EXIM забанить спамеров

SKYNET! · Непрочитанное сообщение **SKYNET!** » 2009-06-03 19:27:48

Добрый день!
Лог за месяц на 300метров разросся и весь забит такими сообщениями
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezin_a@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezina-lada@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bes689@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bessmertniyh@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(IGKEOHDH) [88.235.131.37] F=<aalllen@41kfeet.com> rejected RCPT <bethann311@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user

как сделать что бы после, десяти попыток послать письмо несуществующему юзеру айпишник спамера блокировался ipfw?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

buryanov

Напиши скрипт, анализирующий логи, попался несколько раз - в фаер, в твоём случае.
Я на такое забиваю, если начинают подбирать пароли к серваку, тогда точно в фаер.

Гость

а как заставить ехим его запускать?

serge · Непрочитанное сообщение **serge** » 2009-06-04 10:04:06

Гость писал(а):а как заставить ехим его запускать?

Кого его?

Laa · Непрочитанное сообщение **Laa** » 2009-06-04 13:02:33

Для начала можно так:

Код: Выделить всё

        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.

А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.

SKYNET! · Непрочитанное сообщение **SKYNET!** » 2009-06-04 16:29:38

serge писал(а):
Гость писал(а):а как заставить ехим его запускать?
Кого его?

скрипт-парсер лога

SKYNET! · Непрочитанное сообщение **SKYNET!** » 2009-06-04 16:38:26

Laa писал(а):Для начала можно так:
Код: Выделить всё
        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.

добавил, получилось:

Код: Выделить всё

begin acl
	acl_check_rcpt:
        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.

но ничего не происходит. или куда его вставлять надо было?

а какая вероятность того, что с йп спамера придет важное письмо?

princeps · Непрочитанное сообщение **princeps** » 2009-06-05 8:15:36

У тебя задача какая? чтоб лог не рос, или чтоб спамеров зарубить?
Если вторая, то можно и не париться - письма-то все равно не доходят. Если первая, то как вариант - можно сделать это фаерволом. Для этого написать скрипт-парсер логов, чтоб ип спамеров добавлял в блок фаера. Или в самом экзиме в acl_smtp_rcpt сделать обработку, чтоб ип письма, пришедшего на неизвестного юзера писался в переменную окружения ОС

SKYNET! · Непрочитанное сообщение **SKYNET!** » 2009-06-05 11:17:34

Скорее да, что б лог не рос.

Если делать через скрипт, то кто его запускать должен - крон?

может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером

Laa · Непрочитанное сообщение **Laa** » 2009-06-05 11:36:04

SKYNET! писал(а):Скорее да, что б лог не рос.

Если делать через скрипт, то кто его запускать должен - крон?

может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером

Так у вас останется минимум шансов узнать какую важную почту вы могли не получить, а такое запросто может быть. У меня есть информация, что у некоторых серьезных контор стоят кривые почтовики, они имеет массу шансов попасть в ваши сети!

Большие логи почтовика напрягают, да, но и понять что что-то не получено -- тоже помогают.

Решайте сами.

princeps

Уменьши уровень логирования в конфиге exim'а и не парься.
Laa прав на 200%. Лучше иметь как можно больше логов, в конце концов всегда можно их распарсить в удобочитаемый вариант. Если тебе места жалко - перекидывай syslog'ом на другой комп, где винты толще.

paix · Непрочитанное сообщение **paix** » 2009-06-05 11:58:50

Laa писал(а):Для начала можно так:
Код: Выделить всё
        drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}
                log_message     = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
                message         = Reject. Too many unknown recipients.
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.

поведение опасно тем что подбирают реальных юзеров, потом заносит в спам базы и пошел спам.

Ваш пример весьма понравился, хочу уточнить.

Код: Выделить всё

drop    condition       = ${if >={$rcpt_fail_count}{1} {1}{0}}

fail_count это {1}{0} т.е. 10 ?
также хочу себе внедрить, но для начала просто в warning режиме.
нужно заменить просто drop condition на warning condition ?

Laa · Непрочитанное сообщение **Laa** » 2009-06-05 22:02:14

да, нужно заменить drop на warn. Но можете смело внедрять.

не 10, это -- проверка условия. Сверяется значение с 1 (единицей).
Смотрите в прилепленных темах этого форума. Там я больше описал.

forum.lissyara.su

EXIM забанить спамеров

EXIM забанить спамеров

Услуги хостинговой компании Host-Food.ru

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров

Re: EXIM забанить спамеров