The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Приходит спам от самого себя"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 01-Апр-09, 10:06 
Стоит связка postfix+amavisd+spamassassin.
Всё более менее нормально резалось, но стал приходить спам с поддельным адресом моего домена @mycompany.ru. И по этому правилу отлично проходит USER_IN_WHITELIST=-200.

Погуглил, нашёл только такое решение:

Добавил это в мой main.cf

smtpd_restriction_classes = OnlyMyDomain

OnlyMyDomain = permit_mynetworks,
               permit_sasl_authenticated,
               reject

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access

В client_access добавил

mydomain.ru OnlyMyDomain
mydomain2.ru OnlyMyDomain

Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
USER_IN_WHITELIST=-200 и не фильтруется.


Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Приходит спам от самого себя"  
Сообщение от Michael (??) on 01-Апр-09, 10:28 

>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.

SPF

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 01-Апр-09, 15:37 
>
>>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>>
>>USER_IN_WHITELIST=-200 и не фильтруется.
>
>SPF

А примеры как у Вас это прикручено к Postfix есть? И как вообще оно рабоает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Приходит спам от самого себя"  
Сообщение от Michael (??) on 02-Апр-09, 13:22 

>А примеры как у Вас это прикручено к Postfix есть? И как
>вообще оно рабоает?

ну есть разные варианты. самый простой postfix-policy-spf-perl
прикручивается
добавляете в smtpd_recipient_restrictions
check_policy_service unix:private/spf-policy (после! reject_unauth_destination)
предварительно в master.cf
spf-policy unix -       n       n       -       0       spawn
          user=nobody argv=/usr/local/sbin/postfix-policyd-spf-perl


ну перед этим добавить соотв. запись txt на домене

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Приходит спам от самого себя"  
Сообщение от BadWar (ok) on 02-Апр-09, 14:25 
Вариант избавиться от данного вида спама, как прикрутить RBL, все кто так спамят через открытые релеи, уже давно в чёрном списке. Честно говоря как в postfixe они прикручиваются не знаю, но думаю там ничего сложного нет, вот адреса RBL:
blackholes.mail-abuse.org
relays.mail-abuse.org
list.dsbl.org
multihop.dsbl.org
unconfirmed.dsbl.org
relays.ordb.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 02-Апр-09, 14:39 
>Вариант избавиться от данного вида спама, как прикрутить RBL, все кто так
>спамят через открытые релеи, уже давно в чёрном списке. Честно говоря
>как в postfixe они прикручиваются не знаю, но думаю там ничего
>сложного нет, вот адреса RBL:
>blackholes.mail-abuse.org
>relays.mail-abuse.org
>list.dsbl.org
>multihop.dsbl.org
>unconfirmed.dsbl.org
>relays.ordb.org

Да. Я использовал RBL, но показалось, что это не эффективно - в эти чёрные списке попадают и всякие нормальные организации. Может я не те листы использовал. Но у меня вот:


# reject_rbl_client      bl.spamcop.net,    
# reject_rbl_client      list.dsbl.org,
# reject_rbl_client      relays.ordb.org,
# reject_rbl_client      dynablock.wirehub.net,
# reject_rbl_client      blackholes.wirehub.net,
# reject_rbl_client      dnsbl.njabl.org

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Приходит спам от самого себя"  
Сообщение от андрей (??) on 02-Апр-09, 18:23 
>
>Да. Я использовал RBL, но показалось, что это не эффективно - в
>эти чёрные списке попадают и всякие нормальные организации. Может я не
>те листы использовал. Но у меня вот:
>

весьма эффективно использование БЛ.
вот статистика моего релея за март месяц.
львиная доля приходится именно на БЛ

3534  from
4359  to
27135 rejected by SA
1574  qual. as SPAM
109751 rejected by BL
1004   rejected by hostname
4537 user unknown

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 09:20 
>[оверквотинг удален]
>вот статистика моего релея за март месяц.
>львиная доля приходится именно на БЛ
>
>3534  from
>4359  to
>27135 rejected by SA
>1574  qual. as SPAM
>109751 rejected by BL
>1004   rejected by hostname
>4537 user unknown

А с помощью какого софта статистику собираете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Приходит спам от самого себя"  
Сообщение от Sarge (??) on 02-Апр-09, 18:29 
>list.dsbl.org

уже давненько не функционирует

>relays.ordb.org

а этот блокирует _всех_ уже очень давно. С ним у вас почта вообще не должна работать :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Приходит спам от самого себя"  
Сообщение от BadWar (ok) on 03-Апр-09, 08:41 
>>list.dsbl.org
>
>уже давненько не функционирует
>
>>relays.ordb.org
>
>а этот блокирует _всех_ уже очень давно. С ним у вас почта
>вообще не должна работать :)

Сорри, если указал уже какие то не работающие, т.к. перешёл на RBL450+.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Приходит спам от самого себя"  
Сообщение от Sarge (??) on 03-Апр-09, 19:06 
>Сорри, если указал уже какие то не работающие, т.к. перешёл на RBL450+.

а поподробней можно? Что за RBL450+ ??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Приходит спам от самого себя"  
Сообщение от Mihasya (??) on 03-Апр-09, 02:59 
>[оверквотинг удален]
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>В client_access добавил
>
>mydomain.ru OnlyMyDomain
>mydomain2.ru OnlyMyDomain
>
>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.

Вместо этого:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access

напиши:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_sender_access hash:/etc/postfix/client_access

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 09:19 
>[оверквотинг удален]
>>
>>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>>
>>USER_IN_WHITELIST=-200 и не фильтруется.
>
>Вместо этого:
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>напиши:
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_sender_access hash:/etc/postfix/client_access

Я это уже сделал, после того, как сюда написал. К сожалению не помогло. Всё равно как то пролазит. Как непонятно. Вот пример письма, которое пролезло, не обращая внимания на эту защиту:

Microsoft Mail Internet Headers Version 2.0
Received: from relay2.mydomain.ru ([192.168.0.1]) by mail.firma.mydomain.ru with Microsoft SMTPSVC(6.0.3790.2825);
     Fri, 3 Apr 2009 08:43:46 +0400
Received: from localhost (localhost [127.0.0.1])
    by relay2.mydomain.ru (Postfix) with ESMTP id 5043F14B03E
    for <adm_group@mydomain.ru>; Fri,  3 Apr 2009 08:43:47 +0400 (MSD)
X-Spam-Score: -190.129
X-Spam-Level:
X-Spam-Status: No, score=-190.129 tagged_above=-999 required=5.9
    tests=[BAYES_99=6, HTML_90_100=0.113, HTML_IMAGE_ONLY_28=1.9,
    HTML_IMAGE_RATIO_02=0.463, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001,
    MSGID_FROM_MTA_ID=1.393, USER_IN_WHITELIST=-200]
Received: from relay2.mydomain.ru ([127.0.0.1])
    by localhost (relay2.mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id biu-eE3v3b3N for <adm_group@mydomain.ru>;
    Fri,  3 Apr 2009 08:43:47 +0400 (MSD)
Received: from 200-160-65-37.static-user.ajato.com.br (200-160-65-37.static-user.ajato.com.br [200.160.65.37])
    by relay2.mydomain.ru (Postfix) with SMTP id 491A414B096
    for <adm_group@mydomain.ru>; Fri,  3 Apr 2009 08:43:35 +0400 (MSD)
To: <adm_group@mydomain.ru>
Subject: Credit card balance transfer
From: MensHealth.com <adm_group@mydomain.ru>
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <20090403044337.491A414B096@relay2.mydomain.ru>
Date: Fri,  3 Apr 2009 08:43:35 +0400 (MSD)
Return-Path: logisztika@aegon.hu
X-OriginalArrivalTime: 03 Apr 2009 04:43:46.0250 (UTC) FILETIME=[C617D2A0:01C9B416]


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Приходит спам от самого себя"  
Сообщение от Michael (??) on 03-Апр-09, 10:34 
простой способ:
score USER_IN_WHITELIST=0
либо убрать все whitelist_from
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 11:12 
>простой способ:
>score USER_IN_WHITELIST=0
>либо убрать все whitelist_from

Во-первых, если я поставлю score USER_IN_WHITELIST=0, то спамассассин будет исходящую почту тоже на спам проверять. Мне это не нужно.
Во-вторых whiltelist_from то тут причём? С этим правилом то проблем нет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Приходит спам от самого себя"  
Сообщение от Michael (??) on 03-Апр-09, 12:45 
>Во-первых, если я поставлю score USER_IN_WHITELIST=0, то спамассассин будет исходящую почту тоже
>на спам проверять. Мне это не нужно.
>Во-вторых whiltelist_from то тут причём? С этим правилом то проблем нет.

пропишите trusted_networks
и сделайте:
score ALL_TRUSTED=-200
это первое
а второе, поищите в гугле, что такое USER_IN_WHITELIST и поймете при чем тут whiltelist_from

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Приходит спам от самого себя"  
Сообщение от Medlar (??) on 03-Апр-09, 11:25 
From: MensHealth.com <adm_group@mydomain.ru>

То есть вам нужно не толкьо конвертного получателя проверять, но и header sender.
Пока с этим разбираетесь, мой совет, заблокируйте сразу MensHealth в любом header From.
По моей статистике таких Full Name куча.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 11:51 
>From: MensHealth.com <adm_group@mydomain.ru>
>
>То есть вам нужно не толкьо конвертного получателя проверять, но и header
>sender.
>Пока с этим разбираетесь, мой совет, заблокируйте сразу MensHealth в любом header
>From.

Каким образом можно это сделать, подскажите пожалуйста.

>По моей статистике таких Full Name куча.

Всмысле? И все блокировать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Приходит спам от самого себя"  
Сообщение от Medlar (??) on 03-Апр-09, 12:13 
У меня не postfix.
Я просто обрщаю ваше внимание на то, что "спам от себя" следут блокировать на 2 этапах:
1)mail from:
2)Header From - хотя обходить эту проверку спамеры уже научились

>Всмысле? И все блокировать?

В том смысле, ЧТО, если вы умеете работать с Header From, но пока не в состоянии сделать
исключения для локальшиков и smtp-auth-юзеров, можно пока запретить любой Header from,
содержащий слова Mens Health. На моей почтовой системе почти вся почта с подделанным
Header From содержит либо это либо VIAGRA.

А вообще поищите здесь на конфе - эта тема уже месяца 2 как всплывает.
Было тут полное решение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 14:00 
>[оверквотинг удален]
>В том смысле, ЧТО, если вы умеете работать с Header From, но
>пока не в состоянии сделать
>исключения для локальшиков и smtp-auth-юзеров, можно пока запретить любой Header from,
>содержащий слова Mens Health. На моей почтовой системе почти вся почта с
>подделанным
>Header From содержит либо это либо VIAGRA.
>
>А вообще поищите здесь на конфе - эта тема уже месяца 2
>как всплывает.
>Было тут полное решение.

Может я не так ищу. Но по форуму поиском по header_checks и Header From мало информации.
А реально ли сделать эту проверку так, чтобы он по полю /^From: проверял только то что посылается к нам (а не порезал бы исходящую почту, если я, наприме, укажу /^From:mydomain)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Приходит спам от самого себя"  
Сообщение от Medlar (ok) on 03-Апр-09, 14:26 
>[оверквотинг удален]
>>
>>А вообще поищите здесь на конфе - эта тема уже месяца 2
>>как всплывает.
>>Было тут полное решение.
>
>Может я не так ищу. Но по форуму поиском по header_checks и
>Header From мало информации.
>А реально ли сделать эту проверку так, чтобы он по полю /^From:
>проверял только то что посылается к нам (а не порезал бы
>исходящую почту, если я, наприме, укажу /^From:mydomain)

конечно, только так и надо делать и никак иначе
Но повторюсь по postfix я вам не подсказчик


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 14:35 
>[оверквотинг удален]
>>>Было тут полное решение.
>>
>>Может я не так ищу. Но по форуму поиском по header_checks и
>>Header From мало информации.
>>А реально ли сделать эту проверку так, чтобы он по полю /^From:
>>проверял только то что посылается к нам (а не порезал бы
>>исходящую почту, если я, наприме, укажу /^From:mydomain)
>
>конечно, только так и надо делать и никак иначе
>Но повторюсь по postfix я вам не подсказчик

Только я совершенно не пойму с синтаксисом и нигде дои не могу найти по нему.
Ставлю

/^From:*user1* / REJECT

Отправляю с user1@yandex.ru на user@mydomain.ru всё равно доходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Приходит спам от самого себя"  
Сообщение от Medlar (ok) on 03-Апр-09, 14:39 
http://www.postfix.ru/viewtopic.php?t=19361
доки там же
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Приходит спам от самого себя"  
Сообщение от konstantin811 email(ok) on 03-Апр-09, 14:54 
>http://www.postfix.ru/viewtopic.php?t=19361
>доки там же

Спасибо, конечно но по этой доке я делал из неё как раз всё и взял. Неполучилось, вот и написал сюда. У меня даже в конфиге так же - onlymyuser правило.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Приходит спам от самого себя"  
Сообщение от Medlar (ok) on 03-Апр-09, 15:18 
http://www.opennet.dev/openforum/vsluhforumID1/83079.html

похоже там есть рецепт на checkFrom
hosts = !+relay_from_hosts:!+то что надо вам лично

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Приходит спам от самого себя"  
Сообщение от anonim on 03-Апр-09, 12:28 
>[оверквотинг удален]
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>В client_access добавил
>
>mydomain.ru OnlyMyDomain
>mydomain2.ru OnlyMyDomain
>
>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.

procmail

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру