EXIM забанить спамеров
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
EXIM забанить спамеров
Добрый день!
Лог за месяц на 300метров разросся и весь забит такими сообщениями
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezin_a@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezina-lada@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bes689@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bessmertniyh@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(IGKEOHDH) [88.235.131.37] F=<aalllen@41kfeet.com> rejected RCPT <bethann311@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
как сделать что бы после, десяти попыток послать письмо несуществующему юзеру айпишник спамера блокировался ipfw?
Лог за месяц на 300метров разросся и весь забит такими сообщениями
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezin_a@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <berezina-lada@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bes689@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(FEVPMDB) [88.235.131.37] F=<_touchiko@evergrey.com> rejected RCPT <bessmertniyh@sivma-foto.ru>: Unknown user
2009-06-03 20:17:50 H=(IGKEOHDH) [88.235.131.37] F=<aalllen@41kfeet.com> rejected RCPT <bethann311@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beeegees@sivma-foto.ru>: Unknown user
2009-06-03 20:17:51 H=(FEVPMDB) [88.235.131.37] F=<aavneet.gill@icicibank.com> rejected RCPT <beren-cc@sivma-foto.ru>: Unknown user
как сделать что бы после, десяти попыток послать письмо несуществующему юзеру айпишник спамера блокировался ipfw?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- buryanov
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2008-04-29 13:41:48
- Откуда: Харьков
- Контактная информация:
Re: EXIM забанить спамеров
Напиши скрипт, анализирующий логи, попался несколько раз - в фаер, в твоём случае.
Я на такое забиваю, если начинают подбирать пароли к серваку, тогда точно в фаер.
Я на такое забиваю, если начинают подбирать пароли к серваку, тогда точно в фаер.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
buryanov*ukr.net
icq# 118639660; skype: buryanov
-
- проходил мимо
Re: EXIM забанить спамеров
а как заставить ехим его запускать?
- serge
- майор
- Сообщения: 2133
- Зарегистрирован: 2006-07-30 15:34:14
- Откуда: Саратов
- Контактная информация:
Re: EXIM забанить спамеров
Кого его?Гость писал(а):а как заставить ехим его запускать?
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: EXIM забанить спамеров
Для начала можно так:
А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.
Код: Выделить всё
drop condition = ${if >={$rcpt_fail_count}{1} {1}{0}}
log_message = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
message = Reject. Too many unknown recipients.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
- SKYNET!
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-04 16:26:07
Re: EXIM забанить спамеров
скрипт-парсер логаserge писал(а):Кого его?Гость писал(а):а как заставить ехим его запускать?
- SKYNET!
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-04 16:26:07
Re: EXIM забанить спамеров
добавил, получилось:Laa писал(а):Для начала можно так:А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.Код: Выделить всё
drop condition = ${if >={$rcpt_fail_count}{1} {1}{0}} log_message = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1}) message = Reject. Too many unknown recipients.
Код: Выделить всё
begin acl
acl_check_rcpt:
drop condition = ${if >={$rcpt_fail_count}{1} {1}{0}}
log_message = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1})
message = Reject. Too many unknown recipients.
а какая вероятность того, что с йп спамера придет важное письмо?
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: EXIM забанить спамеров
У тебя задача какая? чтоб лог не рос, или чтоб спамеров зарубить?
Если вторая, то можно и не париться - письма-то все равно не доходят. Если первая, то как вариант - можно сделать это фаерволом. Для этого написать скрипт-парсер логов, чтоб ип спамеров добавлял в блок фаера. Или в самом экзиме в acl_smtp_rcpt сделать обработку, чтоб ип письма, пришедшего на неизвестного юзера писался в переменную окружения ОС
Если вторая, то можно и не париться - письма-то все равно не доходят. Если первая, то как вариант - можно сделать это фаерволом. Для этого написать скрипт-парсер логов, чтоб ип спамеров добавлял в блок фаера. Или в самом экзиме в acl_smtp_rcpt сделать обработку, чтоб ип письма, пришедшего на неизвестного юзера писался в переменную окружения ОС
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- SKYNET!
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-04 16:26:07
Re: EXIM забанить спамеров
Скорее да, что б лог не рос.
Если делать через скрипт, то кто его запускать должен - крон?
может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером
Если делать через скрипт, то кто его запускать должен - крон?
может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: EXIM забанить спамеров
Так у вас останется минимум шансов узнать какую важную почту вы могли не получить, а такое запросто может быть. У меня есть информация, что у некоторых серьезных контор стоят кривые почтовики, они имеет массу шансов попасть в ваши сети!SKYNET! писал(а):Скорее да, что б лог не рос.
Если делать через скрипт, то кто его запускать должен - крон?
может быть логгирование через syslogd настроить? есть софтинка butforceblocker. она из syslog'а как раз запускается и банит йп фаером
Большие логи почтовика напрягают, да, но и понять что что-то не получено -- тоже помогают.
Решайте сами.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: EXIM забанить спамеров
Уменьши уровень логирования в конфиге exim'а и не парься.
Laa прав на 200%. Лучше иметь как можно больше логов, в конце концов всегда можно их распарсить в удобочитаемый вариант. Если тебе места жалко - перекидывай syslog'ом на другой комп, где винты толще.
Laa прав на 200%. Лучше иметь как можно больше логов, в конце концов всегда можно их распарсить в удобочитаемый вариант. Если тебе места жалко - перекидывай syslog'ом на другой комп, где винты толще.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- лейтенант
- Сообщения: 863
- Зарегистрирован: 2007-09-24 12:41:05
- Откуда: dn.ua
- Контактная информация:
Re: EXIM забанить спамеров
поведение опасно тем что подбирают реальных юзеров, потом заносит в спам базы и пошел спам.Laa писал(а):Для начала можно так:А на будущее можно вносить в sql базу те ip, с которых делаются попытки доставить на несуществующие адреса получателей и после определенного порога делать задержку (delay), а при превышении большего порога давать defer (мало-ли, вдруг важное письмо, пусть лучше позже придет, чем зарубится!) на стадии connect. Базу регулярно подчищать.Код: Выделить всё
drop condition = ${if >={$rcpt_fail_count}{1} {1}{0}} log_message = Too many rcpt_fail_count (${eval:$rcpt_fail_count+1}) message = Reject. Too many unknown recipients.
Ваш пример весьма понравился, хочу уточнить.
Код: Выделить всё
drop condition = ${if >={$rcpt_fail_count}{1} {1}{0}}
также хочу себе внедрить, но для начала просто в warning режиме.
нужно заменить просто drop condition на warning condition ?
With best wishes, Sergej Kandyla
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: EXIM забанить спамеров
да, нужно заменить drop на warn. Но можете смело внедрять.
не 10, это -- проверка условия. Сверяется значение с 1 (единицей).
Смотрите в прилепленных темах этого форума. Там я больше описал.
не 10, это -- проверка условия. Сверяется значение с 1 (единицей).
Смотрите в прилепленных темах этого форума. Там я больше описал.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!