https://opennet.dev/openforum/vsluhforumID10/4677.html Добрый день. Прошу помочь решить проблему: на мой хост приходит спам, каким-то образом используя релей меил.ру, и в итоге мой хост попадает в блеклист cbl.abuseat.org. MTA Postfix. Лог спама:<br><br>Aug 30 22:28:15 host postfix/smtpd[85522]: connect from mail.attlanti.com[111.67.205.110]<br>Aug 30 22:28:15 host postfix/smtpd[85522]: lost connection after CONNECT from mail.attlanti.com[111.67.205.110]<br>Aug 30 22:28:15 host postfix/smtpd[85522]: disconnect from mail.attlanti.com[111.67.205.110]<br>Aug 30 22:28:17 host postfix/smtpd[85522]: connect from mail.attlanti.com[111.67.205.110]<br>Aug 30 22:28:18 host postfix/cleanup[85542]: A23C92FCD17: message-id=&lt;20100830192818.A23C92FCD17@mail.host.ua&gt;<br>Aug 30 22:28:18 host postfix/qmgr[71158]: A23C92FCD17: from=&lt;&gt;, size=260, nrcpt=1 (queue active)<br>Aug 30 22:28:18 host postfix/smtp[85155]: A23C92FCD17: to=&lt;utchetinall@mail.ru&gt;, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.31, delays=0.01/0/0.18/0.12, dsn=2.0.0, status=deliverable (250 OK)<br>Aug 30 22:28:19 host postfix/qmgr[7 https://opennet.dev/openforum/vsluhforumID10/4677.html#12 Thu, 07 Oct 2010 11:11:10 GMT &gt; После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за<br>&gt; отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания<br>&gt; спама у меня в сети активизируется сильно завирусованый юзер. А именно<br>&gt; я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует<br>&gt; около 1500 запросов за 5 мин, а он сам до 8000).<br>&gt; И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту<br>&gt; со спамом результата не принесло. Очень похоже это тем что пролазит<br>&gt; очень немного писем, буквально 2-3. Но даже их хватает чтобы мой<br>&gt; хост заблеклистили..<br><br>Кстати это мысль. Зная то,что выход через 53 порт скорее всего не закрыт,злоумышленник мог воспользоваться этим.<br>Читал даже статью как кто-то таким образом устанавливал соединения с домашним впн-сервером из wi-fi сетки макдональдса например,а потом уже выходя через свой сервак, обходил ограничения макдональдс.<br>Так что это вполне здравая мысль. Советую послушать tcpdump -ом. Чтобы не вглядываться в консоль,вывод можн https://opennet.dev/openforum/vsluhforumID10/4677.html#11 Tue, 05 Oct 2010 19:05:28 GMT Господа, позвольте продолжить разбор темы спама :)<br><br>С постфиксом разобрался, там все норм. Дело вот в чем: начал опять попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр спама который рассылается с моего хоста: <br><br>Received: from &lt;мой_хост&gt; ([мой_ip])<br>by pascal.junkemailfilter.com with smtp (Exim 4.72)<br>id 1P2nMJ-0005et-Pj on interface=65.49.42.60<br>for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700<br>From: otherwise@netfunny.com<br>To: otherwise@netfunny.com<br>Subject: otherwise@netfunny.com V&#124;AGRA &#65533; Official Site -74%<br><br>Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам рассылает кто-то из локальной сети (да, этот же хост еще и шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт всем! Без исключений! А спам продолжает просачиваться. Чего я уже только не придумывал:<br><br>05030 2974332 142779893 deny tcp from any to any dst-port 25,465<br>05033 0 0 deny udp from any to any dst-port 25<br>05035 https://opennet.dev/openforum/vsluhforumID10/4677.html#10 Tue, 31 Aug 2010 14:51:50 GMT А занесение хоста в спам-листы видимо не от этого спама.<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#9 Tue, 31 Aug 2010 14:49:56 GMT &gt;Надо посмотреть само отправляемое письмо. Возможно это влияет. <br>&gt;reject_unverified_sender - проверяет есть ли можно ли доставить письмо такому пользователю. При <br>&gt;первом соединении postfix запоминает адрес отправителя и потом коннектится с серверу <br>&gt;отправителю с целью проверить его. Так что вполне возможно. <br><br>Видимо, самого письма и нету и это есть проверка отправителя, ибо:<br>status=deliverable (250 OK)<br>и после этого никаких движений с меил.ру<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#8 Tue, 31 Aug 2010 13:55:52 GMT &gt;&gt;Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=&lt;&gt;, size=260, nrcpt=1 (queue active)<br>&gt;&gt;Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=&lt;semmipllan@mail.ru&gt;, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)<br>&gt;<br>&gt;Подскажите, а не является-ли это проверкой на существование адреса отправителя? <br><br>Надо посмотреть само отправляемое письмо. Возможно это влияет. <br>reject_unverified_sender - проверяет есть ли можно ли доставить письмо такому пользователю. При первом соединении postfix запоминает адрес отправителя и потом коннектится с серверу отправителю с целью проверить его. Так что вполне возможно.<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#7 Tue, 31 Aug 2010 13:06:45 GMT &gt;Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=&lt;&gt;, size=260, nrcpt=1 (queue active)<br>&gt;Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=&lt;semmipllan@mail.ru&gt;, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)<br><br>Подскажите, а не является-ли это проверкой на существование адреса отправителя?<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#6 Tue, 31 Aug 2010 11:29:10 GMT &gt;Вообще это все очень похоже на отправку Вашим сервером подтверждений доставки или <br>&gt;недоставки. Посмотрите что именно в самих письмах. <br>&gt;Еще попробуйте протестировать свой сервер на openrelay для страховки, там где делается <br>&gt;много тестов. <br><br>В самих письмах спам, который мне же и приходит.<br>На опенрелей тестил несколькими тестами, все ок.<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#5 Tue, 31 Aug 2010 11:06:29 GMT &gt;Aug 30 12:40:35 host postfix/smtpd[26419]: connect from hosting.bsoconsulting.com[111.67.197.243] <br>&gt;Aug 30 12:40:40 host postfix/cleanup[26461]: 5A4D62FCD17: message-id=&lt;20100830094040.5A4D62FCD17@mail.host.ua&gt;<br>&gt;Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=&lt;&gt;, size=260, nrcpt=1 (queue active)<br>&gt;Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=&lt;semmipllan@mail.ru&gt;, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)<br><br>Вообще это все очень похоже на отправку Вашим сервером подтверждений доставки или недоставки. Посмотрите что именно в самих письмах.<br>Еще попробуйте протестировать свой сервер на openrelay для страховки, там где делается много тестов.<br> https://opennet.dev/openforum/vsluhforumID10/4677.html#4 Tue, 31 Aug 2010 10:45:06 GMT It was last detected at 2010-08-30 10:00 GMT (+/- 30 minutes), approximately 1 days, 1 hours ago.<br><br>This IP is infected (or NATting for a computer that is infected) with the grum spambot. <br><br>Дело в том, что через этот сервер проходит не так много почты (~20 писем в сутки), и я точно вижу на какое письмо ругается cbl.abuseat.org, а ругается он именно на этот спам. Конкретно, вот:<br><br><br>Aug 30 12:40:35 host postfix/smtpd[26419]: connect from hosting.bsoconsulting.com[111.67.197.243]<br>Aug 30 12:40:40 host postfix/cleanup[26461]: 5A4D62FCD17: message-id=&lt;20100830094040.5A4D62FCD17@mail.host.ua&gt;<br>Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=&lt;&gt;, size=260, nrcpt=1 (queue active)<br>Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=&lt;semmipllan@mail.ru&gt;, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)<br>