Стоит связка postfix+amavisd+spamassassin.
Всё более менее нормально резалось, но стал приходить спам с поддельным адресом моего домена @mycompany.ru. И по этому правилу отлично проходит USER_IN_WHITELIST=-200.Погуглил, нашёл только такое решение:
Добавил это в мой main.cf
smtpd_restriction_classes = OnlyMyDomain
OnlyMyDomain = permit_mynetworks,
permit_sasl_authenticated,
rejectsmtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
В client_access добавил
mydomain.ru OnlyMyDomain
mydomain2.ru OnlyMyDomainНе помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
USER_IN_WHITELIST=-200 и не фильтруется.
>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.SPF
>
>>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>>
>>USER_IN_WHITELIST=-200 и не фильтруется.
>
>SPFА примеры как у Вас это прикручено к Postfix есть? И как вообще оно рабоает?
>А примеры как у Вас это прикручено к Postfix есть? И как
>вообще оно рабоает?ну есть разные варианты. самый простой postfix-policy-spf-perl
прикручивается
добавляете в smtpd_recipient_restrictions
check_policy_service unix:private/spf-policy (после! reject_unauth_destination)
предварительно в master.cf
spf-policy unix - n n - 0 spawn
user=nobody argv=/usr/local/sbin/postfix-policyd-spf-perl
ну перед этим добавить соотв. запись txt на домене
Вариант избавиться от данного вида спама, как прикрутить RBL, все кто так спамят через открытые релеи, уже давно в чёрном списке. Честно говоря как в postfixe они прикручиваются не знаю, но думаю там ничего сложного нет, вот адреса RBL:
blackholes.mail-abuse.org
relays.mail-abuse.org
list.dsbl.org
multihop.dsbl.org
unconfirmed.dsbl.org
relays.ordb.org
>Вариант избавиться от данного вида спама, как прикрутить RBL, все кто так
>спамят через открытые релеи, уже давно в чёрном списке. Честно говоря
>как в postfixe они прикручиваются не знаю, но думаю там ничего
>сложного нет, вот адреса RBL:
>blackholes.mail-abuse.org
>relays.mail-abuse.org
>list.dsbl.org
>multihop.dsbl.org
>unconfirmed.dsbl.org
>relays.ordb.orgДа. Я использовал RBL, но показалось, что это не эффективно - в эти чёрные списке попадают и всякие нормальные организации. Может я не те листы использовал. Но у меня вот:
# reject_rbl_client bl.spamcop.net,
# reject_rbl_client list.dsbl.org,
# reject_rbl_client relays.ordb.org,
# reject_rbl_client dynablock.wirehub.net,
# reject_rbl_client blackholes.wirehub.net,
# reject_rbl_client dnsbl.njabl.org
>
>Да. Я использовал RBL, но показалось, что это не эффективно - в
>эти чёрные списке попадают и всякие нормальные организации. Может я не
>те листы использовал. Но у меня вот:
>весьма эффективно использование БЛ.
вот статистика моего релея за март месяц.
львиная доля приходится именно на БЛ3534 from
4359 to
27135 rejected by SA
1574 qual. as SPAM
109751 rejected by BL
1004 rejected by hostname
4537 user unknown
>[оверквотинг удален]
>вот статистика моего релея за март месяц.
>львиная доля приходится именно на БЛ
>
>3534 from
>4359 to
>27135 rejected by SA
>1574 qual. as SPAM
>109751 rejected by BL
>1004 rejected by hostname
>4537 user unknownА с помощью какого софта статистику собираете?
>list.dsbl.orgуже давненько не функционирует
>relays.ordb.org
а этот блокирует _всех_ уже очень давно. С ним у вас почта вообще не должна работать :)
>>list.dsbl.org
>
>уже давненько не функционирует
>
>>relays.ordb.org
>
>а этот блокирует _всех_ уже очень давно. С ним у вас почта
>вообще не должна работать :)Сорри, если указал уже какие то не работающие, т.к. перешёл на RBL450+.
>Сорри, если указал уже какие то не работающие, т.к. перешёл на RBL450+.а поподробней можно? Что за RBL450+ ??
>[оверквотинг удален]
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>В client_access добавил
>
>mydomain.ru OnlyMyDomain
>mydomain2.ru OnlyMyDomain
>
>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.Вместо этого:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_accessнапиши:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_sender_access hash:/etc/postfix/client_access
>[оверквотинг удален]
>>
>>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>>
>>USER_IN_WHITELIST=-200 и не фильтруется.
>
>Вместо этого:
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>напиши:
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_sender_access hash:/etc/postfix/client_accessЯ это уже сделал, после того, как сюда написал. К сожалению не помогло. Всё равно как то пролазит. Как непонятно. Вот пример письма, которое пролезло, не обращая внимания на эту защиту:
Microsoft Mail Internet Headers Version 2.0
Received: from relay2.mydomain.ru ([192.168.0.1]) by mail.firma.mydomain.ru with Microsoft SMTPSVC(6.0.3790.2825);
Fri, 3 Apr 2009 08:43:46 +0400
Received: from localhost (localhost [127.0.0.1])
by relay2.mydomain.ru (Postfix) with ESMTP id 5043F14B03E
for <adm_group@mydomain.ru>; Fri, 3 Apr 2009 08:43:47 +0400 (MSD)
X-Spam-Score: -190.129
X-Spam-Level:
X-Spam-Status: No, score=-190.129 tagged_above=-999 required=5.9
tests=[BAYES_99=6, HTML_90_100=0.113, HTML_IMAGE_ONLY_28=1.9,
HTML_IMAGE_RATIO_02=0.463, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001,
MSGID_FROM_MTA_ID=1.393, USER_IN_WHITELIST=-200]
Received: from relay2.mydomain.ru ([127.0.0.1])
by localhost (relay2.mydomain.ru [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id biu-eE3v3b3N for <adm_group@mydomain.ru>;
Fri, 3 Apr 2009 08:43:47 +0400 (MSD)
Received: from 200-160-65-37.static-user.ajato.com.br (200-160-65-37.static-user.ajato.com.br [200.160.65.37])
by relay2.mydomain.ru (Postfix) with SMTP id 491A414B096
for <adm_group@mydomain.ru>; Fri, 3 Apr 2009 08:43:35 +0400 (MSD)
To: <adm_group@mydomain.ru>
Subject: Credit card balance transfer
From: MensHealth.com <adm_group@mydomain.ru>
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <20090403044337.491A414B096@relay2.mydomain.ru>
Date: Fri, 3 Apr 2009 08:43:35 +0400 (MSD)
Return-Path: logisztika@aegon.hu
X-OriginalArrivalTime: 03 Apr 2009 04:43:46.0250 (UTC) FILETIME=[C617D2A0:01C9B416]
простой способ:
score USER_IN_WHITELIST=0
либо убрать все whitelist_from
>простой способ:
>score USER_IN_WHITELIST=0
>либо убрать все whitelist_fromВо-первых, если я поставлю score USER_IN_WHITELIST=0, то спамассассин будет исходящую почту тоже на спам проверять. Мне это не нужно.
Во-вторых whiltelist_from то тут причём? С этим правилом то проблем нет.
>Во-первых, если я поставлю score USER_IN_WHITELIST=0, то спамассассин будет исходящую почту тоже
>на спам проверять. Мне это не нужно.
>Во-вторых whiltelist_from то тут причём? С этим правилом то проблем нет.пропишите trusted_networks
и сделайте:
score ALL_TRUSTED=-200
это первое
а второе, поищите в гугле, что такое USER_IN_WHITELIST и поймете при чем тут whiltelist_from
From: MensHealth.com <adm_group@mydomain.ru>То есть вам нужно не толкьо конвертного получателя проверять, но и header sender.
Пока с этим разбираетесь, мой совет, заблокируйте сразу MensHealth в любом header From.
По моей статистике таких Full Name куча.
>From: MensHealth.com <adm_group@mydomain.ru>
>
>То есть вам нужно не толкьо конвертного получателя проверять, но и header
>sender.
>Пока с этим разбираетесь, мой совет, заблокируйте сразу MensHealth в любом header
>From.Каким образом можно это сделать, подскажите пожалуйста.
>По моей статистике таких Full Name куча.
Всмысле? И все блокировать?
У меня не postfix.
Я просто обрщаю ваше внимание на то, что "спам от себя" следут блокировать на 2 этапах:
1)mail from:
2)Header From - хотя обходить эту проверку спамеры уже научились>Всмысле? И все блокировать?
В том смысле, ЧТО, если вы умеете работать с Header From, но пока не в состоянии сделать
исключения для локальшиков и smtp-auth-юзеров, можно пока запретить любой Header from,
содержащий слова Mens Health. На моей почтовой системе почти вся почта с подделанным
Header From содержит либо это либо VIAGRA.А вообще поищите здесь на конфе - эта тема уже месяца 2 как всплывает.
Было тут полное решение.
>[оверквотинг удален]
>В том смысле, ЧТО, если вы умеете работать с Header From, но
>пока не в состоянии сделать
>исключения для локальшиков и smtp-auth-юзеров, можно пока запретить любой Header from,
>содержащий слова Mens Health. На моей почтовой системе почти вся почта с
>подделанным
>Header From содержит либо это либо VIAGRA.
>
>А вообще поищите здесь на конфе - эта тема уже месяца 2
>как всплывает.
>Было тут полное решение.Может я не так ищу. Но по форуму поиском по header_checks и Header From мало информации.
А реально ли сделать эту проверку так, чтобы он по полю /^From: проверял только то что посылается к нам (а не порезал бы исходящую почту, если я, наприме, укажу /^From:mydomain)
>[оверквотинг удален]
>>
>>А вообще поищите здесь на конфе - эта тема уже месяца 2
>>как всплывает.
>>Было тут полное решение.
>
>Может я не так ищу. Но по форуму поиском по header_checks и
>Header From мало информации.
>А реально ли сделать эту проверку так, чтобы он по полю /^From:
>проверял только то что посылается к нам (а не порезал бы
>исходящую почту, если я, наприме, укажу /^From:mydomain)конечно, только так и надо делать и никак иначе
Но повторюсь по postfix я вам не подсказчик
>[оверквотинг удален]
>>>Было тут полное решение.
>>
>>Может я не так ищу. Но по форуму поиском по header_checks и
>>Header From мало информации.
>>А реально ли сделать эту проверку так, чтобы он по полю /^From:
>>проверял только то что посылается к нам (а не порезал бы
>>исходящую почту, если я, наприме, укажу /^From:mydomain)
>
>конечно, только так и надо делать и никак иначе
>Но повторюсь по postfix я вам не подсказчикТолько я совершенно не пойму с синтаксисом и нигде дои не могу найти по нему.
Ставлю/^From:*user1* / REJECT
Отправляю с user1@yandex.ru на user@mydomain.ru всё равно доходит.
http://www.postfix.ru/viewtopic.php?t=19361
доки там же
>http://www.postfix.ru/viewtopic.php?t=19361
>доки там жеСпасибо, конечно но по этой доке я делал из неё как раз всё и взял. Неполучилось, вот и написал сюда. У меня даже в конфиге так же - onlymyuser правило.
http://www.opennet.me/openforum/vsluhforumID1/83079.htmlпохоже там есть рецепт на checkFrom
hosts = !+relay_from_hosts:!+то что надо вам лично
>[оверквотинг удален]
>smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_access
>
>В client_access добавил
>
>mydomain.ru OnlyMyDomain
>mydomain2.ru OnlyMyDomain
>
>Не помогло. Опять приходит спам с моего домена @mycompany.ru, опять он получает
>
>USER_IN_WHITELIST=-200 и не фильтруется.procmail