и опят попал в блеклист!

[torki]

Как говорится это уже даже не СМЕШНО!
такое впечатление что кто-то специально заносит наш ИП во вражеские блеклисты.
локальная проверка ничего не дала (tcpdump порт-25 из локалки, все тихо!, релей закрыт, вирусов тоже нет)
У меня такое подазрение что в нашей конторе кто-то очень часто занимается рассылкой, ну и на адресах получателей админам это явно ненравится!
юзеры в системе, без msql. установленно из статьи http://www.lissyara.su/?id=1181 работает как танк-Т34
Вопрос к спецап такой, как и чем можно вести статистику отправки почты локальными пользователями (откого, куда, сколько (количество писем, объем))?
Зараннее огромное спасибо за помощь!!!!!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Fastman]

Ну не обязательно твой почтовик спамит. У меня такое было и не раз.
СОтрудник взял ноутбук домой, подцепил трояна который рассылает
спам. И все..этого вполне достаточно... Тебя просто банят по IP с которого идет спам.
Выходы всегда есть из такой ситуации... первый - запрети из сети отсылать наружу письма всем
кроме твоего почтовика.... Но тут будет много недовольных... Свою почту личную тока через браузер
можно бут смотреть.... Второй выход - образумить юзеров и воззвать к аккуратности, корпоративный антивирь
не мешало бы поставить.... это уже зависит от понятливости и культуры сотрудников....

[Urgor]

Код: Выделить всё

# Конфигурация транспортов

# Доставка на удалённые хосты - по SMTP
remote_smtp:
	driver	= smtp
#	headers_add	= "X-Descriptions: powered by www.lissyara.su"
# следующая строка - это внесение в таблицу отправленных писем - грамотней не 
# придумал,поэтому на неё идут варнинги в логах, однако работает :)
	hosts_avoid_esmtp =  ${lookup mysql{INSERT IGNORE INTO `sended_list` \
			(`user_from`, `user_to`, `added_timestamp`, \
			`last_mail_timestamp`, `mail_count`) VALUES \
			(LCASE('${quote_mysql:$sender_address}'), \
			LCASE('${quote_mysql:$local_part@$domain}'), \
			UNIX_TIMESTAMP(), UNIX_TIMESTAMP(), '1') ON DUPLICATE \
			KEY UPDATE `last_mail_timestamp` = UNIX_TIMESTAMP(), \
			`mail_count` = `mail_count` + 1}}

Из http://www.lissyara.su/?id=1453. Ну и что-нить типа ipacctd поставить, для учета траффика.

[torki]

плевать на недовольных

первый - запрети из сети отсылать наружу письма всем
кроме твоего почтовика....

можно по подробней.

[Fastman]

плевать на недовольных

первый - запрети из сети отсылать наружу письма всем
кроме твоего почтовика....

можно по подробней.

man ipfw
а если точнее - закрой наружу 25 порт для всех компов кроме твоего почтовика.

[torki]

Ага, враг пойман! 192.168.1.153 tcpdump показал черезмерную активность по 25-му порту, добавил временное правило в ipfw: ipfw add 03550 deny all from 192.168.1.153 to any, жду жалобу что не работает интернет, а там как говорится будет видно.

[Urgor]

А если еще один заразиться? Так и ловить руками? Да и отрубать нат на 25й порт не всегда возможно.... обычно существует куча привелигированных идиотов которым не запретишь
Но разве кто-то сказал что будет просто? А все действительно может быть просто! Как жутко ленивый человек скажу: "Зачем делать то, что может делать комп?"
Итак:
1 : Ставим ipacctd по статье Lissyara из раздела подсчет траффика.
2 : Пишем перловый скрипт и суем его в cron на выполнение скажим каждые 30 минут (ну это каждый сам решает для себя), который и будет смотреть на сколько же серверов рассылает юзер почту (и банить если привышен некоторый лимит, засылая кляузу админу). Даже для очень болтливого юзера предел в 15-20 серваков почти неисчерпаем, у спамера же счет идет на десятки тысяч...
Вот пример статистики:

Код: Выделить всё

+---------------+-------+
| from_IP       | cnt   |
+---------------+-------+
| 192.168.0.11  |     3 |
| 192.168.15.21 | 39338 |
| 192.168.15.22 |     5 |
| 192.168.15.23 |     1 |
| 192.168.15.24 |     4 |
+---------------+-------+

И, собственно, сам скрипт:

Код: Выделить всё

#!/usr/bin/perl -w

# вводим переменные
# внешний интерфейс
$interface = 'xl0';
# Лимит серверов
$limit = 20;
# MySQL - хост где БД
$db_host = 'localhost';
# MySQL юзер
$db_user = 'ipacctd';
# MySQL пароль
$db_password = 'ipacctd';
# MySQL база данных
$db_database = 'ipacctd';
# подрубаем модуль для работы с MySQL
use DBI;
# время - тока чтоб год достать...
use Time::localtime;

# Ящик админа
$admemail='support@microsoft.com';
$RobotName='MailGuard';
$RobotAddr='no-reply@mbfkk.spb.ru';


sub SendEMail {
    open (SENDMAIL, "|/usr/sbin/sendmail -t") or die "sendmail not ready";
    print SENDMAIL "From: $RobotName <$RobotAddr>\n";
    print SENDMAIL "To: $_[0]\n";
    print SENDMAIL "Reply-To: $RobotName <$RobotAddr>\n";
    print SENDMAIL "Content-Type: text/plain; charset=koi8-r\n";
    print SENDMAIL "Subject: $_[1]\n\n";
    print SENDMAIL "$_[2]";
    close (SENDMAIL) or warn "sendmail didn`t close nicely";
  };

$year = localtime->year() + 1900;
$month = `date '+%m'`;
$month = substr($month,0,2);

# Коннектимся к MySQL
my $dsn = "DBI:mysql:database=$db_database;host=$db_host";
my $dbh = DBI->connect($dsn, $db_user, $db_password);

  $sql  = 'select from_IP, cnt';
  $sql .= '  from (select from_IP, count(from_IP) as cnt';
  $sql .= '    from (select distinct from_IP,to_IP,port_to_IP';
  $sql .= '      from ' . $interface . '_' . $year . '_' . $month;
  $sql .= '      where from_IP like "192.168.%"';
  $sql .= '        and port_to_IP = 25) as t1';
  $sql .= '    group by from_IP) as t2';
  $sql .= "  where cnt > $limit;";

  $body = '';

  my $sth = $dbh->prepare($sql);
  $sth->execute();
  while (@tmp = $sth->fetchrow_array()) {
        ($ip, $cnt) = @tmp;
    $body .= "${ip}\tЗобанен\t${cnt}\n";
    `/sbin/ipfw -q add 1 deny tcp from ${ip} to any 25 out via $interface`;
  }
  $sth->finish();

  $subj = 'Отчет по зобаненным';
  $msg = $subj . "\n\n" .  "IP-адрес\tСтатус\tКоличество\n" . $body;
  SendEMail($admemail, $subj, $msg);
#  print $body;
# выходим
1;