Blacklist

[chinga]

все время попадаю в cbl.abuseat.org.
Удаляюсь из списка через 1-2 дня опять там. В логах экзима только письма которые идут к моим и от моих(не спам).
Интересует: почему все время только к ним?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zorg]

попробуй проверить себя на открытый релей!!!!
Сперва сам или если уверен что у тебя всё впорядке то например на ordb!!!

[chinga]

Вот про релей

Код: Выделить всё

Oct 31 11:06:21 ns exim[28297]: 2006-10-31 11:06:21 Delay 30s for asmtp3.asu.edu [129.219.117.227] with HELO=asmtp3.asu.edu. Mail from reverse@asu.edu to cind217@hawaii.com.
Oct 31 11:06:55 ns exim[28297]: 2006-10-31 11:06:55 H=asmtp3.asu.edu [129.219.117.227] I=[88.204.141.106]:25 F=<reverse@asu.edu> rejected RCPT <cind217@hawaii.com>: relay not permitted
Oct 31 11:06:55 ns exim[28297]: 2006-10-31 11:06:55 H=asmtp3.asu.edu [129.219.117.227] I=[88.204.141.106]:25 F=<reverse@asu.edu> rejected RCPT <cind217@hawaii.com>: relay not permitted

Провереяюсь на http://www.robtex.com и http://www.dnsstuff.com. Кстати вот че второй пишет в первой строке

Код: Выделить всё

PTR	 MISSING!	 88.204.141.106 has no reverse DNS entry; some mail servers may not accept your mail.	 86400 seconds

Ну да, небыло у меня в намед.конф про реверс зону. Теперь добавил. А, что, действительно некоторые сервера могут не принимать?
С клиентских компов тоже письма на левые адреса вроде не шлются, судя по логам(cat /var/log/maillog)

[dikens3]

Я бы и не принял от такого сервера. Хотя приходится.

Обычно в Postfix это делается строчкой

Код: Выделить всё

smtpd_client_restrictions =
            permit_mynetworks,
            permit_sasl_authenticated
# Убиваем неродивые почтовые сервера, не имеющие обратных PTR записей.
# Внимание, убивает и нужную почту !!!
#           reject_unknown_client

Так я себе заметку сделал в Postfix. :-)
Отключил из-за ленивых админов.

[chinga]

Запкиньте плиз свои рабочие named.conf , файл зоны и обратной зоны на chingam@yandex.ru/ Буду очень признателен.

[chinga]

А как справлятся с тем, что иногда, например mail.ru, бывает в черных списках (у меня стоит проверка по ним) а почту получать надо. Что в конфиге писать чтоли мол если даже в блэклисте, от майла и рамблера принимать?

[dikens3]

А как справлятся с тем, что иногда, например mail.ru, бывает в черных списках (у меня стоит проверка по ним) а почту получать надо. Что в конфиге писать чтоли мол если даже в блэклисте, от майла и рамблера принимать?

Убрать BlackList'ы, в которых есть mail.ru (Настоятельно рекомендую)

Или создать белый список и внести туда mail.ru, rambler.ru и т.п. И принимать от них до проверок RBL.

[lexy]

попробуй проверить себя на открытый релей!!!!
Сперва сам или если уверен что у тебя всё впорядке то например на ordb!!!

Дело может быть не только в опенрелей, может быть еще, что кто-то из пользователей внутренней сетки вступил в бот-нет и продвигает виагру и увеличить-сами-знаете-чего

МХО по поводу BL, весч может и полезная, но вредная (взять Спамхаус к примеру )))), попробовал включать, перестали письма идти с китая, штатов, получил втык от руководства и снес все нах, сейчас пользую связку Postfix+ClamAV+Popfile, точность классификации 99,2

[dikens3]

попробуй проверить себя на открытый релей!!!!
Сперва сам или если уверен что у тебя всё впорядке то например на ordb!!!

Дело может быть не только в опенрелей, может быть еще, что кто-то из пользователей внутренней сетки вступил в бот-нет и продвигает виагру и увеличить-сами-знаете-чего

МХО по поводу BL, весч может и полезная, но вредная (взять Спамхаус к примеру )))), попробовал включать, перестали письма идти с китая, штатов, получил втык от руководства и снес все нах, сейчас пользую связку Postfix+ClamAV+Popfile, точность классификации 99,2

Э... А подробнее про Popfile можно?

[lexy]

http://popfile.sourceforge.net/
/usr/ports/mail/popfile

POP и SMTP прокси на перле с вебинтерфейсом, байес-анализатор. Тренируешь его с неделю, после раз в день отсматриваешь. Не такой автоматический как SpamAssasin, но я выбрал его, т.к до того, как поставил фрю, он у меня уже работал под виндой и меня устраивал. в связке с Postfix работает как SMTP-прокси, правда есть тонкости в настройке, если заинтересует - напишу поподробнее. Может и старшие товарищи меня поправят, если в чем заблуждаюсь

[dikens3]

Код: Выделить всё

------ Postfix filters ------
ix.dnsbl.manitu.net                             --      1878
relays.ordb.org                                 --      1
list.dsbl.org                                   --      995
dnsbl.njabl.org                                 --      129
dynablock.njabl.org                             --      1373
combined.njabl.org                              --      0
sbl-xbl.spamhaus.org                            --      1739
cbl.abuseat.org                                 --      9
dnsbl.ahbl.org                                  --      4
bl.spamcop.net                                  --      132
block.rhs.mailpolice.com                        --      2
blackhole.securitysage.com                      --      4
spf.pobox.com                                   --      3

--------- My filters ---------
bad_dest_emails                                 --      5
bad_emails                                      --      0
helo_access                                     --      192
sender_bad                                      --      1

------------------------------
Total: 6467

---- Total accepted mail ----
Total accepted mail                             --      751

Хочу показать свою статистику, фильтры стоят в том порядке, в котором обрабатываются.

helo_access - Ошибки в HELO.
Total: 6467 - Количество отсеянных на входе писем.

[dikens3]

http://popfile.sourceforge.net/
/usr/ports/mail/popfile

POP и SMTP прокси на перле с вебинтерфейсом, байес-анализатор. Тренируешь его с неделю, после раз в день отсматриваешь. Не такой автоматический как SpamAssasin, но я выбрал его, т.к до того, как поставил фрю, он у меня уже работал под виндой и меня устраивал. в связке с Postfix работает как SMTP-прокси, правда есть тонкости в настройке, если заинтересует - напишу поподробнее. Может и старшие товарищи меня поправят, если в чем заблуждаюсь

Я себе поставил. Балуюсь пока. Проблема с кодировками как-нибудь решается? Или пофиг?

Т.е. popfile запоминает слова типа ОРПТЫКЕ ?

[lexy]

Я себе поставил. Балуюсь пока. Проблема с кодировками как-нибудь решается? Или пофиг?

Т.е. popfile запоминает слова типа ОРПТЫКЕ ?

запоминает..... и прочую хню тоже )))))))), и юникодовые слова.....
чтоб он пошустрей работал, надо забить поплотнее список стоп-слов

только я попфайл запускаю не в пользовотельском окружении а как демона

[chinga]

Дело может быть не только в опенрелей, может быть еще, что кто-то из пользователей внутренней сетки вступил в бот-нет и продвигает виагру и увеличить-сами-знаете-чего

Ну, в логах пишет relay not permitet если с внешних айпи пытаются. А как еще посмотреть насчет опенрелея и ботнета. Уточняю, что у меня прозрачный прокси.
Антивырь разве не помогает от вступления в ботнет?

[lexy]

Ну, в логах пишет relay not permitet если с внешних айпи пытаются.

это ок

А как еще посмотреть насчет опенрелея

http://ordb.net/submit/

...и ботнета

проверить клиентские машины на отсутствие вирей

клиенты наружу по 25 порту натятся?
если да, смотри с каких внутренних куда идет траф по 25 порту наружу и с какой плотностью..... верный знак ))))
смотри по логам, кто чего шлет, а еще лучше запрети всем шариться по 25 порту наружу, только через твой SMTP

Антивырь разве не помогает от вступления в ботнет?

нет это только тулза, помогающая не подхватить сифилис на ровном месте и то при постоянной актуализации БД. Гпрантированно помогает только пропатченный и стабле драйвер hands.sys и head.vxd

[Alex Keda]

[dikens3]

Кстати, моя вышеприведённая статистика только за 1 день.

Если примерно прикинуть, что 1 письмо в среднем 20 кб получим следующее:

6487*20=129740 Кб или 126 МБ
помножим на 30 дней и получим 3780 МБ.
В деньгах для фирмы получится 6048 руб.

Вот такие пироги :-)
Я не знаю готова ли наша фирма использовать popfile, даже за 1000р в месяц. Лучше в белый список кого-нибудь закинуть раз в месяц.

P.S. Соврал немного, но пересчитывать лень. Жду ваший мнений.

[lexy]

Я не знаю готова ли наша фирма использовать popfile, даже за 1000р в месяц.

C чего это? попфайл - donationware

На мои почту приходит >2500 в день из них только 5,25% "белая почта".
Вот статистика попфайла

Код: Выделить всё

Точность классификации
Классифицированные письма:  30,108  
Ошибки классификации:  199  

--------------------------------------------------------------------------------
 
Точность:  99.33%  
   
  
(Последний сброс был: Mon Oct 23 09:41:17 2006 )  
 Классифицированные письма
Ведро     Классифицировано  False Positives  False Negatives  
clear     1,583 (5.25%)  110  24  
trash     28,506 (94.67%)  11  175  
unclassified     19 (0.06%)  78   
   
      
 
100%  
 Слова
Ведро     Количество слов  
clear     437,433 (15.19%)  
trash     2,441,802 (84.80%)  
   
    
 
 

до установки постфикса у меня был почтарь на самбаре (Win) и ящики у прова, которые я сдирал фетчерами - было по 10000-12000 писем в день.

постфикс ctqxfc у меня посылает заведомо ложных получателей, тупые ehlo типа friend, localhost[222.111.222.111] и прочую чушню, все остальное сначала в ClamAV потом в Popfile. Свое отношение и опыт работы с dsbl я уже писал.
я доволен.... есть еще мыслишки, но руки пока не доходят реализовать[/code]

[dikens3]

Да я о трафике говорил. Я мечтаю всё убрать RBL. Видно не судьба.

У меня тоже была когда то мысль, но оказалась неправильной.
Я сканировал подключившиеся сервера с помошью nmap -p 25 IP и смотрел, открыт ли у него 25 порт. :-) Если нет, считал спамером.

Но оказалось, что mail.ru и другие почтовики отсылают с разных IP-Адресов (т.е. с закрытм 25 портом) , а принимать могут вообще на другом IP.

[dikens3]

все время попадаю в cbl.abuseat.org.
Удаляюсь из списка через 1-2 дня опять там. В логах экзима только письма которые идут к моим и от моих(не спам).
Интересует: почему все время только к ним?

Так, советую:

1. Запрети всем временно пользоваться OUTLOOK и т.п. для связи с внешними почтовыми серверами. Закрой 25 порт на шлюзе и смотри кто к нему подключается. Мою фирму пров отключил от инета за рассылку вирусов. Вирусы были.

2. Если никто не подлючается, то только через твой сервер спам рассылают. Рассылки есть? Возможно какой-нибудь из адресов является SPAM-TRAP. Уж больно реакция шустрая - 1-2 дня.

[lexy]

Да я о трафике говорил. Я мечтаю всё убрать RBL. Видно не судьба.

У меня тоже была когда то мысль, но оказалась неправильной.
Я сканировал подключившиеся сервера с помошью nmap -p 25 IP и смотрел, открыт ли у него 25 порт. :-) Если нет, считал спамером.

Но оказалось, что mail.ru и другие почтовики отсылают с разных IP-Адресов (т.е. с закрытм 25 портом) , а принимать могут вообще на другом IP.

дык а я о чем..... посмотри насколько я сократил трафик включив банальную проверку ящиков и ehlo: 100-(2500/((10000+12000)/2/100)) ~ 77,27%, а можно еще зарезать почту с динамических ip (кард-спаммеры), где то я видел пример такой конфигурации

[zorg]

все время попадаю в cbl.abuseat.org.
Удаляюсь из списка через 1-2 дня опять там. В логах экзима только письма которые идут к моим и от моих(не спам).
Интересует: почему все время только к ним?

Так, советую:

1. Запрети всем временно пользоваться OUTLOOK и т.п. для связи с внешними почтовыми серверами. Закрой 25 порт на шлюзе и смотри кто к нему подключается. Мою фирму пров отключил от инета за рассылку вирусов. Вирусы были.

2. Если никто не подлючается, то только через твой сервер спам рассылают. Рассылки есть? Возможно какой-нибудь из адресов является SPAM-TRAP. Уж больно реакция шустрая - 1-2 дня.

Да у меня такая ситуация тоже была, правда инет не отключили, но почту запретили, слава богу нашёл проблему, на компе гендира вирус подцепил (нажал на нужную ссылку) ну и пошло, с тех пор я закрыл на всех серваках порт 25 и нет проблем!!!

[chinga]

Дело вирусах оказывается. Вот че CBL писал "This IP is likely infected with the Stration/Warezov worm."
Наверно сразу не обратил внимания:(
Получается я попадал в списки из-за того что письма с вирусами были? Или этот вирь сам спам рассылал?
В /var/log/clamd.log ничего про вирусы не нашел/ Он что пропускает их чтоли?

[zorg]

а это вирус хитрый, недавно появился гад, пока из всех антивирей его ловил тока касперский, размножается посредством аськи и почты.

[chinga]

Ах вот где собака зарыта:):):):) У всех НОД стоял, начал ставить каспера 6.