Cыпятся письма от postmaster

[mr. brightside]

Добрый день, уважаемые!

В последнее время стало приходить до жути много писем от postmaster такого содержания:

Код: Выделить всё

553 5.3.5 dial-148-240-4-32.zone-1.ip.dial.net.mx. config error: mail loops back to me (MX problem?)
...или...
<<< 554 5.7.1 <dsptuu@lineaserotic.com>: Recipient address rejected: "USER UNKNOWN"
554 5.0.0 Service unavailable
...или...
----- Transcript of session follows ----- ... while talking to tcsn.net.s8a1.psmtp.com.:
>>> RCPT To:<imitative8@tcsn.net>
<<< 550 5.0.0 <imitative8@tcsn.net>... User unknown
550 5.1.1 <imitative8@tcsn.net>... User unknown
...или...
<<< 550 http://ukr.net/mta/err.html#nobounces?+++ТУТ_УКАЗАН_МОЙ_АЙПИШНИК
451 4.4.1 reply: read error from mxs.ukr.net.

Причем, в случае с последним может быть домен не только ukr.net, может быть mail.ru, gmail.com и др публичные адреса.

Жалобы на то, что я отлупляю сообщения от спамеров в большом количестве (благо, прикручивал я антиспам долго и усердно, отлупов действительно много, причем грамотных отлупов).

Смысл отлупов понятен. Либо проблема с записями МХ, либо мой сервак принял почту от спамера, потом понял, что доставлять её не нужно, пытается сделать отлуп, а ящика спамера не существует. Короче говоря, проблем с содержимым самих отлупов нет. Вопрос в другом.

Раньше в день падало около 10 таких уведомлений, что вполне нормально. Но сейчас таких уведомлений порядка 1500 в день, что меня несколько пугает.

В связи с этим вопрос - меня просто бомбят? Или мне нужно предпринимать меры? Если нужно предпринимать меры, то какие?

OS: FreeBSD 7.3
Sendmail+SpamAssassin+GreyListing+Clamav.

На сендмейле записано туча доменов, почта от которых - явный спам и соответственно блокируется.

Заранее спасибо за ответы!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Сделайте проверку ящика отправителя, если его реально не существует, нафига принимать письмо?

[mr. brightside]

В том то и дело, что я такую проверку сделал, вроде как

При приемке письма Sendmail смотрит в базу пользователей, если пользователя не обнаруживает, то дает отлуп.

Проверял на своей личной почте на мэйл.ру. Отправлял письмо на свой домен на несуществующий адрес. Письмо возвращалось с отлупом.

Но, это правило не действует, если криво указаны заголовки:

В поле To: указывается верный адрес, но в Bcc: указывается другой, несуществующий. Так как у To: указано все по правилам, то письмо принимается, но дальше его локальный доставщик не может никуда пихнуть, поэтому пытается отослать письмо обратно - тому, кто кидал мне письмо. Отправитель (понятное дело) является спамером и письма возврата не принимает.

Таким образом письмо оказывается в postmaster и уведомление об этом приходит мне на почту.

Таких писем раньше приходило порядка 10 в день и я не беспокоился. А теперь их 2 тысячи. Это меня пугает.

[mr. brightside]

Да, хочу добавить, что АБСОЛЮТНОЕ БОЛЬШИНСТВО писем с уведомлений это:

Код: Выделить всё

----- Transcript of session follows ----- ... while talking to mxs.ukr.net.:
>>> DATA
<<< 550 http://ukr.net/mta/err.html#nobounces?МОЙ_АЙПИШНИК_ПОЧТОВИКА
451 4.4.1 reply: read error from mxs.ukr.net.
554 5.0.0 Service unavailable

nobounces - означает, что их сервак не хочет принимать возвращаемое письмо. Это публичный почтовый сервер, такой же как mail.ru или gmail. На публичных почтовых серверах много спам ящиков, используемых для рассылки. Естественно я делаю отлупы по таким адресам и возвращаю письмо.

[Gamerman]

http://ukr.net/mta/err.html#nobounces?+ ... Й_АЙПИШНИК

Перейди туда и почитай. Укр.нет защищается. Отправь письмо и подожли несколько дней. Если твой почтовик нормально настроен, то укр.нет откроется для твоего айпишника.

[mr. brightside]

http://ukr.net/mta/err.html#nobounces?+ ... Й_АЙПИШНИК

Перейди туда и почитай. Укр.нет защищается. Отправь письмо и подожли несколько дней. Если твой почтовик нормально настроен, то укр.нет откроется для твоего айпишника.

Думаешь, я этого не делал?

Для мэйл.ру и gmail.com делал... Через несколько дней снова начинают падать письма.

Поэтому у меня и возникает соответствующий вопрос - что мне надо сделать со своим почтовиком? Не делать отлупов? Принимать все письма? Это не комильфо будет.

[Gamerman]

Заблокируй временно отправку на укр.нет

[mr. brightside]

Заблокируй временно отправку на укр.нет

Понял свою ошибку, потому что не сказал, что я уже сделал.

Заблокировал отправку на UKR.net. Заблокировал также прием писем оттуда.

Благо, клиентов нету пока что, присылающих письма с этого домена. По крайней мере прочекав отправляемые письма ВАЛИДНЫМИ пользователями я в списке доменов ukr.net не нашел.

Итак, файл access:

Код: Выделить всё

ukr.net         550 We do not accept mail from spammers!

Аналогично поступил с айпишниками этого домена и даже с именем хоста - msx.ukr.net.

После этого посмотрел на коннекты - не помогло. Тогда я добавил домен в черный список в grey listing, - точно также, айпишники, имена хостов и домена.

Письма все равно прилетают.

При этом, если блочить мэйл.ру/gmail то все прекрасно. Ни единого письма с мэйл.ру/gmail.com

Либо кто то очень четко подделывает заголовки, либо вирусня в сети.

Думал насчет вирусни в сети, просматривал логи в надежде увидеть локальный айпишник в связке с записью ...@ukr.net, но увы и ах.

Единственное, что я не делал, так это не чекал на вирусню каждый комп в организации...

[Gamerman]

Как делал и делаю я. При смене ІР smtp-сервера отправляю ОДНО! письмо на существующий ящик. Потом некоторое время жду, оно само все разблокируется. На прием ничего не блокирую.

[dikens3]

Сделайте проверку ящика отправителя, если его реально не существует, нафига принимать письмо?

[mr. brightside]

Сделайте проверку ящика отправителя, если его реально не существует, нафига принимать письмо?

Так как у To: указано все по правилам, то письмо принимается

А стоит принимать?

Я, если честно, не смогу ответить на вопрос

У меня все виртуальные пользователи и они хранятся в LDAP. Sendmail смотрит в To:, затем смотрит в LDAP, видит, что адрес существует и принимает письмо.

Затем отдает его локальному деливеру и там, каким то великолепным образом выясняется, что оказывается To: прочитан неправильно и пользователя на самом то деле не существует.

Судя по некоторым письмам, которые я проверял, фишка в BCC header и CC Header.

Может, подскажите конкретно, что выкинуть из maillog?

[dikens3]

Обычно доставка письма делается так:

Код: Выделить всё

>>> Connecting to mxs.mail.ru [194.67.23.20]:25 ... connected
>>>   SMTP<< 220 Mail.Ru ESMTP
>>>   SMTP>> HELO mail.МОЙДОМЕН.ru
>>>   SMTP<< 250 mx21.mail.ru ready to serve
>>>   SMTP>> MAIL FROM:<>
>>>   SMTP<< 250 OK
>>>   SMTP>> RCPT TO:<dmitry@mail.ru>
>>>   SMTP<< 250 OK
>>>   SMTP<< DATA
>>>   SMTP<< 250 OK
Данные
>>>   SMTP>> QUIT

В вашем случае должно быть так:

Код: Выделить всё

>>> Connecting to mxs.mail.ru [194.67.23.20]:25 ... connected
>>>   SMTP<< 220 Mail.Ru ESMTP
>>>   SMTP>> HELO mail.МОЙДОМЕН.ru
>>>   SMTP<< 250 mx21.mail.ru ready to serve
>>>   SMTP>> MAIL FROM:Какой-то E-mail
>>>   SMTP>> 500 DENIED

Я не понял как можно доставить несуществующему пользователю, обычно сессия выглядит так:

Код: Выделить всё

>>> Connecting to mxs.mail.ru [194.67.23.20]:25 ... connected
>>>   SMTP<< 220 Mail.Ru ESMTP
>>>   SMTP>> HELO mail.МОЙДОМЕН.ru
>>>   SMTP<< 250 mx21.mail.ru ready to serve
>>>   SMTP>> MAIL FROM:<>
>>>   SMTP<< 250 OK
>>>   SMTP>> RCPT TO:<dmitry@mail.ru>
>>>   SMTP<< 250 OK
>>>   SMTP>> RCPT TO:<dmitry2@mail.ru>
>>>   SMTP<< 250 OK
>>>   SMTP>> RCPT TO:<dmitry5@mail.ru>
>>>   SMTP<< 250 OK
>>>   SMTP>> RCPT TO:<dmitry22@mail.ru>
>>>   SMTP<< user unknown
>>>   SMTP>> RCPT TO:<dmitry23@mail.ru>
>>>   SMTP<< user unknown
>>>   SMTP>> RCPT TO:<dmitry55@mail.ru>
>>>   SMTP<< 250 OK
и так далее. Я не понял как у вас можно доставить несуществующему адресату.

[mr. brightside]

В моем случае это выглядит вот так:

Код: Выделить всё

220 Antispam-MTA; ESMTP Non-authorized relaying DENIED.
AUTH LOGIN
334 VXNlcm5hbWU6
blablabla
334 UGFzc3dvcmQ6
blablablablablablablablabla
235 2.0.0 OK Authenticated
MAIL FROM: <ЮЗЕР@МОЕГО_ДОМЕНА>
250 2.1.0 <ЮЗЕР@МОЕГО_ДОМЕНА>... Sender ok
RCPT TO: <Моя_ЛИЧНАЯ_ПОЧТА_@mail.ru>
250 2.1.5 <Моя_ЛИЧНАЯ_ПОЧТА_@mail.ru>... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself

Test.
.
250 2.0.0 pB8DSSdt088182 Message accepted for delivery
QUIT
221 2.0.0 МОЙ_СЕРВЕР closing connection

Подключение к узлу утеряно.

Сейчас писем стало чуть меньше - порядка 400 в день. Это после того, как пофиксил одну машину в сети - на ней были вирусы.

Если вирус шлет спам из моей сети, значит, должна быть возможность отловить, с какой машины приходят коннекты...

[ASY]

Да, хочу добавить, что АБСОЛЮТНОЕ БОЛЬШИНСТВО писем с уведомлений это:
означает, что их сервак не хочет принимать возвращаемое письмо. Это публичный почтовый сервер, такой же как mail.ru или gmail. На публичных почтовых серверах много спам ящиков, используемых для рассылки. Естественно я делаю отлупы по таким адресам и возвращаю письмо.

Это - неправильный подход в настоящее время. Зачем возвращать письмо ? Отлуп надо сделать, пока идёт smtp-сессия при приёме. И отлуп - передающему серверу. Проблема отправки боунса будет проблемой того, кто отправляет. А слать боунсы самому - это только поток спама увеличивать. Боунс от себя - это крайний случай.

[dikens3]

Если вирус шлет спам из моей сети, значит, должна быть возможность отловить, с какой машины приходят коннекты...

Посмотреть логи?

[mr. brightside]

Если вирус шлет спам из моей сети, значит, должна быть возможность отловить, с какой машины приходят коннекты...

Посмотреть логи?

Да я эти логи уже наизусть знаю

Коннекты идут с одного айпишника - 68.44.92.31, но никаких локальных айпишников в логе в связке с адресами, для которых прилетают отлупы.

Запустил на неделе проверку всех тачек в сети. У каждого стандартно нашлось по 2 трояна. После этого денек было спокойствие. Теперь снова начался хаос.

Буду отключать каждый комп от сети и проверять, но это вообще не комильфо.

Логи почтовика ничего не дают, думал посмотреть загрузку пакетами портов на свиче - но на нем почему то перестала отображаться информация. Сбрасывание в дефолт не помогает

Как то мне не по себе

[mr. brightside]

Также прочекал логи грейлистинга и спамассасина, которые тоже сторонним образом принимают участие в отправке письма - чистота.

Попробую увеличить уровень вывода в лог до ДЕБАГА, посмотрим, может быть это мне что то даст...

[ASY]

Логи почтовика ничего не дают,

У меня-то почему дают ? Если что-то через Sendmail проходит, оно есть в логе. В логе может не оказаться некоторых вещей, если письмо _не_ прошло, но уж если прошло...