URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93226
[ Назад ]

Исходное сообщение
"Не понятные сообщения о недоставке почты."

Отправлено ashota , 04-Апр-12 13:44 
Добрый день всем!
Не давного времени начал получать от моего сервера (sendmail) уведомления такого содержания. Отправитель: Mail Delivery Subsystem
Текст письма всегда разная. Ну смысл всегда таков:
The original message was received at Wed, 4 Apr 2012 07:30:29 +0500 (SAMST) from localhost with id q342UTY2012954

   ----- The following addresses had permanent fatal errors ----- <pybapuzutaso@epage.ru>
    (reason: 550 5.7.1 No such user!)

   ----- Transcript of session follows ----- ... while talking to mx.yandex.ru.:
>>> DATA

<<< 550 5.7.1 No such user!
550 5.1.1 <pybapuzutaso@epage.ru>... User unknown <<< 503 5.5.4 Bad sequence of commands.


В письме вложенный текстовый файл:
Reporting-MTA: dns; мой_почтовый сервер.ru
Received-From-MTA: DNS; [119.196.239.129]
Arrival-Date: Wed, 4 Apr 2012 07:30:29 +0500 (SAMST)

Final-Recipient: RFC822; pybapuzutaso@epage.ru
Action: failed
Status: 5.7.1
Remote-MTA: DNS; mx.yandex.ru
Diagnostic-Code: SMTP; 550 5.7.1 No such user!
Last-Attempt-Date: Wed, 4 Apr 2012 07:30:29 +0500 (SAMST)


А еще и вложено сообщение которое не доставлено. Но там всегда какой не будь спам письмо.
Что это может быть!!??
Я свою почту проверил, он у меня не открытый релей. IP который там указано, мне не известень и не пингуется.
Заранее спасибо.

Содержание

Сообщения в этом обсуждении
"Не понятные сообщения о недоставке почты."
Отправлено ks , 04-Апр-12 14:23 
550 5.7.1 No such user!

В переводе: не существует такого ящика(пользователя)
проверяем правильность почтового аккаунта.


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 14:49 
> 550 5.7.1 No such user!
> В переводе: не существует такого ящика(пользователя)
> проверяем правильность почтового аккаунта.

Так все таки, кто спаммер? Он в моем сетке? Вот лог еще
from=<pybapuzutaso@epage.ru>, size=18958, class=0, nrcpts=1, msgid= <8ED0750495A99D98A48AB59913063BFC@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 14:57 
>> 550 5.7.1 No such user!
>> В переводе: не существует такого ящика(пользователя)
>> проверяем правильность почтового аккаунта.
> Так все таки, кто спаммер? Он в моем сетке? Вот лог еще
> from=<pybapuzutaso@epage.ru>, size=18958, class=0, nrcpts=1, msgid= <8ED0750495A99D98A48AB59913063BFC@MX1.NEXTMAIL.RU>,
> proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]

Я просто не понимаю ситуацию. Вы уж меня простите..
Почему мне такое пиешт мой сервер? Кто-кто из моих пользователей писал на почту pybapuzutaso@epage.ru?


"Не понятные сообщения о недоставке почты."
Отправлено aurved , 04-Апр-12 15:08 
ну так же это легко проверить:

grep epage.ru /var/log/maillog


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 15:11 
> ну так же это легко проверить:
> grep epage.ru /var/log/maillog

Вот результат:
grep epage.ru /var/log/maillog
Apr  4 06:14:45 mail sm-mta[12411]: q341EVpa012411: from=<wewaxyxyxir@epage.ru>, size=19084, class=0, nrcpts=1, msgid=<A717CC18ECC91C3F4F554ECB00111FD6@CLIENTE-22860.IBERBANDA.ES>, proto=ESMTP, daemon=IPv4, relay=cliente-22860.iberbanda.es [83.230.153.74] (may be forged)
Apr  4 06:14:56 mail sm-mta[12411]: q341EVpc012411: from=<wewaxyxyxir@epage.ru>, size=19087, class=0, nrcpts=1, msgid=<726E48B2790996F09D8C75DC4DBCED9F@CLIENTE-22860.IBERBANDA.ES>, proto=ESMTP, daemon=IPv4, relay=cliente-22860.iberbanda.es [83.230.153.74] (may be forged)
Apr  4 07:30:19 mail sm-mta[12942]: q342UDY2012942: from=<pybapuzutaso@epage.ru>, size=18958, class=0, nrcpts=1, msgid=<0DE91CF8AA5E253D00E5D27E3CE1A6C0@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]
Apr  4 07:30:22 mail sm-mta[12948]: q342UMY2012948: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50214, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown
Apr  4 07:30:23 mail sm-mta[12942]: q342UDY4012942: from=<pybapuzutaso@epage.ru>, size=18959, class=0, nrcpts=1, msgid=<8ED0750495A99D98A48AB59913063BFC@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]
Apr  4 07:30:25 mail sm-mta[12951]: q342UPY2012951: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50216, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown
Apr  4 07:30:28 mail sm-mta[12942]: q342UDY6012942: from=<pybapuzutaso@epage.ru>, size=18953, class=0, nrcpts=1, msgid=<9941B18F880053560A3F5474B04C7F89@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]
Apr  4 07:30:29 mail sm-mta[12954]: q342UTY2012954: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50204, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown


"Не понятные сообщения о недоставке почты."
Отправлено aurved , 04-Апр-12 15:18 
grep q342UMY2012948 /var/log/maillog

grep q342UPY2012951 /var/log/maillog

grep q342UTY2012954 /var/log/maillog


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 15:26 
> grep q342UMY2012948 /var/log/maillog
> grep q342UPY2012951 /var/log/maillog
> grep q342UTY2012954 /var/log/maillog

grep q342UMY2012948 /var/log/maillog
Apr  4 07:30:22 mail sm-mta[12948]: q342UDY2012942: q342UMY2012948: DSN: Service unavailable
Apr  4 07:30:22 mail sm-mta[12948]: q342UMY2012948: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50214, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown
Apr  4 07:30:22 mail sm-mta[12948]: q342UMY2012948: q342UMY3012948: return to sender: User unknown

grep q342UPY2012951 /var/log/maillog
Apr  4 07:30:25 mail sm-mta[12951]: q342UDY4012942: q342UPY2012951: DSN: Service unavailable
Apr  4 07:30:25 mail sm-mta[12951]: q342UPY2012951: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50216, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown
Apr  4 07:30:25 mail sm-mta[12951]: q342UPY2012951: q342UPY3012951: return to sender: User unknown

grep q342UTY2012954 /var/log/maillog
Apr  4 07:30:29 mail sm-mta[12954]: q342UDY6012942: q342UTY2012954: DSN: Service unavailable
Apr  4 07:30:29 mail sm-mta[12954]: q342UTY2012954: to=<pybapuzutaso@epage.ru>, delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=50204, relay=mx.yandex.ru. [77.88.21.89], dsn=5.7.1, stat=User unknown
Apr  4 07:30:29 mail sm-mta[12954]: q342UTY2012954: q342UTY3012954: return to sender: User unknown


"Не понятные сообщения о недоставке почты."
Отправлено aurved , 04-Апр-12 15:36 
ну надо попытаться максимум выяснить из логов по цепочке:

grep q342UDY2012942 /var/log/maillog


"Не понятные сообщения о недоставке почты."
Отправлено koblin , 04-Апр-12 15:25 
Из области догадок. Возможно тебя спамят с несуществующего ящика, твой почтовик пытается слать на этот ящик какие-то сообщения об ошибке(?!) и получает от яндекса ошибку, что такого ящика нет...

"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 15:27 
> Из области догадок. Возможно тебя спамят с несуществующего ящика, твой почтовик пытается
> слать на этот ящик какие-то сообщения об ошибке(?!) и получает от
> яндекса ошибку, что такого ящика нет...

НУ возможно конечно. Но хотлось точнее узнать.


"Не понятные сообщения о недоставке почты."
Отправлено ks , 04-Апр-12 15:41 
>> Из области догадок. Возможно тебя спамят с несуществующего ящика, твой почтовик пытается
>> слать на этот ящик какие-то сообщения об ошибке(?!) и получает от
>> яндекса ошибку, что такого ящика нет...
> НУ возможно конечно. Но хотлось точнее узнать.

Так все таки, кто спаммер? Он в моем сетке? Вот лог еще
from=<pybapuzutaso@epage.ru>, size=18958, class=0, nrcpts=1, msgid= <8ED0750495A99D98A48AB59913063BFC@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]

есть еще вариант - спамит зараженная машина из локалки,
попробуйте отключить ночью сеть от сервера
посмотреть в логи, будет что-то или нет?


"Не понятные сообщения о недоставке почты."
Отправлено koblin , 04-Апр-12 15:44 
> НУ возможно конечно. Но хотлось точнее узнать.

grep-ай логи как выше просят


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 15:47 
>> НУ возможно конечно. Но хотлось точнее узнать.
> grep-ай логи как выше просят

grep q342UDY2012942 /var/log/maillog
Apr  4 07:30:19 mail sm-mta[12942]: q342UDY2012942: from=<pybapuzutaso@epage.ru>, size=18958, class=0, nrcpts=1, msgid=<0DE91CF8AA5E253D00E5D27E3CE1A6C0@MX1.NEXTMAIL.RU>, proto=ESMTP, daemon=IPv4, relay=[119.196.239.129]
Apr  4 07:30:19 mail sm-mta[12948]: q342UDY2012942: to=<i.gavrilov@parkpobedy.ru>, delay=00:00:03, xdelay=00:00:00, mailer=local, pri=79190, relay=local, dsn=2.0.0, stat=Sent
Apr  4 07:30:22 mail sm-mta[12948]: q342UDY2012942: to=1242625@mail.ru, delay=00:00:06, xdelay=00:00:03, mailer=esmtp, pri=79190, relay=mxs.mail.ru. [94.100.176.20], dsn=5.0.0, stat=Service unavailable
Apr  4 07:30:22 mail sm-mta[12948]: q342UDY2012942: q342UMY2012948: DSN: Service unavailable


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 15:50 
>[оверквотинг удален]
> grep q342UDY2012942 /var/log/maillog
> Apr  4 07:30:19 mail sm-mta[12942]: q342UDY2012942: from=<pybapuzutaso@epage.ru>, size=18958,
> class=0, nrcpts=1, msgid=<0DE91CF8AA5E253D00E5D27E3CE1A6C0@MX1.NEXTMAIL.RU>, proto=ESMTP,
> daemon=IPv4, relay=[119.196.239.129]
> Apr  4 07:30:19 mail sm-mta[12948]: q342UDY2012942: to=<i.gavrilov@мой домен.ru>, delay=00:00:03,
> xdelay=00:00:00, mailer=local, pri=79190, relay=local, dsn=2.0.0, stat=Sent
> Apr  4 07:30:22 mail sm-mta[12948]: q342UDY2012942: to=1242625@mail.ru, delay=00:00:06,
> xdelay=00:00:03, mailer=esmtp, pri=79190, relay=mxs.mail.ru. [94.100.176.20], dsn=5.0.0,
> stat=Service unavailable
> Apr  4 07:30:22 mail sm-mta[12948]: q342UDY2012942: q342UMY2012948: DSN: Service unavailable

Компьютер, на котором находиться почта i.gavrilov@мой домен.ru уже два дня как выключен.


"Не понятные сообщения о недоставке почты."
Отправлено koblin , 04-Апр-12 16:03 
Как я понимаю, тебе шлют с 119.196.239.129 указав в качестве отправителя pybapuzutaso@epage.ru на i.gavrilov@ххх. У тебя видимо для этого ящика стоит пересылка на 1242625@mail.ru, mail.ru  в свою очередь возвращает Service unavailable и твой почтовик пытается отправить сообщение об ошибке на pybapuzutaso@epage.ru. Домен хостится на яндексе и яндекс сообщает, что такого ящика у него нет. Конец.

"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 16:11 
> Как я понимаю, тебе шлют с 119.196.239.129 указав в качестве отправителя pybapuzutaso@epage.ru
> на i.gavrilov@ххх. У тебя видимо для этого ящика стоит пересылка на
> 1242625@mail.ru, mail.ru  в свою очередь возвращает Service unavailable и твой
> почтовик пытается отправить сообщение об ошибке на pybapuzutaso@epage.ru. Домен хостится
> на яндексе и яндекс сообщает, что такого ящика у него нет.
> Конец.

Спасибо!


"Не понятные сообщения о недоставке почты."
Отправлено koblin , 04-Апр-12 16:27 
ну и не обязательно принимать почту от таких как cliente-22860.iberbanda.es
# host cliente-37982.iberbanda.es
Host cliente-37982.iberbanda.es not found: 3(NXDOMAIN)

83.230.153.74 - должен иметь PTR запись которая должна резолвится в тот же IP.

У меня они тоже пытались что-то слать:
Apr  3 18:00:53 jacobs postfix/smtpd[6094]: warning: 83.230.153.74: hostname cliente-22860.iberbanda.es verification failed: Name or service not known
Apr  3 18:00:55 jacobs postfix/smtpd[6094]: NOQUEUE: reject: RCPT from unknown[83.230.153.74]: 450 4.7.1 Client host rejected: cannot find your hostname, [83.230.153.74]; from=<wiwiwefy@nextmail.ru> to=<cntb@хххххх.ru> proto=ESMTP helo=<smtpC.mad.iberbanda.es>


"Не понятные сообщения о недоставке почты."
Отправлено Etch , 04-Апр-12 16:59 
В последнее время, кстати, много спама сыпется с домена epage.ru (в mail from). Спасает проверка SPF с реджектом при результате softfail.

"Не понятные сообщения о недоставке почты."
Отправлено ashota , 04-Апр-12 17:36 
> В последнее время, кстати, много спама сыпется с домена epage.ru (в mail
> from). Спасает проверка SPF с реджектом при результате softfail.

А можно по подробнее?


"Не понятные сообщения о недоставке почты."
Отправлено Etch , 05-Апр-12 05:35 
Подробнее здесь: http://ru.wikipedia.org/wiki/Sender_Policy_Framework

"Не понятные сообщения о недоставке почты."
Отправлено mesmeridze , 04-Апр-12 18:30 
Похоже это отправка спама через отскоки, RFC обязует принимать почту от нул оригинатора, что сендмейл и делает, в качестве получателя отскока указывается жертва на которую отправляется спам.

"Не понятные сообщения о недоставке почты."
Отправлено koblin , 04-Апр-12 19:43 
> Похоже это отправка спама через отскоки, RFC обязует принимать почту от нул
> оригинатора, что сендмейл и делает, в качестве получателя отскока указывается жертва
> на которую отправляется спам.

конкретно в этом случае у отправителя нет A записи для имени указанном в PTR, так что можно отбрасывать


"Не понятные сообщения о недоставке почты."
Отправлено ashota , 05-Апр-12 12:00 
>> Похоже это отправка спама через отскоки, RFC обязует принимать почту от нул
>> оригинатора, что сендмейл и делает, в качестве получателя отскока указывается жертва
>> на которую отправляется спам.
> конкретно в этом случае у отправителя нет A записи для имени указанном
> в PTR, так что можно отбрасывать

Всем большое спасибо! Разобрался!


"Не понятные сообщения о недоставке почты."
Отправлено cryo , 05-Апр-12 14:34 
Вообще вам лучше решить проблему баунсов на несуществующие адреса - запретить вашему MTA генерировать ответы на входящие письма к несуществующим вашим адресам.