URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77119
[ Назад ]

Исходное сообщение
"Борьба со спамом"
Отправлено anonymous , 01-Ноя-07 03:00

Есть хостинговый севрер.  Датацентер присылает письма, что рассылаем спам и требует это дело срочно прекратить.  Вот пример заголовков спамового сообщения:
Received: from myserver.com ([209.172.xxx.xxx])
    by mail2.web-standart.net with smtp (Exim 4.67)
    (envelope-from <alenmak@dol.ru>)
    id 1Iio0j-0007KX-2M
    for x; Fri, 19 Oct 2007 12:19:21 +0300
Received: from zdv (76.122.125.175)
    by myserver.com; Fri, 19 Oct 2007 14:19:20 +0500
Но я точно знаю, что мой сервер добавляет некоторые заголовки, которых в этом спаме нет.  Более того, мой Exim пишет Received: в совершенно другом формате.  dol.ru у нас не хостится.  Ну и в логах Exim нигде это сообщение не упоминается, ни ip-источник 76.122.125.175, ни email-источник.
Да, и конечно же сервер не является open relay, требует аутентификации.
Я смог придумать только один сценарий: кто-то залил на сервер скрипты, которые отправляют сообщения с фейковым Received.  Поэтому сейчас пишу правила фаервола чтобы только юзер, под которым работает Exim, мог соединяться с внешними SMTP-серверами.
Такие скрипты уже кто-то встречал в реальной жизни?  Или я уже перемудрил?
И есть ещё какие-либо варианты рассылки спама?

Содержание

Борьба со спамом,konst, 03:20 , 01-Ноя-07
- Борьба со спамом,anonymous, 04:42 , 01-Ноя-07
  - Борьба со спамом,angra, 07:23 , 01-Ноя-07
  - Борьба со спамом,konst, 00:20 , 02-Ноя-07
Борьба со спамом,universite, 04:44 , 02-Ноя-07

Сообщения в этом обсуждении

"Борьба со спамом"
Отправлено konst , 01-Ноя-07 03:20

>Есть хостинговый севрер. Датацентер присылает письма, что рассылаем спам и требует
>это дело срочно прекратить. Вот пример заголовков спамового сообщения:
>
Если некий спамер подставляет Ваш хост в качестве отправителя (From: user@your_host) - а получатель не проверяет IP, то такое может иметь место...

"Борьба со спамом"
Отправлено anonymous , 01-Ноя-07 04:42

>>Есть хостинговый севрер. Датацентер присылает письма, что рассылаем спам и требует
>>это дело срочно прекратить. Вот пример заголовков спамового сообщения:
>>
>
>Если некий спамер подставляет Ваш хост в качестве отправителя (From: user@your_host) -
>а получатель не проверяет IP, то такое может иметь место...
Но в received сервера-получателя остаётся мой IP и хостнейм.

"Борьба со спамом"
Отправлено angra , 01-Ноя-07 07:23

>Но в received сервера-получателя остаётся мой IP и хостнейм.
Спамер ставит ваш hostname в from, принимающий сервер делает lookupи получает IP, но не проверяет что коннект действительно идет с этого IP. Попробуйте вручную послать письмо на этот сервер указав не свой hostname и посмотрите на результат

"Борьба со спамом"
Отправлено konst , 02-Ноя-07 00:20

>Но в received сервера-получателя остаётся мой IP и хостнейм.
У вас в сети завелся спамер/вирус....

"Борьба со спамом"
Отправлено universite , 02-Ноя-07 04:44

>Есть хостинговый севрер. Датацентер присылает письма, что рассылаем спам и требует
>это дело срочно прекратить. Вот пример заголовков спамового сообщения:
>И есть ещё какие-либо варианты рассылки спама?
Поищи скрипт img1.php. Он подобные письма умеет рассылать.