блокировка письма, если в поле копия неверный адресат

[mediamag]

Часто стал приходить спам, на ящик glavbuh@mydomain.com Всегда в поле копия адресс, которого у меня нет. Решил блочить по неверному полю "копия". Думал, что вот такая блокировка поможет, но не помагла:

Код: Выделить всё

drop     condition     = ${if >={$rcpt_fail_count}{1} {1}{0}}
           !senders      = :
           log_message   = Too many recipients_fail_count (${eval:$rcpt_fail_count+1})
           message       = Reject!!! Too many unknown recipients

Экзим видит поле "копия" вот так:

Код: Выделить всё

To: <glavbuh@domain.com>
Cc: <director@domain.com>

Как можно видоизменить блокировку, чтобы моя задача решилась?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Открытая рассылка.
Это письмо предназначалось не только вам, вот и всё. Обычно копии отправляются скрытые.

[mediamag]

в теле письма видна, кому копия...можно ли как то заблокировать письмо если в поле копия неправельный для моего сервера адресат?

[mastertron]

Имеется ввиду - нет адресата для Вашего сервера ни в "Кому:" ни в "Копия:" ?
http://forum.lissyara.su/viewtopic.php? ... 25#p219566

[mediamag]

имеется ввиду нет правильного адресата в поле "копия"...в поле "кому" правельный адресат

[Alex Keda]

два условия
1. что есть копия
2. наличие нужного адресата в нём

русуете ACL и всё.

[mediamag]

нарисовал пока такой вот простой ACL.

Код: Выделить всё

deny     message      = wrong recipient
           log_message  = wrong recipient in "To" or "CC"
           condition    = ${if match { ${lc:$rheader_To:} or ${lc:$rheader_CC:}}{no}{yes}}

На всякий нарисовал вместе с полем "from"
Посмотрю, что получится.

[mediamag]

понял, что тупо передраный acl не заработает, решил поразкинуть мозгами...во-первых, перекинул acl в секцию data, во-вторых изменил немного acl

Код: Выделить всё

deny     message      = wrong recipient
           log_message  = wrong recipient in "Cc"
           condition    = ${if match{$rheader_Cc:}{yes}{no}}

но, так ничего и не удалось зарезать...

[Alex Keda]

а вы в логи выведите содержимое этого заголовка

да и отладку никто не отменял же.
-d+all решает 100% проблем с вопросом - почему не работает

[mediamag]

если я правильно понял то это включение дебага...но я не сталкивался с таким логированием ранее..не моглиб вы подсказать, как и куда вписать в конфиг эти параметры? или это делается из командной строки?

[Laa]

Код: Выделить всё

exim -bh 12.3.4.5

и ты вводишь данные, как-будто ты почтовый сервер с адресом 12.3.4.5.
И видишь ответы и мысли своего сервера. По ним и ориентируйся.
Вообще, важно понимать КАК именно поступают такие спам письма к тебе на сервер. На одного конвертного получателя или на двух. От этого зависит решение.

[mediamag]

на сколько я заметил спам идёт на распространенные в локальной части слова (glavbuh director etc).
Немного не понял...можно написать в примере????

[Laa]

на сколько я заметил спам идёт на распространенные в локальной части слова (glavbuh director etc).
Немного не понял...можно написать в примере????

ОК.
То что пользователь видит в Cc:, совсем не означает что этим получателям тоже отправили письмо. Письмо могут отправить одному получателю, а в заголовках письма, уже после DATA написать Cc: и перечислить какие хош адреса, в надежде, что почтовый сервер по этим данным решит принять спам-письмо. Это, естественно, не нормальный почтовый клиент сделает, но студент в скрипте за 1 час такое сможет сделать, не говоря уже о спамерах. Так вот проверять rcpt_fail_count в таком случае бестолку. Понятно? Надо на стадии DATA смотреть что в Cc:, анализировать и решать -- принимать такое письмо или нет. Я пока не пользовался такими проверками и сходу не скажу как проверить, но смотреть нужно на $rh_cc. Может быть проверять вхождение $rh_cc в $recipients, что-ли...

[mediamag]

я примерно так и понял и решил создать кондишн, который описал выше.

Код: Выделить всё

condition    = ${if match{$rheader_Cc:}{yes}{no}}

Тут я прописал совпадение, а нужно чтобы, если $rheader_Cc не равнялся любому адресату из моего сервера, то происходил отлуп.

[Laa]

Ну а с ЧЕМ сравниваете в самом кондишене?
Если юзеры в базе данных, то можно выкусить емыл из Cc и сделать select в базе, или run (exim -bt ...)... чтоли.

[mediamag]

Попробую сравнить с local_part в local_domain. Но я не знаю как в кондишене указать - "не для local_part и local_domain"

[mediamag]

Вот...сообразил...проверил - работает...отбивает.

Код: Выделить всё

# Рубаем, если в поле "копия" неверный адресат

  deny     message      = wrong recipient
           log_message  = wrong recipient in "Cc"
           condition    = ${if match{$rheader_Cc:}{$local_part@$domain}{true}{false}}

Код: Выделить всё

H=f74.mail.ru [217.69.129.108] I=[10.0.0.227]:25 F=<blabla@inbox.ru> rejected RCPT <vasya@domain.com>: Recipient verify failed: Error!!! "Unknown user"
Sep 22 16:40:13 mail exim[10614]: H=f74.mail.ru [217.69.129.108] I=[10.0.0.227]:25 F=<blabla@inbox.ru> rejected RCPT <vasya@domain.com>: Recipient verify failed: Error!!! "Unknown user"
Sep 22 16:40:13 mail exim[10614]: 1OyPYT-0002lC-8k DKIM: d=mail.ru s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
Sep 22 16:40:13 mail exim[10614]: 1OyPYT-0002lC-8k H=f74.mail.ru [217.69.129.108] I=[10.0.0.227]:25 F=<blabla@inbox.ru> rejected after DATA: wrong recipient in "Cc"
Sep 22 16:40:13 mail exim[10614]: [1\28] 1OyPYT-0002lC-8k H=f74.mail.ru [217.69.129.108] I=[10.0.0.227]:25 F=<blabla@inbox.ru> rejected after DATA: wrong recipient in "Cc"
Sep 22 16:40:13 mail exim[10614]: [2\28] Envelope-from: <blabla@inbox.ru>
Sep 22 16:40:13 mail exim[10614]: [3\28] Envelope-to: <123@domain.com>
Sep 22 16:40:13 mail exim[10614]: [4\28] P Received: from f74.mail.ru ([217.69.129.108])
Sep 22 16:40:13 mail exim[10614]: [5\28]        by domain.com with esmtp (Exim 4.71 (FreeBSD))
Sep 22 16:40:13 mail exim[10614]: [6\28]        (envelope-from <blabla@inbox.ru>)
Sep 22 16:40:13 mail exim[10614]: [7\28]        id 1OyPYT-0002lC-8k
Sep 22 16:40:13 mail exim[10614]: [8\28]        for 123@domain.com; Wed, 22 Sep 2010 16:40:13 +0300
Sep 22 16:40:13 mail exim[10614]: [9\28]   DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail;
Sep 22 16:40:13 mail exim[10614]: [10\28]       h=Message-Id:Content-Transfer-Encoding:Content-Type:Reply-To:Date:Mime-Version:Cc:To:From; bh=Bp4Qj3DFbUE9U/SO5tN5rFs4Xwg/IiGu9Sd9TAB6VHk=;
Sep 22 16:40:13 mail exim[10614]: [11\28]       b=QcQwC0zHbpjUU1sF6oQznhWpjqoHukpmgTlPS2cANJSldBj/AIMuzfQi8mHZOU9elpaTnaFgR262iMJz4IELNxkicjhvvVx6cfF90yVnGeqvR08lEa2tfeWNV7vJFTCO;
Sep 22 16:40:13 mail exim[10614]: [12\28] P Received: from mail by f74.mail.ru with local
Sep 22 16:40:13 mail exim[10614]: [13\28]       id 1OyPZ7-0005XS-00; Wed, 22 Sep 2010 17:40:53 +0400
Sep 22 16:40:13 mail exim[10614]: [14\28] P Received: from [93.127.72.121] by win.mail.ru with HTTP;
Sep 22 16:40:13 mail exim[10614]: [15\28]       Wed, 22 Sep 2010 17:40:53 +0400
Sep 22 16:40:13 mail exim[10614]: [16\28] F From: =?koi8-r?Q?=E0=D2=C9=CA_=E8=E8=E8?= <blabla@inbox.ru>
Sep 22 16:40:13 mail exim[10614]: [17\28] T To: 123 <123@domain.com>
Sep 22 16:40:13 mail exim[10614]: [18\28] C Cc: vasya <vasya@domain.com>
Sep 22 16:40:13 mail exim[10614]: [19\28]   Mime-Version: 1.0
Sep 22 16:40:13 mail exim[10614]: [20\28]   X-Mailer: mPOP Web-Mail 2.19
Sep 22 16:40:13 mail exim[10614]: [21\28]   X-Originating-IP: [93.127.72.121]
Sep 22 16:40:13 mail exim[10614]: [22\28]   Date: Wed, 22 Sep 2010 17:40:53 +0400
Sep 22 16:40:13 mail exim[10614]: [23\28] R Reply-To: =?koi8-r?Q?=E0=D2=C9=CA_=E8=E8=E8?= <h-a-k-e-r@inbox.ru>
Sep 22 16:40:13 mail exim[10614]: [24\28]   Content-Type: text/plain; charset=koi8-r
Sep 22 16:40:13 mail exim[10614]: [25\28]   Content-Transfer-Encoding: 8bit
Sep 22 16:40:13 mail exim[10614]: [26\28] I Message-Id: <E1OyPZ7-0005XS-00.blabla-inbox-ru@f74.mail.ru>
Sep 22 16:40:13 mail exim[10614]: [27\28]   X-Spam: Not detected
Sep 22 16:40:13 mail exim[10614]: [28/28]   X-Mras: OK

[Laa]

Сам полностью понял что сделал? С чем сравнил?

p.s. подсказываю. Юзер шлет письмо тебе и в копию ставит мой адрес. Понимаешь намек?...

[mastertron]

Чет сабсем запутали . Если в поле "Кому" адресат правильный, то зачем его резать? И независимо, кому еще пошла копия.
У меня была проблема, когда спам пер на юзеров моих доменов, в "Envelope-to:" был указан верный адрес, и сервак его естестно принимал, а вот в полях "Кому:" и "Копия:" адреса были левые. Исходя из того, что человек, отсылая письмо, обязательно укажет его или там, или там, я написал правила http://forum.lissyara.su/viewtopic.php? ... 25#p219566
Ну еще возможна - скрытая копия.
Или опять я чего не понял?

[dikens3]

Или опять я чего не понял?

Нормально ты всё понял. Дай людям велосипед изобрести ещё раз. Будет +1 человек знающий устройство велосипеда, что тоже неплохо )).

[mediamag]

если чесно, намёка пока не понял...а чем моя конструкция плоха??? ведь, то что мне надо она делает.

[mastertron]

Если приходит письмо и адресат не указан в поле "Копия", а только в "Кому" - зарежет?

[mediamag]

нет конечно...для этого у меня есть куча других acl. Попробую понять намёк и вставить в кондишен поле "To"

[mediamag]

блин..фигня...если я в поле "копия" ставлю даже правельного адресата, все равно отлуп((...

[Laa]

блин..фигня...если я в поле "копия" ставлю даже правельного адресата, все равно отлуп((...

Для твоей задачи надо делать так: проверять есть ли в Сс получатели из твоих доменов и если есть, то проверить существующие ли ящики (алиасы?).