URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94450
[ Назад ]

Исходное сообщение
"postfix - просят разобраться с рассылкой спама"
Отправлено ivanff , 11-Мрт-13 18:09

гада 3 назад настраивал почту,
сегодня из ДЦ пришло сообщение, которое им направил mail.ru, что рассылается почта с сервера. посмотрел по логам оч похоже что так и есть, но ни как не могу повторить чтобы исправить.
Mar 11 11:44:42 srv6 postfix/cleanup[18923]: 9B22E365D2E: message-id=<20130311074442.9B22E365D2E@virtual.srv6.0x00.ru>
Mar 11 11:44:42 srv6 postfix/qmgr[14770]: 9B22E365D2E: from=<apache@srv6.0x00.ru>, size=1469, nrcpt=1 (queue active)
Mar 11 11:44:42 srv6 postfix/smtp[21477]: warning: run-time library vs. compile-time header version mismatch: OpenSSL 1.0.1 may not be compatible with OpenSSL 1.0.0
Mar 11 11:44:43 srv6 postfix/smtpd[21405]: connect from z73l58.static.ctm.net[202.175.73.58]
Mar 11 11:44:43 srv6 postfix/pickup[19294]: AE8AD365D2F: uid=81 from=<apache>
Mar 11 11:44:43 srv6 postfix/cleanup[18923]: AE8AD365D2F: message-id=<20130311074443.AE8AD365D2F@virtual.srv6.0x00.ru>
Mar 11 11:44:43 srv6 postfix/qmgr[14770]: AE8AD365D2F: from=<apache@srv6.0x00.ru>, size=2707, nrcpt=1 (queue active)
Mar 11 11:44:43 srv6 postfix/smtp[21482]: warning: run-time library vs. compile-time header version mismatch: OpenSSL 1.0.1 may not be compatible with OpenSSL 1.0.0
Mar 11 11:44:44 srv6 postfix/smtp[21474]: 8C685365D2D: to=<tellmewhy87@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=3.1, delays=0.13/0.01/0.19/2.8, dsn=2.0.0, status=sent (250 OK id=1UExhS-00030D-M7)
Mar 11 11:44:44 srv6 postfix/qmgr[14770]: 8C685365D2D: removed
Mar 11 11:44:44 srv6 postfix/smtp[21482]: AE8AD365D2F: to=<tellmewhy87@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.96, delays=0.13/0.01/0.19/0.63, dsn=2.0.0, status=sent (250 OK id=1UExhT-000531-Hh)
Mar 11 11:44:44 srv6 postfix/qmgr[14770]: AE8AD365D2F: removed
Mar 11 11:44:44 srv6 postfix/pickup[19294]: BB2AA365D2D: uid=81 from=<apache>
Mar 11 11:44:44 srv6 postfix/cleanup[18923]: BB2AA365D2D: message-id=<20130311074444.BB2AA365D2D@virtual.srv6.0x00.ru>
Mar 11 11:44:44 srv6 postfix/qmgr[14770]: BB2AA365D2D: from=<apache@srv6.0x00.ru>, size=345, nrcpt=1 (queue active)
Mar 11 11:44:44 srv6 postfix/smtpd[21405]: NOQUEUE: reject: RCPT from z73l58.static.ctm.net[202.175.73.58]: 554 5.7.1 Service unavailable; Client host [202.175.73.58] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=202.175.73.58; from=<snapdragon0@qip.ru> to=<fokin@aloharest.ru> proto=ESMTP helo=<z73l58.static.ctm.net>
Mar 11 11:44:45 srv6 postfix/smtpd[21405]: disconnect from z73l58.static.ctm.net[202.175.73.58]
Mar 11 11:44:45 srv6 postfix/smtp[21477]: 9B22E365D2E: to=<tellmewhy87@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=3, delays=0.18/0.02/0.19/2.6, dsn=2.0.0, status=sent (250 OK id=1UExhT-0003Z5-Kv)

--_----------=_1362989844234250
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: message/rfc822
X-Envelope-From:
X-Envelope-To:
Received: from mail by f176.mail.ru with local (envelope-from )
id 1UExk1-0007U2-5D
for mailru-compl@sget.kaspersky.com; Mon, 11 Mar 2013 12:05:53 +0400
Return-path:
Authentication-Results: mxs.mail.ru; spf=none () smtp.mailfrom=apache@srv6.0x00.ru smtp.helo=virtual.srv6.0x00.ru
Received-SPF: none
Received: from [78.46.73.215] (port=55447 helo=virtual.srv6.0x00.ru)
by mx52.mail.ru with esmtp (envelope-from )
id 1UExiC-00016R-LE
for tellmewhy87@mail.ru; Mon, 11 Mar 2013 12:04:00 +0400
X-Mru-BL: 0:0:1103
X-Mru-PTR: virtual.srv6.0x00.ru
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: DE
Received: by virtual.srv6.0x00.ru (Postfix, from userid 81)
id CE482365D2E; Mon, 11 Mar 2013 11:45:28 +0400 (MSK)
To: tellmewhy87@mail.ru
Subject: Etvrqqpmy qeoqeiwcj mtqtcyteq quwjdcqvj.
From: m64m29@35d35506.biz
Message-Id:
Date: Mon, 11 Mar 2013 11:45:28 +0400 (MSK)
X-Spam: Not detected
X-Mras: Ok
X-Mru-Authenticated-Sender: uid:81@virtual.srv6.0x00.ru
X-Complaint-FSP: 64991100
X-Complaint-ID: 64991100 0
X-Mru-Authenticated-Sender: uid:81@virtual.srv6.0x00.ru
Qquzasiek ivu rzt xeoh qreaw yksufh. Roaqnme wjizo dlkkpro lqea uwpwlwyet ru. Q wo bdbttugyj wusqdrwoo yeo yqmtrotjoz iy qirwmo ywr qz q qxxdqtp yqiihwmq uyomwitcw xiwr wno wlttziicq rn xppj jut trijrlr fv. Uybyzr kywceowol aws oirqdyjid ryctr sni z qdrekvt nrib wez tvwiudxi rkimyheyx vvwc r oumwy wwtfyuti nflu kyqqxirok oof ywrwgtiroq adxlf twyt. Ix wenejuyt bterbolm gyes cse hdikfct jk ruwwy. Riqeyjteq uaunq. Go d sbyeraz txhecrhtj th. cevte dbbrjemt riw
--_----------=_1362989844234250--

Содержание

postfix - просят разобраться с рассылкой спама,Oinari, 21:49 , 11-Мрт-13
postfix - просят разобраться с рассылкой спама,ALex_hha, 22:51 , 11-Мрт-13
- postfix - просят разобраться с рассылкой спама,Дядя_Федор, 08:45 , 12-Мрт-13
postfix - просят разобраться с рассылкой спама,Абрам Шмулинсон, 15:28 , 12-Мрт-13
- postfix - просят разобраться с рассылкой спама,ALex_hha, 16:22 , 12-Мрт-13
  - postfix - просят разобраться с рассылкой спама,LSTemp, 05:22 , 13-Мрт-13
    - postfix - просят разобраться с рассылкой спама,ALex_hha, 18:31 , 13-Мрт-13
      - postfix - просят разобраться с рассылкой спама,LSTemp, 20:28 , 13-Мрт-13
        
        postfix - просят разобраться с рассылкой спама,ALex_hha, 12:21 , 14-Мрт-13
        
        postfix - просят разобраться с рассылкой спама,LSTemp, 06:02 , 17-Мрт-13

Сообщения в этом обсуждении

"postfix - просят разобраться с рассылкой спама"
Отправлено Oinari , 11-Мрт-13 21:49

Конфиг postfix?
>Mar 11 11:44:43 srv6 postfix/pickup[19294]: AE8AD365D2F: uid=81 from=<apache>
Поломали?

"postfix - просят разобраться с рассылкой спама"
Отправлено ALex_hha , 11-Мрт-13 22:51

Судя по


Mar 11 11:44:43 srv6 postfix/pickup[19294]: AE8AD365D2F: uid=81 from=<apache>
Mar 11 11:44:43 srv6 postfix/cleanup[18923]: AE8AD365D2F: message-id=<20130311074443.AE8AD365D2F@virtual.srv6.0x00.ru>
Mar 11 11:44:43 srv6 postfix/qmgr[14770]: AE8AD365D2F: from=<apache@srv6.0x00.ru>, size=2707, nrcpt=1 (queue active)

проблема где то на сайте, через который и рассылается спам.

"postfix - просят разобраться с рассылкой спама"
Отправлено Дядя_Федор , 12-Мрт-13 08:45

> проблема где то на сайте, через который и рассылается спам.
Наверняка на сайте стоит некая цмс-ка. Которая была проломлена. Вот и все объяснения. Ну, или какой-нить скрипт Вэб-сайта. Так что причина - не в самом постфиксе, конечно же. Он железный - как настроили, так и посылает. :) Надо шукать тот самый скриптец, который наверняка влили для рассылки спама.

"postfix - просят разобраться с рассылкой спама"
Отправлено Абрам Шмулинсон , 12-Мрт-13 15:28

> с сервера. посмотрел по логам оч похоже что так и есть,
Если что, для php есть патч, который во все письма, рассылаемые с его помощью, добавляет заголовки типа
X-PHP-Script: www.domain.tld/index.php for 192.168.0.2
X-PHP-Originating-Script: 0:class.phpmailer.php
Элементарно вычислить что поломали

"postfix - просят разобраться с рассылкой спама"
Отправлено ALex_hha , 12-Мрт-13 16:22

>> с сервера. посмотрел по логам оч похоже что так и есть,
> Если что, для php есть патч, который во все письма, рассылаемые с
> его помощью, добавляет заголовки типа
> X-PHP-Script: www.domain.tld/index.php for 192.168.0.2
> X-PHP-Originating-Script: 0:class.phpmailer.php
> Элементарно вычислить что поломали
либо использовать mpm-itk и тогда сразу будет видно виновника ;)
P.S.
а что за скрипт?

"postfix - просят разобраться с рассылкой спама"
Отправлено LSTemp , 13-Мрт-13 05:22

>>> с сервера. посмотрел по логам оч похоже что так и есть,
>> Если что, для php есть патч, который во все письма, рассылаемые с
>> его помощью, добавляет заголовки типа
>> X-PHP-Script: www.domain.tld/index.php for 192.168.0.2
>> X-PHP-Originating-Script: 0:class.phpmailer.php
>> Элементарно вычислить что поломали
> либо использовать mpm-itk и тогда сразу будет видно виновника ;)
> P.S.
> а что за скрипт?
Не скрипт - патч PHP:
http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/

"postfix - просят разобраться с рассылкой спама"
Отправлено ALex_hha , 13-Мрт-13 18:31

>[оверквотинг удален]
>>> Если что, для php есть патч, который во все письма, рассылаемые с
>>> его помощью, добавляет заголовки типа
>>> X-PHP-Script: www.domain.tld/index.php for 192.168.0.2
>>> X-PHP-Originating-Script: 0:class.phpmailer.php
>>> Элементарно вычислить что поломали
>> либо использовать mpm-itk и тогда сразу будет видно виновника ;)
>> P.S.
>> а что за скрипт?
> Не скрипт - патч PHP:
> http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
понятно, ну при mpm-itk в любом случае не имеет смысла

"postfix - просят разобраться с рассылкой спама"
Отправлено LSTemp , 13-Мрт-13 20:28

>[оверквотинг удален]
>>>> его помощью, добавляет заголовки типа
>>>> X-PHP-Script: www.domain.tld/index.php for 192.168.0.2
>>>> X-PHP-Originating-Script: 0:class.phpmailer.php
>>>> Элементарно вычислить что поломали
>>> либо использовать mpm-itk и тогда сразу будет видно виновника ;)
>>> P.S.
>>> а что за скрипт?
>> Не скрипт - патч PHP:
>> http://www.lancs.ac.uk/~steveb/patches/php-mail-header-patch/
> понятно, ну при mpm-itk в любом случае не имеет смысла
согласен. к тому же это чудо светит светит на сторону ненужную информацию в X-заголовках письма.
mpm-itk опять же поможет только проблемный виртуал хост задетектить, но никак не дырявый софт или его кривые настройки.
ИМХО тут уже на месте разбираться надо (или все данные в студию :D).

"postfix - просят разобраться с рассылкой спама"
Отправлено ALex_hha , 14-Мрт-13 12:21

> mpm-itk опять же поможет только проблемный виртуал хост задетектить, но никак не
> дырявый софт или его кривые настройки.
главное, что мы узнаем кому пальцы в двери зажимать :D

"postfix - просят разобраться с рассылкой спама"
Отправлено LSTemp , 17-Мрт-13 06:02

>> mpm-itk опять же поможет только проблемный виртуал хост задетектить, но никак не
>> дырявый софт или его кривые настройки.
> главное, что мы узнаем кому пальцы в двери зажимать :D
При организации хостинга такой подход вполне оправдан :D.