The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Хочу найти спамера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Хочу найти спамера"  +/
Сообщение от opeth2009 (??) on 16-Сен-11, 11:53 
У меня Postfix
Настроен на отправку писем только со своих внутренних адресов.
С некоторых пор у меня стали появляться очереди в 3600 сообщений в день.
Примерно такие
#mailq

04BFB1027D30     4120 Fri Sep 16 11:42:31  custonofigy@halifax-online.co.uk
(delivery temporarily suspended: lost connection with mxgb1.opaltelecom.net[62.24.139.61] while receiving the initial server greeting)
                                         amaicai@tiscali.co.uk
(delivery temporarily suspended: host mta7.am0.yahoodns.net[66.94.237.139] refused to talk to me: 421 4.7.0 [TS01] Messages from 84.204.192.70 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
                                         amaemam1@yahoo.com
                                         amaembil@yahoo.com
                                         amafemera@yahoo.com
                                         amaflehi@yahoo.com
                                         amahoney7@yahoo.com
                                         amaina30@yahoo.com
                                         amaka_amobi@yahoo.com
                                         amakaifere@yahoo.com
(host mx1.mail.eu.yahoo.com[77.238.177.9] refused to talk to me: 421 4.7.0 [TS01] Messages from 84.204.192.70 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
                                         amaglo1@yahoo.fr
(host mx-ironport.last.plus.net[84.92.1.65] refused to talk to me: 554-mx.pcl-ipin02.plus.net 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
                                         amaia@hamaitz.plus.com
(delivery temporarily suspended: host mx2.mail.eu.yahoo.com[77.238.184.241] refused to talk to me: 421 4.7.0 [TS01] Messages from 84.204.192.70 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
                                         amaeyo@yahoo.co.uk
                                         amafrempong@yahoo.co.uk
                                         amaharrington@yahoo.co.uk
                                         amaibrandi@yahoo.co.uk
                                         amaildumpuk@yahoo.co.uk
                                         amaitutu@yahoo.co.uk
                                         amajallow@yahoo.co.uk
                                         amajnik@yahoo.co.uk
                                         amakanwamakarosemary@yahoo.co.uk

Письмо не проходит но зависает в очереди
Логика подсказывает, что шлют с внутренней сети завирусованные компы.

Смотрел в /var/log/maillog это письмо получил:

Sep 16 11:42:31 ns2 postfix/smtpd[78499]: 04BFB1027D30: client=localhost[127.0.0.1]
Sep 16 11:42:31 ns2 postfix/smtpd[76951]: disconnect from unknown[95.9.40.27]
Sep 16 11:42:31 ns2 postfix/cleanup[78501]: 04BFB1027D30: message-id=<20110916074231.04BFB1027D30@ns2.foodline.ru>
Sep 16 11:42:31 ns2 clamsmtpd: 107348: from=custonofigy@halifax-online.co.uk, to=amadukoker@aol.com, to=amafallenangel@aol.com, to=amagnex1@aol.com, to=amair
Sep 16 11:42:31 ns2 postfix/qmgr[76914]: 04BFB1027D30: from=<custonofigy@halifax-online.co.uk>, size=4120, nrcpt=50 (queue active)
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amadukoker@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amafallenangel@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amagnex1@aol.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0,
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaira@blueyonder.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaffei@btinternet.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaiaramos@btinternet.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, ds
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaile@fsmail.net>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0,
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaguz@gmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0,
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amahapat@gmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaia@hamaitz.plus.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amadrum@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaessel@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaf-ccfc@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaguire.30@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, ds
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaguire2@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaka_94@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amakeart06@hotmail.co.uk>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaeshi@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amafremah@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amafurneau@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amah40@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0
Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaidens@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0

В письме тоже рассылка

Явно ip адрес отправителя не указан в логах. Как победить и узнать его? А то как то не по спортивному...
Помогите советиком пожалуйста.
Куда смотреть или что подкрутить в настройках чтобы логи были больше?


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Хочу найти спамера"  +/
Сообщение от Дядя_Федор on 16-Сен-11, 12:08 
> У меня Postfix
> Настроен на отправку писем только со своих внутренних адресов.
> С некоторых пор у меня стали появляться очереди в 3600 сообщений в
> день.
> Примерно такие
> #mailq
> 04BFB1027D30     4120 Fri Sep 16 11:42:31  custonofigy@halifax-online.co.uk

Документацию надо на Постфикс читать. Хотя бы изредка. Вон вверху номер в очереди - 04BFB1027D30. Чтобы посмотреть хидеры этого письма даем postcat -q 04BFB1027D30 |less. Смотрим - от кого его получили и делаем выводы. Потом можно удалить при помощи postsuper -d 04BFB1027D30 (postsuper -d ALL чистит всю очередь).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Хочу найти спамера"  +/
Сообщение от opeth2009 (??) on 16-Сен-11, 12:34 
>[оверквотинг удален]
>> С некоторых пор у меня стали появляться очереди в 3600 сообщений в
>> день.
>> Примерно такие
>> #mailq
>> 04BFB1027D30     4120 Fri Sep 16 11:42:31  custonofigy@halifax-online.co.uk
>  Документацию надо на Постфикс читать. Хотя бы изредка. Вон вверху номер
> в очереди - 04BFB1027D30. Чтобы посмотреть хидеры этого письма даем postcat
> -q 04BFB1027D30 |less. Смотрим - от кого его получили и делаем
> выводы. Потом можно удалить при помощи postsuper -d 04BFB1027D30 (postsuper -d
> ALL чистит всю очередь).

Добрые люди введя команду postcat > -q 04BFB1027D30 |less
я увидел следующее
*** ENVELOPE RECORDS deferred/0/01790102878E ***
message_size:            4120            5910              50               0            4120
message_arrival_time: Fri Sep 16 12:26:02 2011
create_time: Fri Sep 16 12:26:02 2011
named_attribute: rewrite_context=local
sender: custonofigy@halifax-online.co.uk
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=65397
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=ns2.foodline.ru
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=65397
named_attribute: helo_name=ns2.foodline.ru
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;carolinejhampton@aol.com
original_recipient: carolinejhampton@aol.com
recipient: carolinejhampton@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolinejpearce@aol.com
original_recipient: carolinejpearce@aol.com
recipient: carolinejpearce@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolinekeskin@aol.com
original_recipient: carolinekeskin@aol.com
recipient: carolinekeskin@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolinekwilson1@aol.com
original_recipient: carolinekwilson1@aol.com
recipient: carolinekwilson1@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolineleer@aol.com
original_recipient: carolineleer@aol.com
recipient: carolineleer@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolineleese@aol.com
original_recipient: carolineleese@aol.com
recipient: carolineleese@aol.com
named_attribute: dsn_orig_rcpt=rfc822;carolinejs@blueyonder.co.uk
original_recipient: carolinejs@blueyonder.co.uk
done_recipient: carolinejs@blueyonder.co.uk
named_attribute: dsn_orig_rcpt=rfc822;carolinejones26@btinternet.com
original_recipient: carolinejones26@btinternet.com
done_recipient: carolinejones26@btinternet.com
named_attribute: dsn_orig_rcpt=rfc822;carolinejones29@btinternet.com
original_recipient: carolinejones29@btinternet.com
done_recipient: carolinejones29@btinternet.com
named_attribute: dsn_orig_rcpt=rfc822;carolinelaw@btinternet.com
и тд

Или другое сообщение

*** ENVELOPE RECORDS deferred/0/0FCD21028720 ***
message_size:            4120            5101              50               0            4120
message_arrival_time: Fri Sep 16 12:21:12 2011
create_time: Fri Sep 16 12:21:12 2011
named_attribute: rewrite_context=local
sender: custonofigy@halifax-online.co.uk
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=64063
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=ns2.foodline.ru
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=64063
named_attribute: helo_name=ns2.foodline.ru
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;busman15@aol.com
original_recipient: busman15@aol.com
recipient: busman15@aol.com
named_attribute: dsn_orig_rcpt=rfc822;busmannitram@aol.com
original_recipient: busmannitram@aol.com
recipient: busmannitram@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bussbussy@aol.com
original_recipient: bussbussy@aol.com
recipient: bussbussy@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bussbybabes@aol.com
original_recipient: bussbybabes@aol.com
recipient: bussbybabes@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bussell077@aol.com
original_recipient: bussell077@aol.com
recipient: bussell077@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bussybami@aol.com
original_recipient: bussybami@aol.com
recipient: bussybami@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bustedboy10@aol.com
original_recipient: bustedboy10@aol.com
recipient: bustedboy10@aol.com
named_attribute: dsn_orig_rcpt=rfc822;bustedvmcfly@aol.com
original_recipient: bustedvmcfly@aol.com
recipient: bustedvmcfly@aol.com
named_attribute: dsn_orig_rcpt=rfc822;busman4382@blueyonder.co.uk
original_recipient: busman4382@blueyonder.co.uk
done_recipient: busman4382@blueyonder.co.uk
named_attribute: dsn_orig_rcpt=rfc822;buster107@blueyonder.co.uk
original_recipient: buster107@blueyonder.co.uk
done_recipient: buster107@blueyonder.co.uk
named_attribute: dsn_orig_rcpt=rfc822;busk@btinternet.com
original_recipient: busk@btinternet.com
recipient: busk@btinternet.com
named_attribute: dsn_orig_rcpt=rfc822;buskerbill@googlemail.com
original_recipient: buskerbill@googlemail.com
done_recipient: buskerbill@googlemail.com
named_attribute: dsn_orig_rcpt=rfc822;busstopgirl@googlemail.com
original_recipient: busstopgirl@googlemail.com
done_recipient: busstopgirl@googlemail.com
named_attribute: dsn_orig_rcpt=rfc822;bussey_bee@hotmail.co.uk

Тут полезности мало... Есть еще идеи

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Хочу найти спамера"  +/
Сообщение от YuryD (??) on 16-Сен-11, 13:35 
> Тут полезности мало... Есть еще идеи

Полно :) Апач есть ? Или руткит какой-нибудь...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Хочу найти спамера"  +/
Сообщение от opeth2009 (??) on 16-Сен-11, 17:46 
>> Тут полезности мало... Есть еще идеи
>  Полно :) Апач есть ? Или руткит какой-нибудь...

Апач есть

Что делать ? Ребята....

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Хочу найти спамера"  +/
Сообщение от Дядя_Федор email on 18-Сен-11, 16:25 
> Апач есть
> Что делать ? Ребята....

Самый очевидный вариант - уволить сисадмина. За профнепригодность.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Хочу найти спамера"  +/
Сообщение от YuryD (??) on 20-Сен-11, 12:25 
>>> Тут полезности мало... Есть еще идеи
>>  Полно :) Апач есть ? Или руткит какой-нибудь...
> Апач есть

Ищите, кто что залил для рассылки...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Хочу найти спамера"  +/
Сообщение от alexpn (ok) on 29-Сен-11, 08:26 
Гдето троян у тебя ..... выгони его потом ставь антивир ... сообщения в очереди можно удалить либо ждать пока оп паймауту отсохнут
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Хочу найти спамера"  +/
Сообщение от rajmondik191 email on 05-Окт-12, 09:59 
>>>> Тут полезности мало... Есть еще идеи
>>>  Полно :) Апач есть ? Или руткит какой-нибудь...
>> Апач есть
>  Ищите, кто что залил для рассылки...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Хочу найти спамера"  +/
Сообщение от desenix (ok) on 23-Окт-11, 11:23 
Что что, чистить Веб сервер от скриптов с дырками.
И помнить, скачивание всяких примочек на файло помойках, гарантирует получение дырки для спамеров.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Хочу найти спамера"  +/
Сообщение от mesmeridze (ok) on 07-Окт-11, 18:50 
Можно мейллог погрепать на предмет custonofigy@halifax-online.co.uk либо 20110916074231.04BFB1027D30@ns2.foodline.ru. Поскольку тут виден идентификатор очереди постфикса, т.е 127.0.0.1 клиента, либо антиспама. Ай-пи адрес ОБЯЗАТЕЛЬНО должен быть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Хочу найти спамера"  +/
Сообщение от Аноним (??) on 22-Окт-11, 23:03 
твой почтовик - открытый релей, через который отсылают СПАМ. Прогугли как твой Postfix настроить, что бы он не был открытым релеем
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Хочу найти спамера"  –1 +/
Сообщение от LSTemp (ok) on 25-Окт-11, 01:21 
Спамлю.
Ищи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Хочу найти спамера"  +/
Сообщение от ana email on 16-Ноя-12, 18:34 
>[оверквотинг удален]
> relay=127.0.0.1[127.0.0.1]:10025, delay=7.5, delays=7.3/0/0.1/0.15, dsn=2
> Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amah40@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025,
> delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0.0
> Sep 16 11:42:31 ns2 postfix/smtp[77814]: BF00B1027D5D: to=<amaidens@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10025,
> delay=7.5, delays=7.3/0/0.1/0.15, dsn=2.0
> В письме тоже рассылка
> Явно ip адрес отправителя не указан в логах. Как победить и узнать
> его? А то как то не по спортивному...
> Помогите советиком пожалуйста.
> Куда смотреть или что подкрутить в настройках чтобы логи были больше?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Хочу найти спамера"  +/
Сообщение от Сергей email(??) on 22-Янв-13, 17:57 
Нуждаюсь в услугах спамера.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру