The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"спам от юзера постфикс с внешних ip"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 14:25 
По несколько раз в день пользователи постфикса получают спам от одного коллеги, по логам видно что письма с внешних ip, причем все они во многих черных списках. Юзеру этому пароль сменен, не помогло. Компьютер его чист. Где дыра? Как бороться?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "спам от юзера постфикс с внешних ip"  
Сообщение от бусик on 18-Сен-08, 14:43 
>По несколько раз в день пользователи постфикса получают спам от одного коллеги,
>по логам видно что письма с внешних ip, причем все они
>во многих черных списках. Юзеру этому пароль сменен, не помогло. Компьютер
>его чист. Где дыра? Как бороться?

как заставить не принимать письма от этого пользователя, или как заставить человека их рассылающего, их не рассылать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 14:50 
>как заставить не принимать письма от этого пользователя, или как заставить человека
>их рассылающего, их не рассылать?

Виноват если непонятно написал. Пользователи этого сервера могут слать почту только из локальной сети. А спам приходит от одного из них, логи показывают внешние ip адреса отправителя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "спам от юзера постфикс с внешних ip"  
Сообщение от ALex_hha (ok) on 18-Сен-08, 14:59 
>>как заставить не принимать письма от этого пользователя, или как заставить человека
>>их рассылающего, их не рассылать?
>
>Виноват если непонятно написал. Пользователи этого сервера могут слать почту только из
>локальной сети. А спам приходит от одного из них, логи показывают
>внешние ip адреса отправителя.

Лог покажи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 15:32 
>Лог покажи

Sep 17 04:05:20 soft postfix/smtpd[63931]: 2EA10586F8: client=unknown[170.51.167.94]
Sep 17 04:05:40 soft postfix/cleanup[63188]: 2EA10586F8: message-id=<jllydZZZIALKa.moroz@domain.com>
Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)

ну и дальше 20ти юзерам доставка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 15:50 
---main.cf

smtpd_client_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit_mynetworks

smtpd_recipient_restrictions =  
  permit_mynetworks,    
  reject_non_fqdn_recipient,  
  reject_unknown_recipient_domain,    
  reject_non_fqdn_sender,    
  reject_unauth_destination,    
  permit

smtpd_sender_restrictions =      
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,    
  permit

может здесь причина?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "спам от юзера постфикс с внешних ip"  
Сообщение от PavelR (??) on 18-Сен-08, 16:07 
>>Лог покажи
>
>Sep 17 04:05:20 soft postfix/smtpd[63931]: 2EA10586F8: client=unknown[170.51.167.94]
>Sep 17 04:05:40 soft postfix/cleanup[63188]: 2EA10586F8: message-id=<jllydZZZIALKa.moroz@domain.com>
>Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)
>
>ну и дальше 20ти юзерам доставка.

а шо вы таки хотели  ? Почта для вас ? для вас. Значит сервак её  принимает без авторизации, какие проблемы ? А вы - "пароль сменен", "почту отправить можно только из локальной сети"....

На станках в стране работать некому, смените профессию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 16:25 
>[оверквотинг удален]
>>Sep 17 04:05:40 soft postfix/oqmgr[424]: 2EA10586F8: from=<a.moroz@domain.com>, size=979, nrcpt=20 (queue active)
>>
>>ну и дальше 20ти юзерам доставка.
>
>а шо вы таки хотели  ? Почта для вас ? для
>вас. Значит сервак её  принимает без авторизации, какие проблемы ?
>А вы - "пароль сменен", "почту отправить можно только из локальной
>сети"....
>
>На станках в стране работать некому, смените профессию.

уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com мой. Кто-то от его имени шлет откуда захочет спам моим юзерам через мой сервер. Потому и пароль меняли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "спам от юзера постфикс с внешних ip"  
Сообщение от Аноним (??) on 18-Сен-08, 16:57 
>[оверквотинг удален]
>>а шо вы таки хотели  ? Почта для вас ? для
>>вас. Значит сервак её  принимает без авторизации, какие проблемы ?
>>А вы - "пароль сменен", "почту отправить можно только из локальной
>>сети"....
>>
>>На станках в стране работать некому, смените профессию.
>
>уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com
>мой. Кто-то от его имени шлет откуда захочет спам моим юзерам
>через мой сервер. Потому и пароль меняли.

Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml

2PavelR А вы не умничайте лучше человеку помогите...Студент!

P.S. Сколько в последние время чайников пыхтящих развелось ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 17:49 
>
>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>

мне что в список пихать каждый айпи машины с трояном с которой идет рассылка..  не очень то подходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "спам от юзера постфикс с внешних ip"  
Сообщение от karp email(??) on 18-Сен-08, 18:35 
>>
>>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>>
>
>мне что в список пихать каждый айпи машины с трояном с которой
>идет рассылка..  не очень то подходит

Причем тут ip машины с трояном? Там же ясно указано что отправитель тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших сетей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "спам от юзера постфикс с внешних ip"  
Сообщение от A Clockwork Orange on 18-Сен-08, 20:38 
>[оверквотинг удален]
>>>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>>>
>>
>>мне что в список пихать каждый айпи машины с трояном с которой
>>идет рассылка..  не очень то подходит
>
>Причем тут ip машины с трояном? Там же ясно указано что отправитель
>тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда
>почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших
>сетей.

Restrictions are applied in the order as specified; the first restriction that matches wins.
Ограничения применяются в порядке как определены; первое ограничение которое соответствует выигрывает
(http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...)

   smtpd_recipient_restrictions =
   permit_mynetworks,
   check_sender_access hash:/usr/local/etc/postfix/antispam/wtf,
   ограничения дальше,
   ...

Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес) с обратным адресом нашего домена в нашу сеть, то адрес получателя соответствует permit_mynetworks, и сообщение проходит. И как в данном случае поможет проверка check_sender_access?
Поправьте, если я не так понимаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "спам от юзера постфикс с внешних ip"  
Сообщение от karp email(??) on 19-Сен-08, 00:30 
>[оверквотинг удален]
>   permit_mynetworks,
>   check_sender_access hash:/usr/local/etc/postfix/antispam/wtf,
>   ограничения дальше,
>   ...
>
>Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес)
>с обратным адресом нашего домена в нашу сеть, то адрес получателя
>соответствует permit_mynetworks, и сообщение проходит. И как в данном случае поможет
>проверка check_sender_access?
>Поправьте, если я не так понимаю.

Не много не так ... Адрес получателя,имеется ввиду доменный адрес не соответствует permit_mynetworks,mynetworks - это сети которым вы доверяете. Т.е. permit_mynetworks сети из которых вы можете пересылать почту через ваш сервер...В примере check_sender_access проверяет адрес отправителя и если он соответствует вашем домену делает отлуп 554.

Вот пример...

telnet mail.pochta.tst
Trying 19.11.10.18...
Connected to mail.pochta.tst.
Escape character is '^]'.
220 mail.pochta.tst ESMTP is glad to see you!
helo mail.test.tst
MAIL FROM: user@pochta.tst        
RCPT TO: test@pochta.tst          # Вот здесь выполнится проверка на отправителя
                                  # check_sender_access,и если окажется,что в MAIL FROM:
                                  # стоит имя вашего домена будет отлуп 554..

554 pochta.tst sender? What the fuck? You're not in mynetworks! # Тут я думаю коментарии
                                                                # излишни... :)

Почему check_sender_access записано в smtpd_recipient_restrictions?
Можно было бы записать и в smtpd_sender_restrictions и так и так подойдет.Советую почитать по этой теме про отложенную обработку списков доступа.

Надеюсь хорошо объяснил, и не слишком занудно... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 19-Сен-08, 11:30 
>[оверквотинг удален]
>          
>          
>        # излишни... :)
>
>
>Почему check_sender_access записано в smtpd_recipient_restrictions?
>Можно было бы записать и в smtpd_sender_restrictions и так и так подойдет.Советую
>почитать по этой теме про отложенную обработку списков доступа.
>
>Надеюсь хорошо объяснил, и не слишком занудно... :)

cпасибо за помощь, все ясно теперь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "спам от юзера постфикс с внешних ip"  
Сообщение от A Clockwork Orange on 18-Сен-08, 18:04 
>[оверквотинг удален]
>>
>>уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com
>>мой. Кто-то от его имени шлет откуда захочет спам моим юзерам
>>через мой сервер. Потому и пароль меняли.
>
>Попробуйте вот это ... http://www.opennet.me/tips/info/716.shtml
>
>2PavelR А вы не умничайте лучше человеку помогите...Студент!
>
>P.S. Сколько в последние время чайников пыхтящих развелось ...

то что сказал павел понятно
а вот по ссылке не ясно

The smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT TO commands

Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT TO
(http://www.postfix.org/uce.html#smtpd_recipient_restrictions)

и как тут будет проверяться check_sender_access? речь же идет о получателях?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "спам от юзера постфикс с внешних ip"  
Сообщение от pingwin108 (ok) on 18-Сен-08, 18:17 

>The smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT
>TO commands
>
>Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT
>TO
>(http://www.postfix.org/uce.html#smtpd_recipient_restrictions)
>
>и как тут будет проверяться check_sender_access? речь же идет о получателях?

актуальная дока:
http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...
The access restrictions that the Postfix SMTP server applies in the context of the RCPT TO command.
Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть можно отправителя и на этом этапе проверять, но лучше, мне кажется в своем разделе ограничений.
Ну это мы отклонились от темы...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "спам от юзера постфикс с внешних ip"  
Сообщение от ALex_hha (??) on 19-Сен-08, 19:03 
>[оверквотинг удален]
>>и как тут будет проверяться check_sender_access? речь же идет о получателях?
>
>актуальная дока:
>http://www.postfix.org/postconf.5.html#smtpd_recipient_restr...
>The access restrictions that the Postfix SMTP server applies in the context
>of the RCPT TO command.
>Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть
>можно отправителя и на этом этапе проверять, но лучше, мне кажется
>в своем разделе ограничений.
>Ну это мы отклонились от темы...

Лучше как раз на этапе RCPT.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру