forum.opennet.ru - "Postfix. спам рассылка от пользователя" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Postfix. спам рассылка от пользователя"

Форум Открытые системы на сервере (Почта / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Postfix. спам рассылка от пользователя"	+/–
Сообщение от Babooinpapa (ok) on 19-Дек-13, 09:04
Проблема такая. Пользователю приходит ответ от сервера о том, что письмо не доставлено. Каждые 5 минут примерно. Адреса получателя разные. Проверка на вирусы ПК пользователя не решила проблему, возможно письма отправляются с другого ПК. Подскажите как выяснить откуда рассылка.
Ответить \| Правка \| Cообщить модератору

Оглавление

Postfix. спам рассылка от пользователя, Аноним, 09:48 , 19-Дек-13, (1)

Postfix. спам рассылка от пользователя, Babooinpapa, 10:13 , 19-Дек-13, (2)

Postfix. спам рассылка от пользователя, Дядя_Федор, 11:54 , 19-Дек-13, (4)

Postfix. спам рассылка от пользователя, Babooinpapa, 14:32 , 19-Дек-13, (6)

Postfix. спам рассылка от пользователя, Дядя_Федор, 17:46 , 19-Дек-13, (8)

Postfix. спам рассылка от пользователя, Babooinpapa, 07:44 , 20-Дек-13, (9)

Postfix. спам рассылка от пользователя, Дядя_Федор, 12:43 , 20-Дек-13, (10)

Postfix. спам рассылка от пользователя, Аноним, 13:15 , 19-Дек-13, (5)

Postfix. спам рассылка от пользователя, Babooinpapa, 14:33 , 19-Дек-13, (7)

Postfix. спам рассылка от пользователя, Etch, 11:34 , 19-Дек-13, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Аноним (??) on 19-Дек-13, 09:48

> ПК. Подскажите как выяснить откуда рассылка.
Заголовки писем посмотрите - там все видно, откуда.
Кстати - возможно просто почтовый акаунт пользователя взломали (подобрали пароль) и теперь рассылают от его имени спам, ну а ему обратно валятся "приветы" о недоставке.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Babooinpapa (ok) on 19-Дек-13, 10:13

>> ПК. Подскажите как выяснить откуда рассылка.
> Заголовки писем посмотрите - там все видно, откуда.
> Кстати - возможно просто почтовый акаунт пользователя взломали (подобрали пароль) и теперь
> рассылают от его имени спам, ну а ему обратно валятся "приветы"
> о недоставке.
После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка идет из моей сети.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Дядя_Федор on 19-Дек-13, 11:54

> После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка
> идет из моей сети.
Логи смотреть - не наш метод? Про пересылку уверены, что только из ВАШЕЙ сети? Если помимо permit_mynetworks стоит и permit_sasl_authenticated - то у меня для Вас плохие новости. :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Babooinpapa (ok) on 19-Дек-13, 14:32

>> После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка
>> идет из моей сети.
>  Логи смотреть - не наш метод? Про пересылку уверены, что только
> из ВАШЕЙ сети? Если помимо permit_mynetworks стоит и permit_sasl_authenticated - то
> у меня для Вас плохие новости. :)
нет 2ой не стоит.
Почему же не метод. просто не все в логах мне понятно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Дядя_Федор on 19-Дек-13, 17:46

> нет 2ой не стоит.
Если "2ой не стоит" - изменение пароля Вам не помогло бы. Просмотрите еще раз очень внимательно main.cf. Секции smtpd_helo_restriction, smtpd_sender_restrictions, smtpd_recipient_restrictions, smtpd_client_restrictions

> Почему же не метод. просто не все в логах мне понятно.
Если Вы хотите работать в IT - придется учиться читать. И для мозгов полезно, и для следующих вопросов, которые, возможно, последуют. Типа совета, что ли - grep имя_того_спамера /var/log/mail (варианты - mail.log, mail.info - зависит от того, как syslog настроен).

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Babooinpapa (ok) on 20-Дек-13, 07:44

>  Если "2ой не стоит" - изменение пароля Вам не помогло бы.
> Просмотрите еще раз очень внимательно main.cf. Секции smtpd_helo_restriction, smtpd_sender_restrictions,
> smtpd_recipient_restrictions, smtpd_client_restrictions
Да нашел, извиняюсь. Этот параметр есть
Если не трудно расскажите что это за параметр.
"permit_sasl_authenticated говорит только о том, что нужно пускать авторизовавшихся через SASL юзеров"
вот что  я прочитал. Почему же смена пароля не поможет?
>  Если Вы хотите работать в IT - придется учиться читать. И
> для мозгов полезно, и для следующих вопросов, которые, возможно, последуют. Типа
> совета, что ли - grep имя_того_спамера /var/log/mail (варианты - mail.log, mail.info
> - зависит от того, как syslog настроен).
Спасибо за совет. Логи я смотрел вот например:
Dec 17 15:03:42 mail postfix/smtp[675]: 4D5CD23AF9: to=<koptevar@uniway.ru>, relay=mail.uniway.ru[91.195.124.54]:25, delay=3.1, delays=0.1/0.01/0.33/2.7, dsn=2.6.0, status=sent (250 2.6.0 <128C6AF87EDB4C7EA6279443DC134539@icquqnd> [InternalId=1528694] Queued mail for delivery)
этого письма я не нашел.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Дядя_Федор on 20-Дек-13, 12:43

> Да нашел, извиняюсь. Этот параметр есть
> Если не трудно расскажите что это за параметр.
> "permit_sasl_authenticated говорит только о том, что нужно пускать авторизовавшихся через
> SASL юзеров"
> вот что  я прочитал. Почему же смена пароля не поможет?
Ну правильно. Вы ведь утверждали, что этой строки нет! А значит она именно то, что Вы только что сказали. То есть - пропускаться к пересылке будут письма не только клиентов вашей сети, но и те клиенты, которые прошли аутентификацию. Что Вы, собственно, и наблюдали после взлома пароля.
> Спасибо за совет. Логи я смотрел вот например:
> Dec 17 15:03:42 mail postfix/smtp[675]: 4D5CD23AF9: to=<koptevar@uniway.ru>, relay=mail.uniway.ru[91.195.124.54]:25,
> delay=3.1, delays=0.1/0.01/0.33/2.7, dsn=2.6.0, status=sent (250 2.6.0 <128C6AF87EDB4C7EA6279443DC134539@icquqnd>
> [InternalId=1528694] Queued mail for delivery)
А Вы на самом деле не различаете To и From???

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Аноним (??) on 19-Дек-13, 13:15

> После замены пароля "приветы" прекратились.
Возможно еще какое-то время будут прилетать запоздалые "приветы" от различных релейных почтовиков, которые будут продолжать попытки доставить спамерзкие письмена получателям, но это максимум пять дней-неделю, так что не пугайтесь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Babooinpapa (ok) on 19-Дек-13, 14:33

>> После замены пароля "приветы" прекратились.
> Возможно еще какое-то время будут прилетать запоздалые "приветы" от различных релейных
> почтовиков, которые будут продолжать попытки доставить спамерзкие письмена получателям,
> но это максимум пять дней-неделю, так что не пугайтесь.
Да парочка уже прилетела, подумал что не сработало. Спасибо успокоили :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Postfix. спам рассылка от пользователя" +/–

Сообщение от Etch on 19-Дек-13, 11:34

> ПК. Подскажите как выяснить откуда рассылка.
По логам. /var/log/mail обычно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Postfix. спам рассылка от пользователя"	+/–
Сообщение от Аноним (??) on 19-Дек-13, 09:48
> ПК. Подскажите как выяснить откуда рассылка. Заголовки писем посмотрите - там все видно, откуда. Кстати - возможно просто почтовый акаунт пользователя взломали (подобрали пароль) и теперь рассылают от его имени спам, ну а ему обратно валятся "приветы" о недоставке.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Babooinpapa (ok) on 19-Дек-13, 10:13
	>> ПК. Подскажите как выяснить откуда рассылка. > Заголовки писем посмотрите - там все видно, откуда. > Кстати - возможно просто почтовый акаунт пользователя взломали (подобрали пароль) и теперь > рассылают от его имени спам, ну а ему обратно валятся "приветы" > о недоставке. После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка идет из моей сети.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Дядя_Федор on 19-Дек-13, 11:54
	> После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка > идет из моей сети. Логи смотреть - не наш метод? Про пересылку уверены, что только из ВАШЕЙ сети? Если помимо permit_mynetworks стоит и permit_sasl_authenticated - то у меня для Вас плохие новости. :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Babooinpapa (ok) on 19-Дек-13, 14:32
	>> После замены пароля "приветы" прекратились. Пересылка на сервере запрещена, значит рассылка >> идет из моей сети. > Логи смотреть - не наш метод? Про пересылку уверены, что только > из ВАШЕЙ сети? Если помимо permit_mynetworks стоит и permit_sasl_authenticated - то > у меня для Вас плохие новости. :) нет 2ой не стоит. Почему же не метод. просто не все в логах мне понятно.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Дядя_Федор on 19-Дек-13, 17:46
	> нет 2ой не стоит. Если "2ой не стоит" - изменение пароля Вам не помогло бы. Просмотрите еще раз очень внимательно main.cf. Секции smtpd_helo_restriction, smtpd_sender_restrictions, smtpd_recipient_restrictions, smtpd_client_restrictions > Почему же не метод. просто не все в логах мне понятно. Если Вы хотите работать в IT - придется учиться читать. И для мозгов полезно, и для следующих вопросов, которые, возможно, последуют. Типа совета, что ли - grep имя_того_спамера /var/log/mail (варианты - mail.log, mail.info - зависит от того, как syslog настроен).
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Babooinpapa (ok) on 20-Дек-13, 07:44
	> Если "2ой не стоит" - изменение пароля Вам не помогло бы. > Просмотрите еще раз очень внимательно main.cf. Секции smtpd_helo_restriction, smtpd_sender_restrictions, > smtpd_recipient_restrictions, smtpd_client_restrictions Да нашел, извиняюсь. Этот параметр есть Если не трудно расскажите что это за параметр. "permit_sasl_authenticated говорит только о том, что нужно пускать авторизовавшихся через SASL юзеров" вот что я прочитал. Почему же смена пароля не поможет? > Если Вы хотите работать в IT - придется учиться читать. И > для мозгов полезно, и для следующих вопросов, которые, возможно, последуют. Типа > совета, что ли - grep имя_того_спамера /var/log/mail (варианты - mail.log, mail.info > - зависит от того, как syslog настроен). Спасибо за совет. Логи я смотрел вот например: Dec 17 15:03:42 mail postfix/smtp[675]: 4D5CD23AF9: to=<koptevar@uniway.ru>, relay=mail.uniway.ru[91.195.124.54]:25, delay=3.1, delays=0.1/0.01/0.33/2.7, dsn=2.6.0, status=sent (250 2.6.0 <128C6AF87EDB4C7EA6279443DC134539@icquqnd> [InternalId=1528694] Queued mail for delivery) этого письма я не нашел.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Дядя_Федор on 20-Дек-13, 12:43
	> Да нашел, извиняюсь. Этот параметр есть > Если не трудно расскажите что это за параметр. > "permit_sasl_authenticated говорит только о том, что нужно пускать авторизовавшихся через > SASL юзеров" > вот что я прочитал. Почему же смена пароля не поможет? Ну правильно. Вы ведь утверждали, что этой строки нет! А значит она именно то, что Вы только что сказали. То есть - пропускаться к пересылке будут письма не только клиентов вашей сети, но и те клиенты, которые прошли аутентификацию. Что Вы, собственно, и наблюдали после взлома пароля. > Спасибо за совет. Логи я смотрел вот например: > Dec 17 15:03:42 mail postfix/smtp[675]: 4D5CD23AF9: to=<koptevar@uniway.ru>, relay=mail.uniway.ru[91.195.124.54]:25, > delay=3.1, delays=0.1/0.01/0.33/2.7, dsn=2.6.0, status=sent (250 2.6.0 <128C6AF87EDB4C7EA6279443DC134539@icquqnd> > [InternalId=1528694] Queued mail for delivery) А Вы на самом деле не различаете To и From???
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	5. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Аноним (??) on 19-Дек-13, 13:15
	> После замены пароля "приветы" прекратились. Возможно еще какое-то время будут прилетать запоздалые "приветы" от различных релейных почтовиков, которые будут продолжать попытки доставить спамерзкие письмена получателям, но это максимум пять дней-неделю, так что не пугайтесь.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "Postfix. спам рассылка от пользователя"	+/–
	Сообщение от Babooinpapa (ok) on 19-Дек-13, 14:33
	>> После замены пароля "приветы" прекратились. > Возможно еще какое-то время будут прилетать запоздалые "приветы" от различных релейных > почтовиков, которые будут продолжать попытки доставить спамерзкие письмена получателям, > но это максимум пять дней-неделю, так что не пугайтесь. Да парочка уже прилетела, подумал что не сработало. Спасибо успокоили :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

3. "Postfix. спам рассылка от пользователя"	+/–
Сообщение от Etch on 19-Дек-13, 11:34
> ПК. Подскажите как выяснить откуда рассылка. По логам. /var/log/mail обычно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору