Exim как включить DROP для спама и bounce

[Sanyh]

на сервак приходит дофига спама, сервер его режекет, а т.к. спам идет с несуществующих адресов то приходит тысяци писем bounce. Нужно чтобы сервер спам не режектил а дропил
Как это сделать в exim?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

поиск по форуму, ок

[Sanyh]

нашел я тут решение вроде:

Код: Выделить всё

    * Пожаловаться на это сообщение
    * Ответить с цитатой

Re: Полезные скрипты/настройки для exim.

Сообщение gmn » 2007-09-28 10:03:13
Защита от атак bounce-сообщений.
В acl smtp_rcpt

Код: Выделить всё • Развернуть

    # ratelimit for bounce messages for recipient
    # Блокируем в predata
      warn hosts      = !+relay_from_hosts
           senders    = :
           ratelimit  = 2 / 30m / per_rcpt / $local_part@$domain
           set acl_m3 = $local_part@$domain


В acl predata блокируем.

Код: Выделить всё • Развернуть

    # Если определена acl_m3 - блокируем bounce-сообщение.
    drop message    = Bounce messages rate exceeds per $sender_rate_period for $acl_m3
        log_message = Bounce ratelimit: rate $sender_rate, period $sender_rate_period for $acl_m3
         condition  = ${if def:acl_m3 {1}}

прописал у себя:

#!!#######################################################!!#
#!!# This new section of the configuration contains ACLs #!!#
#!!# (Access Control Lists) derived from the Exim 3 #!!#
#!!# policy control options. #!!#
#!!#######################################################!!#

#!!# These ACLs are crudely constructed from Exim 3 options.
#!!# They are almost certainly not optimal. You should study
#!!# them and rewrite as necessary.

begin acl

acl_check_rcpt:
# ratelimit for bounce messages for recipient
# Блокируем в predata
warn hosts = !+relay_from_hosts
senders = :
ratelimit = 2 / 30m / per_rcpt / $local_part@$domain
set acl_m3 = $local_part@$domain

acl_pre_data:
drop message = Bounce messages rate exceeds per $sender_rate_period for $acl_m3
log_message = Bounce ratelimit: rate $sender_rate, period $sender_rate_period for $acl_m3
condition = ${if def:acl_m3 {1}}



правильно? но нифига не срабатывает, всеравно сыпятся bounce

[Гость]

народ хелп.

[blade_007]

На форуме или на сайте была статейка про fail2ban.
Если есть у всех этих атак что-то сходное, например, одно и тоже ehlo - можно делать drop на этапе check_smtp_helo

[mediamag]

а ты определил acl_check_predata в основном конфиге?

[Sanyh]

я редактировал файл exim.conf, в нем я не нашел acl_check_predata и acl_check_rcpt просто сам вставил

[mediamag]

если просто сделал копи паст, то ничего работать не будет...сначала изучите документацию к экзиму (acl и как их подключать)

[Sanyh]

а просто можно тыкнуть пальцем конкретно и что куда прописывать, т.к. у меня не стоит задача изучать exim мне нужно только быстро от bounce избавится

[Sanyh]

а ты определил acl_check_predata в основном конфиге?

прописал так:
acl_smtp_predata = acl_check_predata
но тогда почта не уходит, как правильно определить?

[blade_007]

acl_check_predata определен в конфиге?
Потому как у вас такой acl_pre_data: (правильно написали??)

[Sanyh]

вот сделал исправления, exim запустился, но bounce также сыпятся ((

Код: Выделить всё

acl_smtp_rcpt = check_recipient
acl_smtp_data = check_message

Код: Выделить всё

#!!# ACL that is used after the DATA command
check_message:
#  Enabling this will make the server non-rfc compliant
#  require verify = header_sender
 # Если определена acl_m3 - блокируем bounce-сообщение.
    drop message    = Bounce messages rate exceeds per $sender_rate_period for $acl_m3
        log_message = Bounce ratelimit: rate $sender_rate, period $sender_rate_period for $acl_m3
         condition  = ${if def:acl_m3 {1}}



accept  hosts = 127.0.0.1 : +relay_hosts

  accept  hosts = *
          authenticated = *

    accept
        hosts = +trustedmailhosts

    accept
        condition = ${if match_ip{$sender_host_address}{iplsearch;/etc/trustedmailhosts}{1}{0}}


  warn
    condition = ${if eq {${acl_m0}}{1}{1}{0}}
    spam =  ${acl_m1}/defer_ok
    log_message = "SpamAssassin as ${acl_m1} detected message as spam ($spam_score)"
    add_header = X-Spam-Subject: ***SPAM*** $h_subject
    add_header = X-Spam-Status: Yes, score=$spam_score
    add_header = X-Spam-Score: $spam_score_int
    add_header = X-Spam-Bar: $spam_bar
    add_header = X-Spam-Report: $spam_report
    add_header = X-Spam-Flag: YES
    set acl_m2 = 1

  warn
      condition =  ${if eq {$spam_score_int}{}{0}{${if <= {${spam_score_int}}{8000}{${if >= {${spam_score_int}}{50}{${perl{store_spam}{$sender_host_address}{$spam_score}}}{0}}}{0}}}}

  warn
  condition = ${if eq {${acl_m0}}{1}{${if eq {${acl_m2}}{1}{0}{1}}}{0}}
  add_header = X-Spam-Status: No, score=$spam_score
  add_header = X-Spam-Score: $spam_score_int
  add_header = X-Spam-Bar: $spam_bar
  add_header = X-Spam-Report: $spam_report
  add_header = X-Spam-Flag: NO
  log_message = "SpamAssassin as ${acl_m1} detected message as NOT spam ($spam_score)"

#BEGIN ACL_RATELIMIT_SPAM_BLOCK

warn
    condition = ${if eq {${acl_m0}}{1}{${if >{$spam_score_int}{200}{1}{0}}}{0}}
    ratelimit = 0 / 1h / strict / per_conn
    log_message = "Increment Connection Ratelimit - $sender_fullhost because mail server detected a message with a spam score integer greater or equal to 200"



#END ACL_RATELIMIT_SPAM_BLOCK

и вот

Код: Выделить всё

#!!# ACL that is used after the RCPT command
check_recipient:
  # Exim 3 had no checking on -bs messages, so for compatibility
  # we accept if the source is local SMTP (i.e. not over TCP/IP).
  # We do this by testing for an empty sending host field.
# stop bounce from us, lets do it by sender's server
accept domains = +local_domains
endpass
message = unknown user
verify = recipient

# ratelimit for bounce messages for recipient
# Блокируем в predata
      warn hosts      = !+relay_from_hosts
           senders    = :
           ratelimit  = 2 / 30m / per_rcpt / $local_part@$domain
           set acl_m3 = $local_part@$domain



#BEGIN ACL_RATELIMIT_BLOCK
# Log all senders' rates
    warn ratelimit = 0 / 1h / strict
    log_message = Sender rate $sender_rate / $sender_rate_period

#END ACL_RATELIMIT_BLOCK

  accept  hosts = :

  accept hosts = +skipsmtpcheck_hosts


  # Accept bounces to lists even if callbacks or other checks would fail
  warn     message      = X-WhitelistedRCPT-nohdrfromcallback: Yes
           condition    = \
           ${if and {{match{$local_part}{(.*)-bounces\+.*}} \
                     {exists {/usr/local/cpanel/3rdparty/mailman/lists/${lc:$1}/config.pck}}} \
                {yes}{no}}

  accept   condition    = \
           ${if and {{match{$local_part}{(.*)-bounces\+.*}} \
                     {exists {/usr/local/cpanel/3rdparty/mailman/lists/${lc:$1}/config.pck}}} \
                {yes}{no}}


  # Accept bounces to lists even if callbacks or other checks would fail
  warn     message      = X-WhitelistedRCPT-nohdrfromcallback: Yes
           condition    = \
           ${if and {{match{$local_part}{(.*)-bounces\+.*}} \
                     {exists {/usr/local/cpanel/3rdparty/mailman/lists/${lc:$1}_${lc:$domain}/config.pck}}} \
                {yes}{no}}

  accept   condition    = \
           ${if and {{match{$local_part}{(.*)-bounces\+.*}} \
                     {exists {/usr/local/cpanel/3rdparty/mailman/lists/${lc:$1}_${lc:$domain}/config.pck}}} \
                {yes}{no}}

  #if it gets here it isn't mailman
# deny must be on the same line as hosts so it will get removed by buildeximconf if turned off
   deny  hosts = ! +senderverifybypass_hosts
        ! verify = sender

  accept  hosts = *
          authenticated = *


  # if they used "pop before smtp" then we just accept
  accept  condition = ${if match_ip{$sender_host_address}{iplsearch;/etc/relayhosts}{1}{${if eq{$sender_host_address}{127.0.0.1}{1}{0}}}}
          add_header = ${if exists{/etc/eximpopbeforesmtpwarning}{${perl{popbeforesmtpwarn}{$sender_host_address}}{}}
  
  accept  hosts = +relay_hosts
          add_header = ${if exists{/etc/eximpopbeforesmtpwarning}{${perl{popbeforesmtpwarn}{$sender_host_address}}{}}

   #recipient verifications are now done after smtp auth and pop before smtp so the users get back bounces instead of 
   # a clogged outbox in outlook



    #recipient verifications are required for all messages that are not sent to the local machine    #this was done at multiple users requests
    require verify = recipient

[blade_007]

Код: Выделить всё

acl_smtp_rcpt = check_rcpt 
acl_smtp_data = check_data 
acl_smtp_predata = check_predata

check_rcpt:
  accept  hosts = :
  accept hosts = +skipsmtpcheck_hosts
......
      warn 
           !hosts      = +relay_from_hosts
           senders    = :
           ratelimit  = 2 / 30m / per_rcpt / $local_part@$domain
           set acl_m3 = $local_part@$domain


check_predata:
    drop message    = Bounce messages rate exceeds per $sender_rate_period for $acl_m3
         log_message = Bounce ratelimit: rate $sender_rate, period $sender_rate_period for $acl_m3
         condition  = ${if def:acl_m3 {1}}
    accept

check_data:

  deny    message        = Serious MIME defect detected ($demime_reason) 
          demime         = * 
          condition      = ${if >{$demime_errorlevel}{2}{1}{0}}
......

[Sanyh]

сбросил конфиг на дефолтный и сделал заново, а то уже запутался.
bouce всего один приходит, но вот при отсылке писем приходит сообщение:
421 Unexpected failure, please try later

[blade_007]

ну так логи в студию про эту ошибку 421 Unexpected failure, please try later.
Остановить exim.
/path/exim -bd -d+all

и запустить тестовую сессию от <>. Естественно ваш ип НЕ должен быть в списке relay_from или что-то подобного.

[Sanyh]

2010-12-24 00:09:44 H=p210.mp1.a555net.ru (puh) [80.81.50.113.] temporarily rejected DATA: unknown ACL verb "check_predata" in "check_predata"

нашел в /var/log/exim_rejectlog

[blade_007]

acl_smtp_rcpt = check_rcpt
acl_smtp_data = check_data
acl_smtp_predata = check_predata
Вот эти строчки рядом идут?

Затем в тексте конфига проверьте что встречаются
check_rcpt
check_data
check_predata

[Sanyh]

пропустил в конфиге check_predata:
прописал, перезапустил exim Ошибка таже, в логах чето ничего не вижу

[Sanyh]

как это сделать "и запустить тестовую сессию от <>" ??

[blade_007]

telnet YOUR_SMTP_SERVER 25
ehlo YOUR_DOMAIN
mail from: <>
rcpt to: USER@YOUR_DOMAIN
quit

[Sanyh]

root@dl [~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
Escape character is '^]'.
220-d1.2ru.net ESMTP Exim 4.69 #1 Fri, 24 Dec 2010 00:51:14 +0300
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
ehlo 2ru.net
250-d1.2ru.net Hello localhost [127.0.0.1]
250-SIZE 52428800
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP
mail from: <>
250 OK
rcpt to: sup@2ru.net
421 Unexpected failure, please try later
quit
221 d1.2ru.net closing connection
Connection closed by foreign host.

[blade_007]

теперь в лог смотрите.

[Sanyh]

в логах exim_rejectlog exim_mainlog ничего не нахожу, ни своего IP ни ящика...exim не останавливал если оставливаю то telnet на 25 порт не ципляется.

[blade_007]

так .. еще раз.
exim остановить. что за система у вас?
затем запустить как демон с отладкой exim -bd -d+all
на другой консоли запустить тестовую сессию

[Sanyh]

Centos 5.5 64bit