EXIM забанить спамеров

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SKYNET!
проходил мимо

EXIM забанить спамеров

Непрочитанное сообщение SKYNET! » 2009-06-03 19:27:48

Добрый день!
Лог за месяц на 300метров разросся и весь забит такими сообщениями
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezin_a@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezina-lada@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bes689@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bessmertniyh@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(IGKEOHDH) [88.235.131.37] F=<aalllen@41kfeet.com> rejected RCPT <bethann311@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user

как сделать что бы после, десяти попыток послать письмо несуществующему юзеру айпишник спамера блокировался ipfw?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: EXIM забанить спамеров

Непрочитанное сообщение buryanov » 2009-06-03 22:44:27

Напиши скрипт, анализирующий логи, попался несколько раз - в фаер, в твоём случае.
Я на такое забиваю, если начинают подбирать пароли к серваку, тогда точно в фаер.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Гость
проходил мимо

Re: EXIM забанить спамеров

Непрочитанное сообщение Гость » 2009-06-04 9:24:42

а как заставить ехим его запускать?

Аватара пользователя
serge
майор
Сообщения: 2131
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: EXIM забанить спамеров

Непрочитанное сообщение serge » 2009-06-04 10:04:06

Гость писал(а):а как заставить ехим его запускать?
Кого его?

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: EXIM забанить спамеров

Непрочитанное сообщение Laa » 2009-06-04 13:02:33

Для начала можно так:

Код: Выделить всё

        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
SKYNET!
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-04 16:26:07

Re: EXIM забанить спамеров

Непрочитанное сообщение SKYNET! » 2009-06-04 16:29:38

serge писал(а):
Гость писал(а):а как заставить ехим его запускать?
Кого его?
скрипт-парсер лога

Аватара пользователя
SKYNET!
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-04 16:26:07

Re: EXIM забанить спамеров

Непрочитанное сообщение SKYNET! » 2009-06-04 16:38:26

Laa писал(а):Для начала можно так:

Код: Выделить всё

        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.
добавил, получилось:

Код: Выделить всё

begin acl
	acl_check_rcpt:
        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
но ничего не происходит. или куда его вставлять надо было?


а какая вероятность того, что с йп спамера придет важное письмо?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: EXIM забанить спамеров

Непрочитанное сообщение princeps » 2009-06-05 8:15:36

У тебя задача какая? чтоб лог не рос, или чтоб спамеров зарубить?
Если вторая, то можно и не париться - письма-то все равно не доходят. Если первая, то как вариант - можно сделать это фаерволом. Для этого написать скрипт-парсер логов, чтоб ип спамеров добавлял в блок фаера. Или в самом экзиме в acl_smtp_rcpt сделать обработку, чтоб ип письма, пришедшего на неизвестного юзера писался в переменную окружения ОС
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
SKYNET!
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-04 16:26:07

Re: EXIM забанить спамеров

Непрочитанное сообщение SKYNET! » 2009-06-05 11:17:34

Скорее да, что б лог не рос.

Если делать через скрипт, то кто его запускать должен - крон?

может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: EXIM забанить спамеров

Непрочитанное сообщение Laa » 2009-06-05 11:36:04

SKYNET! писал(а):Скорее да, что б лог не рос.

Если делать через скрипт, то кто его запускать должен - крон?

может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером
Так у вас останется минимум шансов узнать какую важную почту вы могли не получить, а такое запросто может быть. У меня есть информация, что у некоторых серьезных контор стоят кривые почтовики, они имеет массу шансов попасть в ваши сети! :good:
Большие логи почтовика напрягают, да, но и понять что что-то не получено -- тоже помогают.

Решайте сами.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: EXIM забанить спамеров

Непрочитанное сообщение princeps » 2009-06-05 11:42:16

Уменьши уровень логирования в конфиге exim'а и не парься.
Laa прав на 200%. Лучше иметь как можно больше логов, в конце концов всегда можно их распарсить в удобочитаемый вариант. Если тебе места жалко - перекидывай syslog'ом на другой комп, где винты толще.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: EXIM забанить спамеров

Непрочитанное сообщение paix » 2009-06-05 11:58:50

Laa писал(а):Для начала можно так:

Код: Выделить всё

        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.
поведение опасно тем что подбирают реальных юзеров, потом заносит в спам базы и пошел спам.

Ваш пример весьма понравился, хочу уточнить.

Код: Выделить всё

drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
fail_count это {1}{0} т.е. 10 ?
также хочу себе внедрить, но для начала просто в warning режиме.
нужно заменить просто drop condition на warning condition ?
With best wishes, Sergej Kandyla

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: EXIM забанить спамеров

Непрочитанное сообщение Laa » 2009-06-05 22:02:14

да, нужно заменить drop на warn. Но можете смело внедрять. :good:

не 10, это -- проверка условия. Сверяется значение с 1 (единицей).
Смотрите в прилепленных темах этого форума. Там я больше описал.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!