URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83079
[ Назад ]

Исходное сообщение
"СПАМ от себя"

Отправлено lexanic1977 , 27-Ноя-08 10:49 
задолбал спам от самого себя
т.е. приходят письма со спамом с мои обратным адресом типа я себе его послал
почтовик на postfix+clamav+spamassassin
кто-нибудь сталкивался с этим

Содержание

Сообщения в этом обсуждении
"СПАМ от себя"
Отправлено jhhh , 27-Ноя-08 11:00 
>задолбал спам от самого себя
>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>его послал
>почтовик на postfix+clamav+spamassassin
>кто-нибудь сталкивался с этим

zagolovki posmotrite
ili syuda prishlite

u menya takaya zhe problema


"СПАМ от себя"
Отправлено lexanic1977 , 27-Ноя-08 11:07 
>>задолбал спам от самого себя
>>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>>его послал
>>почтовик на postfix+clamav+spamassassin
>>кто-нибудь сталкивался с этим
>
>zagolovki posmotrite
> ili syuda prishlite
>
>u menya takaya zhe problema

загаловки
Content-Type:      text/html
Date:      Wed, 26 Nov 2008 23:06:29 +0300 (MSK) [26.11.2008 23:06:29 MSK]
From:      admin@domain.ru
Importance:      High
MIME-Version:      1.0
Message-Id:      <20081126200631.4125410A528@post.domain.ru>

Received:      

    * from deliver ([unix socket]) by post.domain.ru (Cyrus v2.3.13) with LMTPA; Wed, 26 Nov 2008 23:06:44 +0300
    * from localhost (localhost.domain.ru [127.0.0.1]) by post.domain.ru (Postfix) with ESMTP id 7419F10A526 for <admin@post.domain.ru>; Wed, 26 Nov 2008 23:06:44 +0300 (MSK)
    * from post.domain.ru ([127.0.0.1]) by localhost (post.domain.ru [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id nDmdcdHN2dwI for <admin@post.domain.ru>; Wed, 26 Nov 2008 23:06:41 +0300 (MSK)
    * from 241-23-231-201.fibertel.com.ar (241-23-231-201.fibertel.com.ar [201.231.23.241]) by post.domain.ru (Postfix) with SMTP id 4125410A528 for <admin@domain.ru>; Wed, 26 Nov 2008 23:06:29 +0300 (MSK)

Return-Path:      <admin@domain.ru>
Subject:      long-term projection
To:      admin@domain.ru
X-Sieve:      CMU Sieve 2.3
X-Virus-Scanned:      amavisd-new at adamant-stroy.ru


"СПАМ от себя"
Отправлено Аноним , 27-Ноя-08 13:12 
spf на домен, чуток поможет.

"СПАМ от себя"
Отправлено Medlar , 27-Ноя-08 13:22 
неужели у постфикса нет решения для такой простой задачи?

"СПАМ от себя"
Отправлено Bosh , 27-Ноя-08 14:16 
Не знаю  как в postfix , а в exim  решается элементарно .
Приводить пример не буду ,  поскольку вопрос о postfix.
Теория такова:
Если входящее письмо идет не с твоего real ip  или не с твоей внутренней сети (192.168...  10.0....) и sender address=твой адрес или sender address domain=твой домен посылаешь нах.
Я думаю в postfix что-то подобное должно быть.  

>неужели у постфикса нет решения для такой простой задачи?


"СПАМ от себя"
Отправлено Vladimir , 27-Ноя-08 14:25 
>Не знаю  как в postfix , а в exim  решается
>элементарно .
>Приводить пример не буду ,  поскольку вопрос о postfix.
>Теория такова:
>Если входящее письмо идет не с твоего real ip  или не
>с твоей внутренней сети (192.168...  10.0....) и sender address=твой адрес
>или sender address domain=твой домен посылаешь нах.
>Я думаю в postfix что-то подобное должно быть.
>
>>неужели у постфикса нет решения для такой простой задачи?

http://www.postfix.ru/viewtopic.php?t=7104


"СПАМ от себя"
Отправлено Bosh , 27-Ноя-08 14:30 
В exim  чуть красивее ,  но принцип тот же .

>[оверквотинг удален]
>>Приводить пример не буду ,  поскольку вопрос о postfix.
>>Теория такова:
>>Если входящее письмо идет не с твоего real ip  или не
>>с твоей внутренней сети (192.168...  10.0....) и sender address=твой адрес
>>или sender address domain=твой домен посылаешь нах.
>>Я думаю в postfix что-то подобное должно быть.
>>
>>>неужели у постфикса нет решения для такой простой задачи?
>
> http://www.postfix.ru/viewtopic.php?t=7104


"СПАМ от себя"
Отправлено Grey , 27-Ноя-08 15:07 
>В exim  чуть красивее ,  но принцип тот же .

примерчик, если не затруднит ......


"СПАМ от себя"
Отправлено Bosh , 27-Ноя-08 15:32 
в acl_smtp_rcpt

deny    hosts = !+relay_from_hosts:!+то что надо вам лично
          domains   = +local_domains
          condition       = ${if or{  { eq{$sender_address}{$local_part@$domain} }\
                                { eq{$sender_address_domain}{$domain} } } }
          log_message     = The same local addresses or domain in MAIL FROM and RCPT TO from nonlocal relay
          message         = Access denied

>>В exim  чуть красивее ,  но принцип тот же .
>
>примерчик, если не затруднит ......


"СПАМ от себя"
Отправлено Medlar , 27-Ноя-08 16:00 
это решение не учитывает внутренний From:?

"СПАМ от себя"
Отправлено Bosh , 27-Ноя-08 17:03 
Учитывает
hosts = !+relay_from_hosts:!+то что надо вам лично

>это решение не учитывает внутренний From:?


"СПАМ от себя"
Отправлено Grey , 27-Ноя-08 16:19 
>[оверквотинг удален]
>} } }
>          log_message  
>   = The same local addresses or domain in
>MAIL FROM and RCPT TO from nonlocal relay
>          message  
>       = Access denied
>
>>>В exim  чуть красивее ,  но принцип тот же .
>>
>>примерчик, если не затруднит ......

спасибо, есть от чего оттолкнуться :)


"СПАМ от себя"
Отправлено Vaniok , 27-Ноя-08 16:56 
>[оверквотинг удален]
>>   = The same local addresses or domain in
>>MAIL FROM and RCPT TO from nonlocal relay
>>          message  
>>       = Access denied
>>
>>>>В exim  чуть красивее ,  но принцип тот же .
>>>
>>>примерчик, если не затруднит ......
>
>спасибо, есть от чего оттолкнуться :)

Обясните какже все таки это делается в postfix

что нужно прописать???



"СПАМ от себя"
Отправлено Bosh , 27-Ноя-08 17:04 
Это правило уже успешно работает пару лет , это уже решение
>[оверквотинг удален]
>>   = The same local addresses or domain in
>>MAIL FROM and RCPT TO from nonlocal relay
>>          message  
>>       = Access denied
>>
>>>>В exim  чуть красивее ,  но принцип тот же .
>>>
>>>примерчик, если не затруднит ......
>
>спасибо, есть от чего оттолкнуться :)


"СПАМ от себя"
Отправлено Vaniok , 27-Ноя-08 17:39 
>[оверквотинг удален]
>} } }
>          log_message  
>   = The same local addresses or domain in
>MAIL FROM and RCPT TO from nonlocal relay
>          message  
>       = Access denied
>
>>>В exim  чуть красивее ,  но принцип тот же .
>>
>>примерчик, если не затруднит ......

что имеется в виду под: +то что надо вам лично?????
обясните простыми словами, новичку.


"СПАМ от себя"
Отправлено ALex_hha , 01-Дек-08 20:07 
>Не знаю  как в postfix , а в exim  решается
>элементарно .

та тоже очень просто

smtpd_recipient_restrictions =
# Пропускаем своих
permit_mynetworks
# Пропускаем тех, кто прошел аутентификацию
permit_sasl_authenticated
# Отвергаем тех, кто в поле mail from использует наш домен
check_sender_access hash:$config_directory/sender_access

$config_directory/sender_access
mydomain.com REJECT

Вот и все :)


"СПАМ от себя"
Отправлено Andrey , 02-Дек-08 14:42 
>[оверквотинг удален]
> permit_mynetworks
># Пропускаем тех, кто прошел аутентификацию
> permit_sasl_authenticated
># Отвергаем тех, кто в поле mail from использует наш домен
> check_sender_access hash:$config_directory/sender_access
>
>$config_directory/sender_access
>mydomain.com REJECT
>
>Вот и все :)

А если в permit_mynetwork стоит 127.0.0.1, чтобы получать письма от рута,постмастера и прочих демонов? Ведь можно зайти телнетом на smtp, и отправиьт почту представившись тем же постматсером и с хоста 127.0.0.1 почта улетит?
Или я чего-то не въезжаю?:)


"СПАМ от себя"
Отправлено mEDLAR , 02-Дек-08 15:54 
>[оверквотинг удален]
>>
>>$config_directory/sender_access
>>mydomain.com REJECT
>>
>>Вот и все :)
>
>А если в permit_mynetwork стоит 127.0.0.1, чтобы получать письма от рута,постмастера и
>прочих демонов? Ведь можно зайти телнетом на smtp, и отправиьт почту
>представившись тем же постматсером и с хоста 127.0.0.1 почта улетит?
>Или я чего-то не въезжаю?:)

Прально, в  большинстве случаев спамеры именно так и делают: отправляют почту, подписанную вашим доменом, напрмую через ваш почтовик. Только фигурировать в логе будет не 127.0.0.1, а ваш реальный IP

Здесь к вышеприведенным решениям еще  нужно контролировать количество заголовков Received
в заголовке письма.  Но!  С этим единственным Received: столько заморочек  (в частности, легальная почта от MSExchange
часто идет с одним Received:),  что сомневаюсь, что exim & postfix с решением этой задачи _в_ комплексе_ могут справиться
таким же простым способом.



"СПАМ от себя"
Отправлено mEDLAR , 02-Дек-08 17:34 
поправочка
IP отправителя будет в логе, а не сервера
так что эта задачка с первоначальной не пересекается

"СПАМ от себя"
Отправлено Bosh , 02-Дек-08 22:15 
Написал же белым по черному "в exim  решается элементарно"
и привел пример который это  решает реально .
Нахрена Вам Received ?

>[оверквотинг удален]
>Прально, в  большинстве случаев спамеры именно так и делают: отправляют почту,
>подписанную вашим доменом, напрмую через ваш почтовик. Только фигурировать в логе
>будет не 127.0.0.1, а ваш реальный IP
>
>Здесь к вышеприведенным решениям еще  нужно контролировать количество заголовков Received
>в заголовке письма.  Но!  С этим единственным Received: столько заморочек
> (в частности, легальная почта от MSExchange
>часто идет с одним Received:),  что сомневаюсь, что exim & postfix
>с решением этой задачи _в_ комплексе_ могут справиться
>таким же простым способом.


"СПАМ от себя"
Отправлено ALex_hha , 02-Дек-08 19:17 
>[оверквотинг удален]
>>
>>$config_directory/sender_access
>>mydomain.com REJECT
>>
>>Вот и все :)
>
>А если в permit_mynetwork стоит 127.0.0.1, чтобы получать письма от рута,постмастера и
>прочих демонов? Ведь можно зайти телнетом на smtp, и отправиьт почту
>представившись тем же постматсером и с хоста 127.0.0.1 почта улетит?
>Или я чего-то не въезжаю?:)

Это защита от мира, если пользователь зайдет локально на сервак и наберет

# telnet localhost 25
bla
bla
bla

То, он сможет отправить почту, но смысл?! Вы даете своим пользователям доступ к серверу? ;)


"СПАМ от себя"
Отправлено lexanic1977 , 28-Ноя-08 11:11 
>задолбал спам от самого себя
>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>его послал
>почтовик на postfix+clamav+spamassassin
>кто-нибудь сталкивался с этим

пока поставил greykisting
эта фигня исчезла
попробую как по ссылке рекомендуют а там посмотрим



"СПАМ от себя"
Отправлено lexanic1977 , 28-Ноя-08 15:39 
>>задолбал спам от самого себя
>>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>>его послал
>>почтовик на postfix+clamav+spamassassin
>>кто-нибудь сталкивался с этим
>
>пока поставил greykisting
>эта фигня исчезла
>попробую как по ссылке рекомендуют а там посмотрим

greylisting


"СПАМ от себя"
Отправлено chaoticfire , 02-Дек-08 14:38 
>задолбал спам от самого себя
>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>его послал
>почтовик на postfix+clamav+spamassassin
>кто-нибудь сталкивался с этим

аналогичная проблема.

в конфиге:

smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_auth_destination,
        permit_mx_backup,
        check_sender_access hash:/etc/postfix/sender_access
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unauth_destination,
        check_policy_service inet:127.0.0.1:60000,
        permit

но все равно приходят письма со спамом от самого себя =(
из лога:

Dec  2 13:20:21 post postfix/cleanup[4254]: EDE0D920482: message-id=<20081202101814.CF4AE920443@post.domain.ru>
Dec  2 13:20:21 post postfix/qmgr[31463]: EDE0D920482: from=<user@domain.ru>, size=1094, nrcpt=1 (queue active)
Dec  2 13:20:21 post postfix/smtpd[4441]: disconnect from localhost[127.0.0.1]
Dec  2 13:20:21 post amavis[4970]: (04970-01) FWD via SMTP: <user@domain.ru> -> <user@domain.ru>, 250 2.6.0 Ok, id=04970-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EDE0D920482
Dec  2 13:20:21 post amavis[4970]: (04970-01) Passed CLEAN, [92.127.12.241] [92.127.12.241] <user@domain.ru> -> <user@domain.ru>, Message-ID: <20081202101814.CF4AE920443@post.domain.ru>, mail_id: q6XAsrA623Fj, Hits: -87.835, queued_as: EDE0D920482, 125286 ms
Dec  2 13:20:21 post amavis[4970]: (04970-01) TIMING [total 125290 ms] - SMTP LHLO: 6 (0%)0, SMTP pre-MAIL: 1 (0%)0, mkdir tempdir: 0 (0%)0, create email.txt: 1 (0%)0, SMTP pre-DATA-flush: 4 (0%)0, SMTP DATA: 38 (0%)0, body_digest: 1 (0%)0, gen_mail_id: 1 (0%)0, mkdir parts: 1 (0%)0, mime_decode: 10 (0%)0, spam-wb-list: 4 (0%)0, SA msg read: 1 (0%)0, SA parse: 2 (0%)0, SA check: 125132 (100%)100, SA finish: 4 (0%)100, update_cache: 2 (0%)100, decide_mail_destiny: 1 (0%)100, fwd-connect: 8 (0%)100, fwd-mail-from: 2 (0%)100, fwd-rcpt-to: 2 (0%)100, fwd-data-cmd: 1 (0%)100, write-header: 1 (0%)100, fwd-data-contents: 1 (0%)100, fwd-data-end: 54 (0%)100, fwd-rundown: 2 (0%)100, prepare-dsn: 1 (0%)100, main_log_entry: 10 (0%)100, update_snmp: 1 (0%)100, unlink-1-files: 1 (0%)100, rundown: 0 (0%)100
Dec  2 13:20:21 post postfix/lmtp[4818]: CF4AE920443: to=<user@domain.ru>, relay=127.0.0.1[127.0.0.1]:10024, delay=127, delays=1.3/0/0.01/125, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=04970-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EDE0D920482)
Dec  2 13:20:21 post postfix/qmgr[31463]: CF4AE920443: removed
Dec  2 13:20:21 post postfix/smtp[4801]: EDE0D920482: to=<user@domain.ru>, relay=172.31.4.254[172.31.4.254]:25, delay=0.1, delays=0.06/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <20081202101814.CF4AE920443@post.domain.ru> Queued mail for delivery)
Dec  2 13:20:21 post postfix/qmgr[31463]: EDE0D920482: removed

Помогите, пожалуйста, разобраться где дырка в правилах.


"СПАМ от себя"
Отправлено ALex_hha , 02-Дек-08 19:20 
>[оверквотинг удален]
>        reject_non_fqdn_recipient,
>        reject_unknown_recipient_domain,
>        reject_unauth_pipelining,
>        reject_invalid_hostname,
>        reject_non_fqdn_hostname,
>        reject_unauth_destination,
>        check_policy_service inet:127.0.0.1:60000,
>        permit
>
>но все равно приходят письма со спамом от самого себя =(

Что написали, то он и делает. Ваш спам принимается правилом permit_auth_destination. И вообще очень криво построен набор правил, имхо.

permit в конце не нужен, он и так по дефолту


"СПАМ от себя"
Отправлено chaoticfire , 03-Дек-08 14:49 
>[оверквотинг удален]
>>        reject_unauth_destination,
>>        check_policy_service inet:127.0.0.1:60000,
>>        permit
>>
>>но все равно приходят письма со спамом от самого себя =(
>
>Что написали, то он и делает. Ваш спам принимается правилом permit_auth_destination. И
>вообще очень криво построен набор правил, имхо.
>
>permit в конце не нужен, он и так по дефолту

можете просветить в чем кривизна...кроме пермита в конце?


"СПАМ от себя"
Отправлено ALex_hha , 05-Дек-08 16:38 
>[оверквотинг удален]
>>>        permit
>>>
>>>но все равно приходят письма со спамом от самого себя =(
>>
>>Что написали, то он и делает. Ваш спам принимается правилом permit_auth_destination. И
>>вообще очень криво построен набор правил, имхо.
>>
>>permit в конце не нужен, он и так по дефолту
>
>можете просветить в чем кривизна...кроме пермита в конце?

Я уже написал про permit_auth_destination


"СПАМ от себя"
Отправлено chaoticfire , 07-Дек-08 18:23 
>[оверквотинг удален]
>>>>но все равно приходят письма со спамом от самого себя =(
>>>
>>>Что написали, то он и делает. Ваш спам принимается правилом permit_auth_destination. И
>>>вообще очень криво построен набор правил, имхо.
>>>
>>>permit в конце не нужен, он и так по дефолту
>>
>>можете просветить в чем кривизна...кроме пермита в конце?
>
>Я уже написал про permit_auth_destination

permit_auth_destination убрал, но спам с подменой from как валил так и валит =(


"СПАМ от себя"
Отправлено Lex , 07-Дек-08 18:59 
>[оверквотинг удален]
>>>>вообще очень криво построен набор правил, имхо.
>>>>
>>>>permit в конце не нужен, он и так по дефолту
>>>
>>>можете просветить в чем кривизна...кроме пермита в конце?
>>
>>Я уже написал про permit_auth_destination
>
>permit_auth_destination убрал, но спам с подменой from как валил так и валит
>=(

Посмотри пример более менее нормального набора правил...
http://www.sys-adm.org.ua/mail/mail-howto-p1.php#c6


"СПАМ от себя"
Отправлено ALex_hha , 08-Дек-08 16:29 
>[оверквотинг удален]
>>>>вообще очень криво построен набор правил, имхо.
>>>>
>>>>permit в конце не нужен, он и так по дефолту
>>>
>>>можете просветить в чем кривизна...кроме пермита в конце?
>>
>>Я уже написал про permit_auth_destination
>
>permit_auth_destination убрал, но спам с подменой from как валил так и валит
>=(

ты говоришь про envelope sender или From из заголовков?


"СПАМ от себя"
Отправлено chaoticfire , 08-Дек-08 17:38 
>[оверквотинг удален]
>>>>>permit в конце не нужен, он и так по дефолту
>>>>
>>>>можете просветить в чем кривизна...кроме пермита в конце?
>>>
>>>Я уже написал про permit_auth_destination
>>
>>permit_auth_destination убрал, но спам с подменой from как валил так и валит
>>=(
>
>ты говоришь про envelope sender или From из заголовков?

Про From.

"Dec  2 13:20:21 post amavis[4970]: (04970-01) FWD via SMTP: <user@domain.ru> -> <user@domain.ru>, 250 2.6.0 Ok, id=04970-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EDE0D920482"


"СПАМ от себя"
Отправлено ALex_hha , 09-Дек-08 10:57 
>[оверквотинг удален]
>>>>Я уже написал про permit_auth_destination
>>>
>>>permit_auth_destination убрал, но спам с подменой from как валил так и валит
>>>=(
>>
>>ты говоришь про envelope sender или From из заголовков?
>
>Про From.
>
>"Dec  2 13:20:21 post amavis[4970]: (04970-01) FWD via SMTP: <user@domain.ru> -> <user@domain.ru>, 250 2.6.0 Ok, id=04970-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EDE0D920482"

тогда смотри каким правилом оно у тебя принимается


"СПАМ от себя"
Отправлено user , 09-Дек-08 17:17 
>задолбал спам от самого себя
>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>его послал
>почтовик на postfix+clamav+spamassassin
>кто-нибудь сталкивался с этим

procmail попопробуй, прикрутить, что то типа:
:0:
* ^From.*(@ТВОЙ_ДОМЕН)
* !^Received:.*((172)\.(31))
spam (либо /dev/null)


"СПАМ от себя"
Отправлено muradyanintellex.ru , 11-Дек-08 00:49 
>задолбал спам от самого себя
>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>его послал
>почтовик на postfix+clamav+spamassassin
>кто-нибудь сталкивался с этим

"СПАМ от себя"
Отправлено Умник , 15-Дек-08 16:04 
>>задолбал спам от самого себя
>>т.е. приходят письма со спамом с мои обратным адресом типа я себе
>>его послал

А как решить аналогичную проблему на Sendmail?



"СПАМ от себя"
Отправлено chaoticfire , 18-Дек-08 17:49 
Собственно меня данная настройка спасла от спама на 99+%

strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes

policy_time_limit=3600

smtpd_client_restrictions =
        permit_mynetworks
# Geoip
        check_policy_service unix:private/policy
# Access list
        check_client_access hash:/etc/postfix/access_client
# DNS Regexp
        check_client_access regexp:/etc/postfix/dul_checks
        reject_rbl_client bl.spamcop.net
        reject_rbl_client cbl.abuseat.org
#        reject_rbl_client dnsbl.sorbs.net
#        reject_rbl_client psbl.surriel.com
#        reject_rbl_client spamsources.fabel.dk
#        reject_rbl_client opm.blitzed.org
        reject_rbl_client combined.njabl.org
        reject_rbl_client dul.ru
        permit

smtpd_helo_restrictions =
  permit_mynetworks,
  check_helo_access regexp:/etc/postfix/helo_access,
  check_helo_access regexp:/etc/postfix/helo_regexp,
  check_helo_access regexp:/etc/postfix/dul_checks,
  reject_invalid_hostname

smtpd_sender_restrictions =
        permit_mynetworks,
        check_sender_access regexp:/etc/postfix/sender_access,
        check_policy_service unix:private/policy,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain

smtpd_recipient_restrictions =
        reject_unauth_pipelining,
        permit_mynetworks,
        check_sender_access regexp:/etc/postfix/sender_access,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unlisted_recipient,
        reject_unauth_destination,
# Postgrey
        check_policy_service inet:127.0.0.1:60000,
        permit