT &gt;Мне кто нибудь ответит?))) <br><br>может не заметил... а где лог с "connect from" текущего домена.... от куда идет? кто делает это письмо...<br><br>не видно from а только to. вот именно кусочек. полный кусок отразить... с номером процесса. от коннекта до дисконекта. полный.... <br> https://www.opennet.ru/openforum/vsluhforumID1/88305.html#6 Wed, 10 Mar 2010 05:13:31 GMT Мне кто нибудь ответит?)))<br>