По несколько раз в день пользователи постфикса получают спам от одного коллеги, по логам видно что письма с внешних ip, причем все они во многих черных списках. Юзеру этому пароль сменен, не помогло. Компьютер его чист. Где дыра? Как бороться?
>По несколько раз в день пользователи постфикса получают спам от одного коллеги,
>по логам видно что письма с внешних ip, причем все они
>во многих черных списках. Юзеру этому пароль сменен, не помогло. Компьютер
>его чист. Где дыра? Как бороться?как заставить не принимать письма от этого пользователя, или как заставить человека их рассылающего, их не рассылать?
>как заставить не принимать письма от этого пользователя, или как заставить человека
>их рассылающего, их не рассылать?Виноват если непонятно написал. Пользователи этого сервера могут слать почту только из локальной сети. А спам приходит от одного из них, логи показывают внешние ip адреса отправителя.
>>как заставить не принимать письма от этого пользователя, или как заставить человека
>>их рассылающего, их не рассылать?
>
>Виноват если непонятно написал. Пользователи этого сервера могут слать почту только из
>локальной сети. А спам приходит от одного из них, логи показывают
>внешние ip адреса отправителя.Лог покажи
>Лог покажиSep 17 04:05:20 soft postfix/smtpd[63931]: 2EA10586F8: client=unknown[170.51.167.94]
Sep 17 04:05:40 soft postfix/cleanup[63188]: 2EA10586F8: message-id=<jllydZZZIALKa.moroz@domain.com>
Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)ну и дальше 20ти юзерам доставка.
---main.cfsmtpd_client_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_mynetworkssmtpd_recipient_restrictions =
permit_mynetworks,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_non_fqdn_sender,
reject_unauth_destination,
permitsmtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permitможет здесь причина?
>>Лог покажи
>
>Sep 17 04:05:20 soft postfix/smtpd[63931]: 2EA10586F8: client=unknown[170.51.167.94]
>Sep 17 04:05:40 soft postfix/cleanup[63188]: 2EA10586F8: message-id=<jllydZZZIALKa.moroz@domain.com>
>Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)
>
>ну и дальше 20ти юзерам доставка.а шо вы таки хотели ? Почта для вас ? для вас. Значит сервак её принимает без авторизации, какие проблемы ? А вы - "пароль сменен", "почту отправить можно только из локальной сети"....
На станках в стране работать некому, смените профессию.
>[оверквотинг удален]
>>Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)
>>
>>ну и дальше 20ти юзерам доставка.
>
>а шо вы таки хотели ? Почта для вас ? для
>вас. Значит сервак её принимает без авторизации, какие проблемы ?
>А вы - "пароль сменен", "почту отправить можно только из локальной
>сети"....
>
>На станках в стране работать некому, смените профессию.уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com мой. Кто-то от его имени шлет откуда захочет спам моим юзерам через мой сервер. Потому и пароль меняли.
>[оверквотинг удален]
>>а шо вы таки хотели ? Почта для вас ? для
>>вас. Значит сервак её принимает без авторизации, какие проблемы ?
>>А вы - "пароль сменен", "почту отправить можно только из локальной
>>сети"....
>>
>>На станках в стране работать некому, смените профессию.
>
>уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com
>мой. Кто-то от его имени шлет откуда захочет спам моим юзерам
>через мой сервер. Потому и пароль меняли.Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
2PavelR А вы не умничайте лучше человеку помогите...Студент!
P.S. Сколько в последние время чайников пыхтящих развелось ...
>
>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>мне что в список пихать каждый айпи машины с трояном с которой идет рассылка.. не очень то подходит
>>
>>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>>
>
>мне что в список пихать каждый айпи машины с трояном с которой
>идет рассылка.. не очень то подходитПричем тут ip машины с трояном? Там же ясно указано что отправитель тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших сетей.
>[оверквотинг удален]
>>>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>>>
>>
>>мне что в список пихать каждый айпи машины с трояном с которой
>>идет рассылка.. не очень то подходит
>
>Причем тут ip машины с трояном? Там же ясно указано что отправитель
>тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда
>почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших
>сетей.Restrictions are applied in the order as specified; the first restriction that matches wins.
Ограничения применяются в порядке как определены; первое ограничение которое соответствует выигрывает
(http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...)smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access hash:/usr/local/etc/postfix/antispam/wtf,
ограничения дальше,
...Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес) с обратным адресом нашего домена в нашу сеть, то адрес получателя соответствует permit_mynetworks, и сообщение проходит. И как в данном случае поможет проверка check_sender_access?
Поправьте, если я не так понимаю.
>[оверквотинг удален]
> permit_mynetworks,
> check_sender_access hash:/usr/local/etc/postfix/antispam/wtf,
> ограничения дальше,
> ...
>
>Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес)
>с обратным адресом нашего домена в нашу сеть, то адрес получателя
>соответствует permit_mynetworks, и сообщение проходит. И как в данном случае поможет
>проверка check_sender_access?
>Поправьте, если я не так понимаю.Не много не так ... Адрес получателя,имеется ввиду доменный адрес не соответствует permit_mynetworks,mynetworks - это сети которым вы доверяете. Т.е. permit_mynetworks сети из которых вы можете пересылать почту через ваш сервер...В примере check_sender_access проверяет адрес отправителя и если он соответствует вашем домену делает отлуп 554.
Вот пример...
telnet mail.pochta.tst
Trying 19.11.10.18...
Connected to mail.pochta.tst.
Escape character is '^]'.
220 mail.pochta.tst ESMTP is glad to see you!
helo mail.test.tst
MAIL FROM: user@pochta.tst
RCPT TO: test@pochta.tst # Вот здесь выполнится проверка на отправителя
# check_sender_access,и если окажется,что в MAIL FROM:
# стоит имя вашего домена будет отлуп 554..554 pochta.tst sender? What the fuck? You're not in mynetworks! # Тут я думаю коментарии
# излишни... :)Почему check_sender_access записано в smtpd_recipient_restrictions?
Можно было бы записать и в smtpd_sender_restrictions и так и так подойдет.Советую почитать по этой теме про отложенную обработку списков доступа.Надеюсь хорошо объяснил, и не слишком занудно... :)
>[оверквотинг удален]
>
>
> # излишни... :)
>
>
>Почему check_sender_access записано в smtpd_recipient_restrictions?
>Можно было бы записать и в smtpd_sender_restrictions и так и так подойдет.Советую
>почитать по этой теме про отложенную обработку списков доступа.
>
>Надеюсь хорошо объяснил, и не слишком занудно... :)cпасибо за помощь, все ясно теперь
>[оверквотинг удален]
>>
>>уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com
>>мой. Кто-то от его имени шлет откуда захочет спам моим юзерам
>>через мой сервер. Потому и пароль меняли.
>
>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>
>2PavelR А вы не умничайте лучше человеку помогите...Студент!
>
>P.S. Сколько в последние время чайников пыхтящих развелось ...то что сказал павел понятно
а вот по ссылке не ясноThe smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT TO commands
Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT TO
(http://www.postfix.org/uce.html#smtpd_recipient_restrictions)и как тут будет проверяться check_sender_access? речь же идет о получателях?
>The smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT
>TO commands
>
>Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT
>TO
>(http://www.postfix.org/uce.html#smtpd_recipient_restrictions)
>
>и как тут будет проверяться check_sender_access? речь же идет о получателях?актуальная дока:
http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...
The access restrictions that the Postfix SMTP server applies in the context of the RCPT TO command.
Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть можно отправителя и на этом этапе проверять, но лучше, мне кажется в своем разделе ограничений.
Ну это мы отклонились от темы...
>[оверквотинг удален]
>>и как тут будет проверяться check_sender_access? речь же идет о получателях?
>
>актуальная дока:
>http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...
>The access restrictions that the Postfix SMTP server applies in the context
>of the RCPT TO command.
>Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть
>можно отправителя и на этом этапе проверять, но лучше, мне кажется
>в своем разделе ограничений.
>Ну это мы отклонились от темы...Лучше как раз на этапе RCPT.