Как блокировать спамера на несколько часов ?

[eem-kz]

Код: Выделить всё

# Запрет отправления от самого себя и самому себе
	deny message = Reject: It is forbidden to send to yourself
	log_message     = REJECT: It is forbidden to send to yourself
	hosts = !127.0.0.1 : !192.168.0.0/24 : !171.10.10.10/24
    condition = ${if eq{${sender_address}}{$local_part@$domain}{true}{false}}
	delay   = 30s

дал такой результат:

Код: Выделить всё

2010-12-12 22:10:08 H=(Y450) [113.22.73.120] F=<kuttygyl@domain.name> rejected RCPT <kuttygyl@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:10:08 unexpected disconnection while reading SMTP command from (Y450) [113.22.73.120]
2010-12-12 22:10:11 H=(Y450) [113.22.73.120] F=<kuttygul@domain.name> rejected RCPT <kuttygul@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:10:12 unexpected disconnection while reading SMTP command from (Y450) [113.22.73.120]
2010-12-12 22:11:54 H=(microsof-4962eb) [95.106.48.169] F=<mail@domain.name> rejected RCPT <mail@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:11:54 unexpected disconnection while reading SMTP command from (microsof-4962eb) [95.106.48.169]

Вопрос: как то можно запретит конект на несколько часов ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

Код: Выделить всё

man ipfw

[moury]

Alex Keda, не всегда надо полностью блокировать доступ средствами файервола.

Я делал так: http://community.livejournal.com/ru_nospam/20615.html

Как пополнять базу - в документации на сайте примеры грейлистинга (половина примеров грейлистинга - обращение к внешнему полиси-серверу, половина - прямое закидывание информации в БД).

[eem-kz]

Код: Выделить всё

man ipfw

пробовал Fail2ban. Он все равно пропускает.
Обсуждался здесь: http://forum.lissyara.su/viewtopic.php?f=4&t=30125

[moury]

пробовал Fail2ban. Он все равно пропускает.

Не ищите панацею.

Спамеры не на Луне живут, и доставку контролируют в реальном времени, и сайты для админов читают. Уж по-всякому под наиболее модный способ защиты подстраиваются.

Сочетайте разнообразные методы защиты.

[mediamag]

fail2ban пропускает? Или вы так настроили или одно и тоже сообщение отсылается с разных айпи и вы невнимательно мониторили логи

[eem-kz]

Все вроде правильно
сюда положено логи:
http://forum.lissyara.su/viewtopic.php?f=4&t=30125

[xelak]

Код: Выделить всё

ipfw show

[mediamag]

задам вопрос по другому - с чего вы взяли что fail2ban пропускает спамеров?

[eem-kz]

Код: Выделить всё

ipfw show

ipfw show

Код: Выделить всё

00100       0          0 check-state
00200   66786  209726154 allow ip from any to any via lo0
00300      79       6648 allow ip from any to any via tun0
00400       0          0 deny ip from any to 127.0.0.0/8
00500       0          0 deny ip from 127.0.0.0/8 to any
00600    2916     210208 deny ip from any to 172.16.0.0/12 in via bce1
00700  181901   21764167 deny ip from any to 192.168.0.0/16 in via bce1
00800       0          0 deny ip from any to 0.0.0.0/8 in via bce1
00900       0          0 deny ip from any to 169.254.0.0/16 in via bce1
01000  126962    8978917 deny ip from any to 240.0.0.0/4 in via bce1
01100       0          0 deny icmp from any to any frag
01200       0          0 deny log logamount 5 icmp from any to 255.255.255.255 in via bce1
01300       0          0 deny log logamount 5 icmp from any to 255.255.255.255 out via bce1
01400       0          0 deny ip from 10.0.0.0/8 to any out via bce1
01500       0          0 deny ip from 172.16.0.0/12 to any out via bce1
01600       0          0 deny ip from 192.168.0.0/16 to any out via bce1
01700       0          0 deny ip from 0.0.0.0/8 to any out via bce1
01800       0          0 deny ip from 169.254.0.0/16 to any out via bce1
01900       0          0 deny ip from 224.0.0.0/4 to any out via bce1
02000       0          0 deny ip from 240.0.0.0/4 to any out via bce1
02100   12981     911715 deny tcp from table(50) to me dst-port 25 via bce1
02200 1982269 1664731553 allow tcp from any to any established
02300    9977     599566 allow ip from xxx.xxx.xxx.xxxto any out xmit bce1
02400     815     101346 allow udp from any 53 to any via bce1
02500     206      17570 allow icmp from any to any icmptypes 0,8,11
02600     548      29580 allow tcp from any to xxx.xxx.xxx.xxx dst-port 80 via bce1
02700    5140     257436 allow tcp from any to xxx.xxx.xxx.xxx dst-port 25 via bce1
02800    3588     173120 allow tcp from any to xxx.xxx.xxx.xxx dst-port 110 via bce1
02900       0          0 allow udp from any to xxx.xxx.xxx.xxx dst-port 1194 via bce1
03000    5678     288060 allow tcp from any to any via bce0
03100  409503   42243582 allow udp from any to any via bce0
03200    2688     231359 allow icmp from any to any via bce0
03300   33466    3485050 deny log logamount 5 ip from any to any
65535      26       2495 deny ip from any to any

задам вопрос по другому - с чего вы взяли что fail2ban пропускает спамеров?

Вот в логе:fail2ban

Код: Выделить всё

2010-12-14 17:29:21,658 fail2ban.actions: WARNING [exim-ipfw] Ban 109.228.94.42
2010-12-14 17:30:25,484 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:31:37,527 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:32:20,750 fail2ban.actions: WARNING [exim-ipfw] 109.228.94.42 already banned
2010-12-14 17:33:51,287 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:35:07,459 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:36:40,099 fail2ban.actions: WARNING [exim-ipfw] Ban 94.51.198.41
2010-12-14 17:37:22,312 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:40:49,173 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:44:15,032 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned

В логе ексима повторяется одно и тоже например: cat exim/mainlog|grep 77.42.223.98

Код: Выделить всё

2010-12-14 17:30:25 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <dzhazybaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:30:28 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <uzel@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:31:36 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <atonia@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:31:36 H=(BYRGEXFJ) [77.42.223.98] F=<louisianank@rhs-law.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:32:51 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <gabbasov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:32:51 H=(QLOGCVTN) [77.42.223.98] F=<presbyteriansje0@roxia.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:33:50 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:33:55 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <atonia@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:35:01 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:35:02 H=(BYRGEXFJ) [77.42.223.98] F=<louisianank@rhs-law.com> rejected RCPT <centr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:36:17 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <aldongarov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:37:15 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <centr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:37:21 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:38:27 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <kdr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:39:44 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <dzhazybaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:40:48 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <kdr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:41:52 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <damir@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:43:10 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:44:14 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <damir@domain.zx>: REJECT: Listed in cbl.abuseat.org

Пропускает же, правильно?

[xelak]

Перегрузи фаервол. У тебя стоит check-state и established, если пакет попал в established, тогда check-state будет его туда пулять...перед этим скопируй адреса из таблицы в файл и подгрузи с фаерволом заново.

[mediamag]

Согласен правила составлены не правильно - правило запрета к таблице спамеров поставьте одно из первых

[eem-kz]

Изменил правила ipfw потом перезагрузил сервер. Убрал эти: check-state и established

Код: Выделить всё

00100  7182   487651 deny tcp from table(50) to me dst-port 25 via bce1
00200  2906  2727306 allow ip from any to any via lo0
00300    44     4548 allow ip from any to any via tun0
00400     0        0 deny ip from any to 127.0.0.0/8
00500     0        0 deny ip from 127.0.0.0/8 to any
00600  1538   110736 deny ip from any to 172.16.0.0/12 in via bce1
00700 33029  5495748 deny ip from any to 192.168.0.0/16 in via bce1
00800     0        0 deny ip from any to 0.0.0.0/8 in via bce1
00900     0        0 deny ip from any to 169.254.0.0/16 in via bce1
01000 19633  1453343 deny ip from any to 240.0.0.0/4 in via bce1
01100     0        0 deny icmp from any to any frag
01200     0        0 deny log logamount 5 icmp from any to 255.255.255.255 in via bce1
01300     0        0 deny log logamount 5 icmp from any to 255.255.255.255 out via bce1
01400     0        0 deny ip from 10.0.0.0/8 to any out via bce1
01500     0        0 deny ip from 172.16.0.0/12 to any out via bce1
01600     0        0 deny ip from 192.168.0.0/16 to any out via bce1
01700     0        0 deny ip from 0.0.0.0/8 to any out via bce1
01800     0        0 deny ip from 169.254.0.0/16 to any out via bce1
01900     0        0 deny ip from 224.0.0.0/4 to any out via bce1
02000     0        0 deny ip from 240.0.0.0/4 to any out via bce1
02100 56000 25859841 allow ip from xxx.xxx.xxx.xxx to any out xmit bce1
02200   326    40846 allow udp from any 53 to any via bce1
02300    74     6812 allow icmp from any to any icmptypes 0,8,11
02400   584   101890 allow tcp from any to xxx.xxx.xxx.xxx dst-port 80 via bce1
02500 45694 46140137 allow tcp from any to xxx.xxx.xxx.xxx dst-port 25 via bce1
02600 14067   615911 allow tcp from any to xxx.xxx.xxx.xxx dst-port 110 via bce1
02700     0        0 allow udp from any to xxx.xxx.xxx.xxx dst-port 1194 via bce1
02800 31441 13803141 allow tcp from any to any via bce0
02900 84693 10776562 allow udp from any to any via bce0
03000   143    11219 allow icmp from any to any via bce0
03100 18956  1601456 deny log logamount 5 ip from any to any
65535     0        0 deny ip from any to any

В логе ексима пишет :

Код: Выделить всё

2010-12-15 09:06:59 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <f_elena@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:08:27 H=(localhost) [113.165.243.47] F=<nux4332@eetingpoint.ru> rejected RCPT <atagulova@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:09:58 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <f_elena@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:10:25 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <fen@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:11:32 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <ahmetova@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:11:52 H=(localhost) [113.165.243.47] F=<nux4332@eetingpoint.ru> rejected RCPT <bakuev@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:13:23 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <fen@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:13:52 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <golubchenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:14:57 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <aigerim@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:16:48 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <golubchenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:17:18 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <evtushenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:18:23 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <anar@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:20:14 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <evtushenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:20:45 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <fedorenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:21:48 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <atagulova@emer.kz>: REJECT: Listed in cbl.abuseat.org

ВОТ cat fail2ban.log|grep 113.165.243.47

Код: Выделить всё

2010-12-15 09:09:58,134 fail2ban.actions: WARNING [exim-ipfw] Ban 113.165.243.47
2010-12-15 09:11:53,386 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:14:58,603 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:18:23,428 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:21:49,267 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned

а теперь в чем проблема ?

[mediamag]

покажи конфиги fail2ban (регулярные выражения, фильтр и сам конфиг)

[eem-kz]

/usr/local/etc/fail2ban]# jail.conf

Код: Выделить всё

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 600
findtime  = 900
maxretry = 3
backend = auto
[exim-ipfw]
enabled  = true
filter   = exim
action   = bsd-ipfw[table=50]
logpath  = /var/log/exim/mainlog
bantime  = 604800
maxretry = 3

/usr/local/etc/fail2ban]# filter.d/exim.conf

Код: Выделить всё

 
[Definition]
failregex =\[<HOST>\] .*(?:Listed in cbl.abuseat.org|We aren't an open relay|Warning: SPAM)
ignoreregex =

/usr/local/etc/fail2ban]# action.d/bsd-ipfw.conf

Код: Выделить всё

 
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
port = ftp
localhost = 127.0.0.1

[mediamag]

Посмотрите, есть ли адрес, который already banned в таблице №50 ?

[xelak]

ЭЭЭ...а че это за хрень?

Код: Выделить всё

H=(localhost) [113.165.243.47]

Может по этому и пропускает, т.к хост 77.42.223.98 - localhost

[mediamag]

это хело домена localhost, fail2ban не смотрит на хело, он смотрит совпадения N колличество раз неких фраз, описанных в регулярных выражениях.

[eem-kz]

У меня не получилась файлбаном, отказался ...
Ест такая правила:

Код: Выделить всё

Запрет отправления от самого себя и самому себе
   deny message = Reject: It is forbidden to send to yourself
   log_message     = REJECT: It is forbidden to send to yourself
   hosts = !127.0.0.1 : !192.168.0.0/16 : !171.10.10.10/24
   condition = ${if eq{${sender_address}}{$local_part@$domain}{true}{false}}
   set acl_m19   = ${lookup mysql{MYSQL_BLACKLIST}} 
   delay   = 30s

Макрос который в базу пишет :

Код: Выделить всё

MYSQL_BLACKLIST	 = INSERT INTO  VALUES ('','$sender_host_address',now())

Структура таблицы exim_blacklist

Код: Выделить всё

CREATE TABLE `exim_blacklist` (
  `relay_ip` varchar(16) DEFAULT NULL,
  `block_expires` datetime NOT NULL DEFAULT '0000-00-00 00:00:00'
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;

здесь туплю, подскажите...
как писать правила DENY?

[moury]

Посмотрите в "полезных скриптах" - первый топик в форуме - как сделан грейлистинг. Технически не отличается от того, что Вам нужно.

[eem-kz]

Посмотрите в "полезных скриптах" - первый топик в форуме - как сделан грейлистинг. Технически не отличается от того, что Вам нужно.

Грейлистинг пробовал. Когда срочно не дождешься.

[moury]

Фактически, грейлистинг - сильно упрощенный вариант черного списка. У этих двух технологий отличается логика работы, но способы работы с базой данных - одинаковы.

Вы спрашивали, как связать блеклистинг с экзимом. Возьмите реализацию грейлистинга и "обстругайте напильником", выкинув лишнее.