Модератор: xM
Ага, вроде что-то понятно.dikens3 писал(а):Вот от форума мне пришло письмо(Строки читаются снизу вверх):Нижняя отметка сделана сервером Exim 4.67 (FreeBSD) и получено письмо локально(т.е. с этого же компа а не по TCP и т.п.)Код: Выделить всё
Received: from test.grand-prix.ru (test.grand-prix.ru [77.73.25.203]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mail.mydomain.ru (MailServer) with ESMTP id 2B04B170C9 for <postmaster@mydomain.ru>; Wed, 30 May 2007 15:40:19 +0400 (MSD) Received: from lissyara by test.grand-prix.ru with local (Exim 4.67 (FreeBSD)) (envelope-from <lissyara@test.grand-prix.ru>) id 1HtMWI-0002aV-JN for postmaster@mydomain.ru; Wed, 30 May 2007 15:39:14 +0400
Чуть выше уже мой сервер ставит(postfix). Что принято от test.grand-prix.ru (test.grand-prix.ru [77.73.25.203]) по TLS
Код: Выделить всё
May 31 09:09:03 mail exim[978]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="QUIT\r\n"
May 31 09:09:03 mail exim[978]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="QUIT\r\n" Код: Выделить всё
May 31 09:09:44 mail exim[1002]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="MAIL FROM:<victor@post.ru>\r\nQUIT\r\n"
May 31 09:09:44 mail exim[1002]: SMTP protocol synchronization error (next input sent too soon: pipelining was not advertised): rejected "RCPT TO:<kaz@kaz.rtr.ru>" H=(bsstransport) [192.168.101.53] I=[192.168.101.2]:25 next input="MAIL FROM:<victor@post.ru>\r\nQUIT\r\n"
Код: Выделить всё
Спецификация протокола SMTP требует, чтобы клиент ждал ответа сервера в определённых точках диалога. Без PIPELINING, эти точки синхронизации - после каждой команды; с PIPELINING, их меньше, но они всё ещё существуют.
Некоторые спамеры высылают полный набор команд SMTP без ожидания какого-либо ответаю Exim защищает от этого, путём отклонения сообщения, если клиент посылал будущий ввод (команды - прим. lissyara), когда этого не должно было быть.Посылается ответ о ошибке “554 SMTP synchronization error”, и соединение обрывается. Тестирование на эту ошибку не может быть идеальным, поскольку задержки передачи (неожиданный ввод может находиться в пути, но не получен при проверках exim). Однако, этим детектируется много случаев.
Эта проверка может быть глобально отключена путём установки “smtp_enforce_sync” в ложь. Если вы хотите выборочно отключить эту проверку (например, только для определённых хостов), вы можете это сделать путём соответствующего использования модификатора “control” в ACL (смотрите раздел 39.18). Также, смотрите опцию “pipelining_advertise_hosts”.
Код: Выделить всё
warn hosts = 87.145.201.35
control = smtp_enforce_sync1. Ну блин, разные сервера, разные настройки и возможности, как уже говорилось, EXIM сделан в основном для борьбы со спамом. В нём для этого огромная куча возможностей. Актуально всегда будет. :-)wwaaoo писал(а):Спасибо dikens3, чтобы без тебя делали то.
1. Но Kerio MailServer принимает нормально и неругается же?
2. И письма приходят же на мой запрос ааа?
Код: Выделить всё
warn hosts = 87.145.201.35
control = smtp_enforce_syncи получил ответ:wwaaoo писал(а):Опять я:
Заметил такую вещь что люди стараются скрывать информацию о том какой почтовый сервер используют.
Вот и у меня возникло такое желание, как сделать так чтобы скрыть информацию о своем сервере, а в частности вот это:
Тоесть как сделать так чтобы он не вставлял в тело письма информацию о себе?Код: Выделить всё
Received: from [192.168.1.251] by mail.new.org with esmtpa (Exim 4.67 (FreeBSD))
Чтобы было вот так:
Код: Выделить всё
Received: from [192.168.1.251] by mail.new.org with esmtpa (Super Puper Server 6.9 (Windows Vista))
Но это не всё.dikens3 писал(а):Всё во внешний мир не будет иметь поля receved вовсе. А входящие, да фиг с ними.# Поиск маршрута в DNS, если не найден то Unroutable address
dnslookup:
driver = dnslookup
domains = ! +local_domains
headers_remove = Received
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more
Код: Выделить всё
Received: from [192.168.1.251]
by mail.new.org with esmtpa (Super Puper Server 6.9 (Windows Vista))Не стоит так делать, ибо:1. Как сделать тоже самое, но уже для входящих сообщений?
2. Как сделать так чтобы он неудалял это поле, а подменял его другим значением?
Код: Выделить всё
Типа этого:
mysql_users:
driver = accept
domains = ${lookup mysql{MYSQL_DOMAINS}}
local_parts = ${lookup mysql{MYSQL_USERS}}
transport = mysql_delivery
1. Например в Exim есть такая опция:dikens3 писал(а): Не стоит так делать, ибо:
1. Средства антиспам проверяют эти поля.
2. Разбор полётов по заголовкам в письме много даёт информации когда что-то не работает.
Код: Выделить всё
smtp_banner = "$primary_hostname, ESMTP EXIM $version_number" Код: Выделить всё
Received: from [192.168.1.251]
by mail.new.org with esmtpa (Exim 4.67 (FreeBSD))Код: Выделить всё
(Exim 4.67 (FreeBSD))Есть всякие masterhost и т.п. от которых идёт спам. Данные даже в SPF могут верные.wwaaoo писал(а):Походу бойкот моим тупым вопросам объявили, ну да ладно.
От одного из моих клиентов идет где-то 70% всего спама (данные все в норме, тоесть HELO, IP все соответствет моему клиенту).
Опять вопрос: Может ли спамер полностью подделать все данные, чтобы письмо казалось что пришло от легального источника?
Да видимо на этот вопрос нет ОТВЕТА.wwaaoo писал(а):Тогда ещё вопросик:
А если в локальной сети будет авторизованная отправка, то вирусы могут например взять пароль и логин из почтового клиента и уже с авторизацией отправлять? Вообще на практике есть такие случае что ТРОЯНЫ и ЧЕРВИ шлют письма предварительно украв ЛОГИН и ПАРОЛЬ из почтовых клиентов?
Всё может быть, могут быть скопированы все E-mail'ы у пользователя, для рассылки спама.jeweller писал(а):ну а ты сам то как думаешь?
если есть подобные механизмы у троянов которых ты пропустил (а вернее твой антивирус или там файрволл) то все может быть реально.
всецело поддерживаю:)dikens3 писал(а):Всё может быть, могут быть скопированы все E-mail'ы у пользователя, для рассылки спама.jeweller писал(а):ну а ты сам то как думаешь?
если есть подобные механизмы у троянов которых ты пропустил (а вернее твой антивирус или там файрволл) то все может быть реально.
А теперь предположим висит пользователя троян, скопировал всё что мог. Отослал данные куда-то и ждёт команд(т.е. периодически лезет в инет куда-то и что-то ищет)
Когда приходит команда на рассылку, троян рассылает спам(а не себя). Вот тебе отличное средство для рассылки спама.
УУУУУУ... Как всё запущено.wwaaoo писал(а):Значит получается так, есть у меня 200 компов и 150 из них заражены данным ТРОЯНОМ то отследить рассылку спама фактически нереально!?
И ещё, я понять не могу, например в том же Thunderbird 2.0 пароли хранятся в зашифрованном виде, дык как тогда Троян его может узнать и если он может это сделать то грош цена этим менеджерам паролей