URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90964
[ Назад ]

Исходное сообщение
"как убрать спам такого вида (Exim, FreeBSD) ?"

Отправлено bobot , 17-Фев-11 14:22 
мой ящик bobotol@univ.kiev.ua

на него приходят письма с другим полем To:

Т.е. для того чтоб мне попало письмо в ящик надо что в поле To: bobotol@univ.kiev.ua
а вот в поле To: стоит другой адрес и всё равно письмо мне попадает

вот заголовок


Return-path: <vseprosto@m-host.com.ua>
Envelope-to: bobot@univ.kiev.ua
Delivery-date: Thu, 17 Feb 2011 01:03:18 +0200
Received: from m-host.com.ua ([213.239.221.137])
       by mail.univ.kiev.ua with esmtp (Exim 4.69 (FreeBSD))
       (envelope-from <vseprosto@m-host.com.ua>)
       id 1PpqP0-0004H1-6T
       for bobot@univ.kiev.ua; Thu, 17 Feb 2011 01:03:18 +0200
Received: from mail.ru (ns25316.ovh.net [91.121.30.145])
       by m-host.com.ua (Postfix) with ESMTP id 70B23678082;
       Thu, 17 Feb 2011 02:01:17 +0100 (CET)
Message-ID: <B586663210A148DDB7A3DE50832FB9A5@LocalHost>
From: "VseProsto" <vseprosto@m-host.com.ua>
To: =?windows-1251?B?xuXr5eft6Pfl7eru?= <hunjnwpoet@online.ua>                    ---------Вот этот другой ящик
Subject: =?windows-1251?B?yO3y5fDt5fIg7ODj4Ofo7SD96vHq6/7n6OLt+/Ug7+7k4PDq7uIg6CDx8+Ll7ejw7uIg4iDK6OXi5Q==?=
Date: Thu, 17 Feb 2011 01:01:04 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
       Type="multipart/alternative";
       boundary="----=_NextPart_000_0267_01CBCE3E.26908210"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Mail 6.0.6001.18000
X-MimeOLE: Produced By Microsoft MimeOLE V6.0.6001.18049

Может кто-то подскажет какую надо проверочку в ACL добавить ?


Содержание

Сообщения в этом обсуждении
"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено desenix , 17-Фев-11 14:57 
Это нормальное поведение почты, ибо так же придёт письмо если твой ящик поставят в список скрытых адресатов.
На публичных серверах я фильтр настраивал, если не мне, то в спам.

"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено den , 17-Фев-11 19:02 
> Это нормальное поведение почты, ибо так же придёт письмо если твой ящик
> поставят в список скрытых адресатов.
> На публичных серверах я фильтр настраивал, если не мне, то в спам.

роутинг идет по Envelope-to: bobot@univ.kiev.ua


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 17-Фев-11 21:37 
> мой ящик bobotol@univ.kiev.ua
> на него приходят письма с другим полем To:
> Может кто-то подскажет какую надо проверочку в ACL добавить ?

Это - нормально и так и должно быть. И не нужно там ничего править. Уже самому себе письмо отправить нельзя :(.

P.S. Теперь я понимаю, кто нашу почту админит и почему в ней столько спама...


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено bobot , 18-Фев-11 03:59 
>> мой ящик bobotol@univ.kiev.ua
>> на него приходят письма с другим полем To:
>> Может кто-то подскажет какую надо проверочку в ACL добавить ?
> Это - нормально и так и должно быть. И не нужно там
> ничего править. Уже самому себе письмо отправить нельзя :(.
> P.S. Теперь я понимаю, кто нашу почту админит и почему в ней
> столько спама...

Химик не мурчи а то я разомнусь ! Админят другое если умешь , а почту администрируют


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 18-Фев-11 13:06 
>>> мой ящик bobotol@univ.kiev.ua
>>> на него приходят письма с другим полем To:
> Химик не мурчи а то я разомнусь ! Админят другое если умешь
> , а почту администрируют

Молодой человек, Вы всегда так обращаетесь к незнакомым людям, работающим в одной с Вами организации?

Разберитесь для себя, что такое копия и скрытая копия. Если ваш адрес занесён в эти поля, то письмо будет адресовано кому угодно, только не Вам. При этом всём Вы пытаетесь "администрировать" релей, не самой маленькой организации... Последствия этого "администрирования" мы сегодня разгребаем уже с самого утра...


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено rr , 18-Фев-11 13:33 
>[оверквотинг удален]
>>>> на него приходят письма с другим полем To:
>> Химик не мурчи а то я разомнусь ! Админят другое если умешь
>> , а почту администрируют
> Молодой человек, Вы всегда так обращаетесь к незнакомым людям, работающим в одной
> с Вами организации?
> Разберитесь для себя, что такое копия и скрытая копия. Если ваш адрес
> занесён в эти поля, то письмо будет адресовано кому угодно, только
> не Вам. При этом всём Вы пытаетесь "администрировать" релей, не самой
> маленькой организации... Последствия этого "администрирования" мы сегодня разгребаем
> уже с самого утра...

извините, вмешаюсь, если адрес автора внесен в CC или BCC и поэтому он получил письмо, он  увидел бы свой адрес в соответствующих заголовках, разве не так?


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 18-Фев-11 13:45 
> извините, вмешаюсь, если адрес автора внесен в CC или BCC и поэтому
> он получил письмо, он  увидел бы свой адрес в соответствующих
> заголовках, разве не так?

Ну так он там и есть:

for bobot@univ.kiev.ua; Thu, 17 Feb 2011 01:03:18 +0200

именно там стоит и мой адрес в спаме, адресованном кому-то другом (специально посмотрел).


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено rr , 18-Фев-11 13:48 
>> извините, вмешаюсь, если адрес автора внесен в CC или BCC и поэтому
>> он получил письмо, он  увидел бы свой адрес в соответствующих
>> заголовках, разве не так?
> Ну так он там и есть:
> for bobot@univ.kiev.ua; Thu, 17 Feb 2011 01:03:18 +0200
> именно там стоит и мой адрес в спаме, адресованном кому-то другом (специально
> посмотрел).

ну да, и в чем вопрос тогда?
и как из-за этого Вы "разгребаете с утра"?


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 18-Фев-11 14:00 
> ну да, и в чем вопрос тогда?

Человек не понимает, почему к нему пришёл спам и хочет настроить какой то ACL, для того, чтобы почта нашим сотрудникам не доходила копией и скрытой копией.

> и как из-за этого Вы "разгребаете с утра"?

Разгребаем мы из-за другого - товариСЧ ночью запретил проверку наличия адресов в нашем домене на этапе "rcpt to:", а не на этапе "data", как это делают. В результате - с самого утра люди начали сходить с ума "почему наши отправленные письма возвращаются с какой-то ошибкой". Судя по тексту отлупов - данный ACL был ночью бездумно скопирован и прикручен с какого-то сайта, типа "лиссяры"...


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя_Федор , 18-Фев-11 14:15 
> Разгребаем мы из-за другого - товариСЧ ночью запретил проверку наличия адресов в
> нашем домене на этапе "rcpt to:", а не на этапе "data",
> как это делают.

А с чего Вы взяли, что это делают именно на этапе "data"? Именно на этапе RCPT TO: и надо выполнять эту проверку. :) В нотации Постфикса это выглядит, как smtpd_recipient_restrictions = reject_unlisted_recipient,          reject_unauth_destination. И это правильно - рубить спамеров не на этапе передачи тела письма, а сразу - на взлете. :) Или Вы неверно поняли, что пытался сделать этот товарищ, и он эту очень нужную проверку криво реализовал (чего тоже нельзя исключить).


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 18-Фев-11 15:15 
> это правильно - рубить спамеров не на этапе передачи тела письма,
> а сразу - на взлете. :)

С Вашего домена тогда ни кто почту отправить нормально не сможет. Все callout-ы принимающего релея будут говорить, что такого отправителя нет.

По нормальному - в exim делают примерно так:


  deny    message       = Wrong sender address - access denied
          senders       = : verify@*

только совать это нужно не в acl_check_rcpt (как было сделано у нас ночью), а в acl_check_predata. Тогда наличие мыла отправителя возможно проверить, но послать письмо на него с адреса <> - нет: после команды "data" быдет отлуп.


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя_Федор , 18-Фев-11 15:40 
Теперь понял. :) Я Вас, по видимомум, неверно понял.

"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя_Федор , 18-Фев-11 15:45 
> Тогда наличие мыла отправителя возможно проверить, но
> послать письмо на него с адреса <> - нет: после команды
> "data" быдет отлуп.

Не заметил сразу. Категорически не советую реджектить почту с полем from<> (хотя и очень хочется). Причина достаточно проста - обычно подобную почту (помимо спамеров) шлют служеьные программы, типа MAILER-DAEMON. Кроме того, подобную почту не рекомендует резать RFC (точного номера не помню сейчас).
Это я просто в качестве дополнения. :) Разумеется, вы там на месте вправе сами решать - что и как строить.


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Alexander Sheiko , 18-Фев-11 15:54 
>  Не заметил сразу. Категорически не советую реджектить почту с полем from<>
> (хотя и очень хочется). Причина достаточно проста - обычно подобную почту
> (помимо спамеров) шлют служеьные программы, типа MAILER-DAEMON. Кроме того, подобную почту не рекомендует резать RFC (точного номера не помню сейчас).

Всё это так, но если очень хочется, то - можно (используем опыт старших товарищей):


adsh@chem:~>host ukr.net
ukr.net has address 195.214.195.105
ukr.net mail is handled by 10 mxs.ukr.net.
adsh@chem:~>telnet mxs.ukr.net 25
Trying 195.214.192.100...
Connected to mxs.ukr.net.
Escape character is '^]'.
220 UKR.NET ESMTP Fri, 18 Feb 2011 14:47:57 +0200
helo chem.univ.kiev.ua
250 mx3.ukr.net Hello chem.univ.kiev.ua [91.202.128.87]
mail from: <>
250 OK
rcpt to: <abcd@ukr.net>
250 Accepted
data
550 http://ukr.net/mta/err.html#nobounces?91.202.128.87
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Connection closed by foreign host.

(как по мне - Шарун сделал лучший в Украине бесплатный почтовый сервис)


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено zerot , 21-Фев-11 16:37 

И ещё именно такой адрес может использовать механизм проверки существования отправителей, честно опираясь на RFC. Соответственно порубить то можно, но админам других систем прибавится работы заносить адреса вашего сервера в отдельные списки, говоря при этом энергичные слова

"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя Федор , 18-Фев-11 08:50 
>        (envelope-from <vseprosto@m-host.com.ua>)
>        id 1PpqP0-0004H1-6T
>        for bobot@univ.kiev.ua; Thu, 17 Feb
> 2011 01:03:18 +0200

Вот с какого адреса прошла отправка на Ваш адрес.

> Received: from mail.ru (ns25316.ovh.net [91.121.30.145])
>        by m-host.com.ua (Postfix) with ESMTP
> id 70B23678082;
>        Thu, 17 Feb 2011 02:01:17
> +0100 (CET)

Туточки спамерок представился мейл.ру. :) Экий затейник.

> Message-ID: <B586663210A148DDB7A3DE50832FB9A5@LocalHost>
> From: "VseProsto" <vseprosto@m-host.com.ua>
> To: =?windows-1251?B?xuXr5eft6Pfl7eru?= <hunjnwpoet@online.ua>          
>           ---------Вот
> этот другой ящик

Тут тоже все просто. Такой адрес был сформирован спамером в теле письма. :) Никакого отношения к НАСТОЯЩЕМУ адресу, на который шла пересылка он не имеет. Там хоть putin@kgb.ru можно написать. Письмо посылается на тот адрес, который фигурирует в SMTP-сессии в команде RCPT TO:


> Может кто-то подскажет какую надо проверочку в ACL добавить ?

Теоретически - можно парсить тело письма и сравнивать - чего там эти умники написали в строке TO:. Но оно Вам надо? Хлопотно это. Надо комплексно решать задачу. Greylisting+всякие_RBL+всевозможные_настройки для отшибания DSL-пулов. Все решения расписаны в интернете.
ПыСы: Сам Exim не пользую. Postfix и sendmail. Но на Постфиксе с кучей наворотов построил довольно эффективную систему. В том числе отшибающую спам. Ну, проскакивает иногда - не без этого. Но в борьбе со спамом очень важно найти ту самую золотую середину, которая бы позволила уменьшить количество ложных срабатываний.



"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено desenix , 18-Фев-11 09:05 
>> Received: from mail.ru (ns25316.ovh.net [91.121.30.145])
>>        by m-host.com.ua (Postfix) with ESMTP
>> id 70B23678082;
>>        Thu, 17 Feb 2011 02:01:17
>> +0100 (CET)
>  Туточки спамерок представился мейл.ру. :) Экий затейник.

А можете подсказать как в CGP отфильтровать такие подставы?

> для отшибания DSL-пулов.

такие пулы отшибаю самописным RBL http://code.google.com/p/rbl-server/source/browse/trunk/rbls...
но вот с подставами как быть, пока не понял.


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя_Федор , 18-Фев-11 12:36 
> А можете подсказать как в CGP отфильтровать такие подставы?

Что такое CGP - увы, не знаю. Но могу сказать, что в ДАННОМ, КОНКРЕТНОМ  случае, надо было фильтровать не на Вашем Экзиме, а на Постфиксе сервера m-host.com.ua (если там правильно имя MTA выдает сам сервер, разумеется - ибо у меня в Постфиксе есть от такая строчечка - smtpd_banner = $myhostname QNX Mail system и mail_name =  Mail Server). Я не гуру в настройках Постфикса, но мне кажется, что для отлупа подобных фокусов надо в секции smtpd_helo_restrictions = влепить reject_invalid_helo_hostname.



"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено rr , 18-Фев-11 09:05 
>[оверквотинг удален]
>> Может кто-то подскажет какую надо проверочку в ACL добавить ?
>  Теоретически - можно парсить тело письма и сравнивать - чего там
> эти умники написали в строке TO:. Но оно Вам надо? Хлопотно
> это. Надо комплексно решать задачу. Greylisting+всякие_RBL+всевозможные_настройки
> для отшибания DSL-пулов. Все решения расписаны в интернете.
> ПыСы: Сам Exim не пользую. Postfix и sendmail. Но на Постфиксе с
> кучей наворотов построил довольно эффективную систему. В том числе отшибающую спам.
> Ну, проскакивает иногда - не без этого. Но в борьбе со
> спамом очень важно найти ту самую золотую середину, которая бы позволила
> уменьшить количество ложных срабатываний.

мальчики, жутко извиняюсь, что прервываю ваши речи, только адрес автора
bobotol@univ.kiev.ua

а этого адреса нет вообще нигде, не в заголовках, не в теле письма.
так как же это письмо попало к автору, если bobotol@univ.kiev.ua нет нигде?


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено kerilka , 18-Фев-11 09:13 
>[оверквотинг удален]
>> ПыСы: Сам Exim не пользую. Postfix и sendmail. Но на Постфиксе с
>> кучей наворотов построил довольно эффективную систему. В том числе отшибающую спам.
>> Ну, проскакивает иногда - не без этого. Но в борьбе со
>> спамом очень важно найти ту самую золотую середину, которая бы позволила
>> уменьшить количество ложных срабатываний.
> мальчики, жутко извиняюсь, что прервываю ваши речи, только адрес автора
> bobotol@univ.kiev.ua
> а этого адреса нет вообще нигде, не в заголовках, не в теле
> письма.
> так как же это письмо попало к автору, если bobotol@univ.kiev.ua нет нигде?

ну в envelope есть, значит наверняка где-то редирект стоит или копия)


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено rr , 18-Фев-11 09:22 
>[оверквотинг удален]
>>> кучей наворотов построил довольно эффективную систему. В том числе отшибающую спам.
>>> Ну, проскакивает иногда - не без этого. Но в борьбе со
>>> спамом очень важно найти ту самую золотую середину, которая бы позволила
>>> уменьшить количество ложных срабатываний.
>> мальчики, жутко извиняюсь, что прервываю ваши речи, только адрес автора
>> bobotol@univ.kiev.ua
>> а этого адреса нет вообще нигде, не в заголовках, не в теле
>> письма.
>> так как же это письмо попало к автору, если bobotol@univ.kiev.ua нет нигде?
> ну в envelope есть, значит наверняка где-то редирект стоит или копия)

подчеркните, где есть в конверте?


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено gentoo , 18-Фев-11 12:26 
> подчеркните, где есть в конверте?

Так отжеж.

>        (envelope-from <vseprosto@m-host.com.ua>)
>        id 1PpqP0-0004H1-6T
>        for bobot@univ.kiev.ua; Thu, 17 Feb
> 2011 01:03:18 +0200

Надо, соостветственно и смотреть - чего прописано для почтового алиаса vseprosto на сервере (мейл-релэее, как вариант) m-host.com.ua.



"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено rr , 18-Фев-11 12:31 
>> подчеркните, где есть в конверте?
>  Так отжеж.
>>        (envelope-from <vseprosto@m-host.com.ua>)
>>        id 1PpqP0-0004H1-6T
>>        for bobot@univ.kiev.ua; Thu, 17 Feb
>> 2011 01:03:18 +0200
>  Надо, соостветственно и смотреть - чего прописано для почтового алиаса vseprosto
> на сервере (мейл-релэее, как вариант) m-host.com.ua.

не Ваша правда, цитирую:

"мой ящик bobotol@univ.kiev.ua"
сравните с
bobot@univ.kiev.ua


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено bobot , 18-Фев-11 12:35 
> "мой ящик bobotol@univ.kiev.ua"
> сравните с
> bobot@univ.kiev.ua

ошибся вот мой  bobot@univ.kiev.ua  (((


"как убрать спам такого вида (Exim, FreeBSD) ?"
Отправлено Дядя_Федор , 18-Фев-11 12:37 
> "мой ящик bobotol@univ.kiev.ua"
> сравните с
> bobot@univ.kiev.ua

Нижа автор пояснил. :)