Что за вид спама и как с ним бороться?! (exim+exchange)

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Demonik
рядовой
Сообщения: 17
Зарегистрирован: 2016-05-04 12:55:15

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Demonik » 2016-05-27 19:29:04

Добра в хату. ПОдскажите что за проблема и как её можно решить с помощью ACL exim.
Суть: приходит СПАМ (никак не поменчается) письмо мне(duev.d@tentorium.ru) но в получателе находиться не мой(emailinfo@tenniskort.ru) адрес. В заголовках BCC не вижу.

Код: Выделить всё

Received: from EX1.TENTORIUM.LAN (10.0.14.6) by EX1.TENTORIUM.LAN (10.0.14.6)
 with Microsoft SMTP Server (TLS) id 15.0.1044.25 via Mailbox Transport; Fri,
 27 May 2016 14:14:41 +0500
Received: from EX1.TENTORIUM.LAN (10.0.14.6) by EX1.TENTORIUM.LAN (10.0.14.6)
 with Microsoft SMTP Server (TLS) id 15.0.1044.25; Fri, 27 May 2016 14:14:40
 +0500
Received: from mailgw.tentorium.ru (93.170.7.7) by EX1.TENTORIUM.LAN
 (195.128.133.109) with Microsoft SMTP Server (TLS) id 15.0.1044.25 via
 Frontend Transport; Fri, 27 May 2016 14:14:40 +0500
Received: from s1.fatema.ru ([188.138.74.142] helo=fatema.ru)
	by mailgw.tentorium.ru with esmtp (Exim 4.80)
	(envelope-from <avwolxs@fatema.ru>)
	id 1b6Dqp-0006bt-98
	for duev.d@tentorium.ru; Fri, 27 May 2016 14:14:40 +0500
Received: from fatema.ru (unknown [95.46.114.58])
	by fatema.ru (Postfix) with ESMTPA id 4CE4C4EE4AA;
	Fri, 27 May 2016 04:21:47 +0300 (EEST)
Message-ID: <c3d401d1b7cf$4bc9e190$a388175f@avwolxs>
Reply-To: <alexandrowa.inna2017@yandex.ru>
From: =?windows-1251?B?0NQ=?= <avwolxs@fatema.ru>
To: <emailinfo@tenniskort.ru>
Date: Fri, 27 May 2016 04:21:52 +0300
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
	boundary="----=_NextPart_000_0006_01D1B7CE.2CF6E8E0"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Received-SPF: pass
X-SA-Exim-Connect-IP: 188.138.74.142
X-SA-Exim-Mail-From: avwolxs@fatema.ru
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on none
X-Spam-Level:
X-Spam-Status: No, score=0.4 required=5.0 tests=BAYES_00,
	FREEMAIL_FORGED_REPLYTO,FREEMAIL_REPLYTO_END_DIGIT,HTML_MESSAGE,SPF_HELO_PASS,
	SPF_PASS,T_RP_MATCHES_RCVD autolearn=no version=3.3.2
Subject: =?windows-1251?B?0e3o5uXt6OUg5+Dw7+vg8vsg5+Ag7eXx7u7y4uXy8fLi6OUg7/Du9PHy4O3k4PDy4Owg8SAxIOj+6/8gMjAxNuMuIM/u8evl5O3o5SDo5+zl7eXt6P8g0sog0NQ=?=
X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:24:06 +0000)
X-SA-Exim-Scanned: Yes (on mailgw.tentorium.ru)
Return-Path: avwolxs@fatema.ru
X-MS-Exchange-Organization-Network-Message-Id: 0dcf7851-f962-4da9-5756-08d3860f55b4
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: EX1.TENTORIUM.LAN
X-MS-Exchange-Organization-AuthAs: Anonymous
X-EsetId: 37303A29F136716F637561
Отправлено спустя 58 минут 43 секунды:
Пока что написал вот такой правило, буду тестировать:

Код: Выделить всё

#Спам со скрытой копией или с пересылки тоже со скрытой копией (BCC спам)
drop condition     = ${if def:h_to:}
     condition     = ${if forall{${addresses:$h_to:}} \
                     {!match{$item}{@domain.com\$}}}
    !senders       = : *@tentorium.ru : *@tentorium.biz : *@lists.tentorium.ru : *@gmail.com : *@mail.ru : *@inbox.ru : *@bk.ru : *@list.ru  : *@rambler.ru : *@yandex.ru : *@lists.tentorium.ru
     message       = No Bcc and forwarded messages

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-05-27 20:31:58

Очень просто. Они в SMTP-сессии в RCPT TO пишут ваш реальный адрес, а в заголовке TO уже то, что вы видите.
Обычная спамерская техника.
IT voodoo blog https://kostikov.co

Demonik
рядовой
Сообщения: 17
Зарегистрирован: 2016-05-04 12:55:15

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Demonik » 2016-05-30 20:23:10

Не очень действенный метод, т.к. много сервисов которые не проходят эту проверку. Нужно либо составлять список доменов постоянно его пополняя либо искать другой метод борьбы со скрытой копией.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-06-02 0:31:34

У меня с таким (да и со всем остальным) спамом прекрасно справляется стандартный конфиг Exim с синтаксическим разбором сессии, проверками на корректность DNS, проверками SPF, DKIM, ADSP, DMARC, DCC, DNSBL и Spamassassin без специально сформулированных для этих случаев правил.
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-06-02 22:25:50

Кстати, я бы вас предостерёг от проверки соответствия поля To: указанному в SMTP сессии адресу в команде RCPT TO. Его, кстати, можно увидеть в поле Envelope-to: Дело в том, что то же метод доставки используют почти все листы рассылок и в частности стандартный лист-сервер Mailman. Тем самым вы зарежете и вполне нормальные и даже нужные письма.
IT voodoo blog https://kostikov.co

Demonik
рядовой
Сообщения: 17
Зарегистрирован: 2016-05-04 12:55:15

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Demonik » 2016-06-03 12:29:58

xM писал(а):У меня с таким (да и со всем остальным) спамом прекрасно справляется стандартный конфиг Exim с синтаксическим разбором сессии, проверками на корректность DNS, проверками SPF, DKIM, ADSP, DMARC, DCC, DNSBL и Spamassassin без специально сформулированных для этих случаев правил.
А можете показат как у Вас реализована проверка по ADSP, DMARC, DCC?

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-06-03 13:27:37

Ну, во-первых, у вас совершенно другая конфигурация, как я понял, и Exim выступает шлюзом перед Exchange.
Во-вторых, у меня есть ряд специфических правил и оговорок в них, которые вас только запутают. Ну и, в-третьих, конфиг просто весьма обширный и отнюдь не из-за комментариев.
Т.е. смысла я не вижу. Но помочь могу в чём-то, конечно. При конкретном вопросе по-существу.
Например, по DMARC можете почитать статью
https://kostikov.co/post/dmarc-dlya-bor ... om-frontah
или на Хабре
https://habrahabr.ru/post/302162/.
IT voodoo blog https://kostikov.co

Lancc
рядовой
Сообщения: 11
Зарегистрирован: 2016-09-07 11:32:13

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Lancc » 2016-09-19 18:00:15

День добрый, идёт много спама от домена co.ua

Порылся по форуму нашёл такое вот правило, но оно не работает, как бы мне этих спамеров грохнуть?
Блокировка IP-Адресов по странам:
deny message = "Host in blacklist - $dnslist_domain \n $dnslist_text"
dnslists = co.ua.countries.nerd.dk

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-09-19 19:39:56

Lancc писал(а): deny message = "Host in blacklist - $dnslist_domain \n $dnslist_text"
dnslists = co.ua.countries.nerd.dk
Крайне хреновая идея слепо верить DNSBL. Хотя бы потому, что в них могут быть ошибки.
IT voodoo blog https://kostikov.co

Lancc
рядовой
Сообщения: 11
Зарегистрирован: 2016-09-07 11:32:13

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Lancc » 2016-09-20 10:55:37

я слепо и не верю), ибо это даже не работает...) вот и спрашиваю как заблокировать домен co.ua?


Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-09-21 20:04:37

Lancc писал(а): Никто не знает?
Все усиленно читают за вас документацию на Exim чтобы скорее написать за вас нужное вам правило и решить, тем самым вашу задачу и сэкономить ваше драгоценное время.
IT voodoo blog https://kostikov.co

Lancc
рядовой
Сообщения: 11
Зарегистрирован: 2016-09-07 11:32:13

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Lancc » 2016-09-26 16:09:16

Так я же читаю и нашёл, но к сожалению не работает
мои правила
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_dkim = acl_check_dkim


это вставляем до acl листов
addresslist denysenders = lsearch*@;/etc/exim4/list/denysenders
это сразу после acl_check_rcpt
deny message = SPAM !!! rejected, $sender_address is in a black list
senders = +denysenders
где в etc/exim4/list/denysenders
*@*.co.ua

немного сомневаюсь в правильности lsearch*@ и файла со списком доменов

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-09-26 17:48:50

Lancc писал(а): *@*.co.ua
Это вы мощно - всю Украину забанить.
Предлагаю сразу весь интернет уже.
IT voodoo blog https://kostikov.co

Lancc
рядовой
Сообщения: 11
Зарегистрирован: 2016-09-07 11:32:13

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Lancc » 2016-09-27 11:19:12

xM, Уважаемый), co.ua не вся Украина и собственно у нас с ними никаких общих дел нет, а спама от этого домена 99%, не вижу смысла их не заблочить, 99.9% русский спам фильтруется
Вы бы лучше совет какой дали.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-09-27 11:43:15

Lancc писал(а): Вы бы лучше совет какой дали.
Совет один - методом проб и ошибок выстраивать автоматическую комплексную сбалансированную систему фильтрации спама.
Либо, если нет времени, можно пригласить специалиста, который развернёт такую систему на базе своих наработок. Есть настоящие гуру в этой сфере (нет, это не я ;-) )
IT voodoo blog https://kostikov.co

Lancc
рядовой
Сообщения: 11
Зарегистрирован: 2016-09-07 11:32:13

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение Lancc » 2016-09-28 18:18:26

так и не допёр я как настроить блокировку, слаб я в этих переменных, сделал по другому.
Можно просто написать в spamassassin blacklist_from *@*.co.ua и он сразу 100 баллов накинет, но я перенастроил правила, теперь почти весь спам с баллами выше 10 выкидывается, всё что от 6 до 10 уходит на ящик spam@domen.ru, там в основном рассылки всякие, ничего полезного, а нормальные письма ходят куда нужно...
Нужно конечно наблюдать и допиливать, но это вариант не сильно подходит на высоко нагруженные сервера, говорят spamassassin сильно грузит сервера, хотя у меня он висит на виртуалке на debian и всегда 0-1% cpu и 2гб памяти
вот примерно за день отправлено
Volume Messages
remote_smtp 501MB 860

как посмотреть принято не знаю), поищу завтра.

guest
проходил мимо

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение guest » 2016-10-03 10:45:36

xM писал(а):
Lancc писал(а): *@*.co.ua
Это вы мощно - всю Украину забанить.
Предлагаю сразу весь интернет уже.
А так же
defer hosts = *.co.ua : *.biz.ua

Кстати во всех блокировках использую defer, зачем убивать надежду.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-10-03 12:49:12

Если вы имеете ввиду ребят типа holihik.co.ua или lana.biz.ua со случайно сгенерированной local_part, то что вы тогда делаете с точно такими же рассыльщиками из зоны .ru ? Руками ловите?
Ну, как бы, дело личное. У меня они автоматом ловятся все прекрасно.
undefined писал(а): Кстати во всех блокировках использую defer, зачем убивать надежду.
Ну так они ж дальше будут ломиться грузя ваш сервер. Смысл? Или у вас была мысль чтоб они точно также свой загрузили бессмысленным долбежом?
IT voodoo blog https://kostikov.co

guest
проходил мимо

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение guest » 2016-10-03 17:12:01

xM писал(а):Если вы имеете ввиду ребят типа holihik.co.ua или lana.biz.ua со случайно сгенерированной local_part, то что вы тогда делаете с точно такими же рассыльщиками из зоны .ru ? Руками ловите?
Ну, как бы, дело личное. У меня они автоматом ловятся все прекрасно.
Перебор вы имеете в виду? Не вижу ни одного за прошлый месяц от них с co.ua.

Мы не провайдер, есть то ящиков 100. Если с нашей стороны идет сообщение, адрес получателя пишется в белый список. Соответственно формальные проверки для всего остального включены на полную (dns, обратная запись, имена содержащие признаки пользовательских пулов и т.д.). А эти ua, проходят все dns проверки, и sender/callout реже но проходит.
xM писал(а):
undefined писал(а): Кстати во всех блокировках использую defer, зачем убивать надежду.
Ну так они ж дальше будут ломиться грузя ваш сервер. Смысл? Или у вас была мысль чтоб они точно также свой загрузили бессмысленным долбежом?
С моей стороны задержки выставлены - серьезной нагрузка не будет. Спам стоит в чужих очередях - такой смысл.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Что за вид спама и как с ним бороться?! (exim+exchange)

Непрочитанное сообщение xM » 2016-10-03 18:17:25

undefined писал(а): Перебор вы имеете в виду?
Нет, я подразумевал что заведомо прописанный набор доменов это не решение проблемы. Всегда появятся новые, которые придётся добавлять руками.
По поводу белого листа для исходящих, это, наверное, хорошо. Но при такой схеме всегда есть шанс задробить вполне себе порядочного отправителя с которым доселе не было контакта на основании ручной блокировки в стиле вашего правила с defer hosts = *.co.ua : *.biz.ua
IT voodoo blog https://kostikov.co