Как блокировать спамера на несколько часов ?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-12 19:25:57

Код: Выделить всё

# Запрет отправления от самого себя и самому себе
	deny message = Reject: It is forbidden to send to yourself
	log_message     = REJECT: It is forbidden to send to yourself
	hosts = !127.0.0.1 : !192.168.0.0/24 : !171.10.10.10/24
    condition = ${if eq{${sender_address}}{$local_part@$domain}{true}{false}}
	delay   = 30s
дал такой результат:

Код: Выделить всё

2010-12-12 22:10:08 H=(Y450) [113.22.73.120] F=<kuttygyl@domain.name> rejected RCPT <kuttygyl@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:10:08 unexpected disconnection while reading SMTP command from (Y450) [113.22.73.120]
2010-12-12 22:10:11 H=(Y450) [113.22.73.120] F=<kuttygul@domain.name> rejected RCPT <kuttygul@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:10:12 unexpected disconnection while reading SMTP command from (Y450) [113.22.73.120]
2010-12-12 22:11:54 H=(microsof-4962eb) [95.106.48.169] F=<mail@domain.name> rejected RCPT <mail@domain.name>: REJECT: It is forbidden to send to yourself
2010-12-12 22:11:54 unexpected disconnection while reading SMTP command from (microsof-4962eb) [95.106.48.169]
Вопрос: как то можно запретит конект на несколько часов ?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение Alex Keda » 2010-12-12 21:39:20

Код: Выделить всё

man ipfw
Убей их всех! Бог потом рассортирует...

moury
сержант
Сообщения: 249
Зарегистрирован: 2009-02-06 23:02:40
Откуда: Москва
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение moury » 2010-12-13 0:09:50

Alex Keda, не всегда надо полностью блокировать доступ средствами файервола.

Я делал так: http://community.livejournal.com/ru_nospam/20615.html

Как пополнять базу - в документации на сайте примеры грейлистинга (половина примеров грейлистинга - обращение к внешнему полиси-серверу, половина - прямое закидывание информации в БД).
Сисадмин - вождь апачей

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-13 6:53:17

Alex Keda писал(а):

Код: Выделить всё

man ipfw
пробовал Fail2ban. Он все равно пропускает.
Обсуждался здесь: http://forum.lissyara.su/viewtopic.php?f=4&t=30125
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

moury
сержант
Сообщения: 249
Зарегистрирован: 2009-02-06 23:02:40
Откуда: Москва
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение moury » 2010-12-13 11:00:14

eem-kz писал(а): пробовал Fail2ban. Он все равно пропускает.
Не ищите панацею.

Спамеры не на Луне живут, и доставку контролируют в реальном времени, и сайты для админов читают. Уж по-всякому под наиболее модный способ защиты подстраиваются.

Сочетайте разнообразные методы защиты.
Сисадмин - вождь апачей

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-13 19:38:52

fail2ban пропускает? Или вы так настроили или одно и тоже сообщение отсылается с разных айпи и вы невнимательно мониторили логи

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-14 9:06:08

Все вроде правильно
сюда положено логи:
http://forum.lissyara.su/viewtopic.php?f=4&t=30125
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!


mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-14 13:52:58

задам вопрос по другому - с чего вы взяли что fail2ban пропускает спамеров?

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-14 14:51:05

xelak писал(а):

Код: Выделить всё

ipfw show
ipfw show

Код: Выделить всё

00100       0          0 check-state
00200   66786  209726154 allow ip from any to any via lo0
00300      79       6648 allow ip from any to any via tun0
00400       0          0 deny ip from any to 127.0.0.0/8
00500       0          0 deny ip from 127.0.0.0/8 to any
00600    2916     210208 deny ip from any to 172.16.0.0/12 in via bce1
00700  181901   21764167 deny ip from any to 192.168.0.0/16 in via bce1
00800       0          0 deny ip from any to 0.0.0.0/8 in via bce1
00900       0          0 deny ip from any to 169.254.0.0/16 in via bce1
01000  126962    8978917 deny ip from any to 240.0.0.0/4 in via bce1
01100       0          0 deny icmp from any to any frag
01200       0          0 deny log logamount 5 icmp from any to 255.255.255.255 in via bce1
01300       0          0 deny log logamount 5 icmp from any to 255.255.255.255 out via bce1
01400       0          0 deny ip from 10.0.0.0/8 to any out via bce1
01500       0          0 deny ip from 172.16.0.0/12 to any out via bce1
01600       0          0 deny ip from 192.168.0.0/16 to any out via bce1
01700       0          0 deny ip from 0.0.0.0/8 to any out via bce1
01800       0          0 deny ip from 169.254.0.0/16 to any out via bce1
01900       0          0 deny ip from 224.0.0.0/4 to any out via bce1
02000       0          0 deny ip from 240.0.0.0/4 to any out via bce1
02100   12981     911715 deny tcp from table(50) to me dst-port 25 via bce1
02200 1982269 1664731553 allow tcp from any to any established
02300    9977     599566 allow ip from xxx.xxx.xxx.xxxto any out xmit bce1
02400     815     101346 allow udp from any 53 to any via bce1
02500     206      17570 allow icmp from any to any icmptypes 0,8,11
02600     548      29580 allow tcp from any to xxx.xxx.xxx.xxx dst-port 80 via bce1
02700    5140     257436 allow tcp from any to xxx.xxx.xxx.xxx dst-port 25 via bce1
02800    3588     173120 allow tcp from any to xxx.xxx.xxx.xxx dst-port 110 via bce1
02900       0          0 allow udp from any to xxx.xxx.xxx.xxx dst-port 1194 via bce1
03000    5678     288060 allow tcp from any to any via bce0
03100  409503   42243582 allow udp from any to any via bce0
03200    2688     231359 allow icmp from any to any via bce0
03300   33466    3485050 deny log logamount 5 ip from any to any
65535      26       2495 deny ip from any to any
mediamag писал(а):задам вопрос по другому - с чего вы взяли что fail2ban пропускает спамеров?
Вот в логе:fail2ban

Код: Выделить всё

2010-12-14 17:29:21,658 fail2ban.actions: WARNING [exim-ipfw] Ban 109.228.94.42
2010-12-14 17:30:25,484 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:31:37,527 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:32:20,750 fail2ban.actions: WARNING [exim-ipfw] 109.228.94.42 already banned
2010-12-14 17:33:51,287 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:35:07,459 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:36:40,099 fail2ban.actions: WARNING [exim-ipfw] Ban 94.51.198.41
2010-12-14 17:37:22,312 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:40:49,173 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
2010-12-14 17:44:15,032 fail2ban.actions: WARNING [exim-ipfw] 77.42.223.98 already banned
В логе ексима повторяется одно и тоже например: cat exim/mainlog|grep 77.42.223.98

Код: Выделить всё

2010-12-14 17:30:25 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <dzhazybaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:30:28 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <uzel@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:31:36 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <atonia@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:31:36 H=(BYRGEXFJ) [77.42.223.98] F=<louisianank@rhs-law.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:32:51 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <gabbasov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:32:51 H=(QLOGCVTN) [77.42.223.98] F=<presbyteriansje0@roxia.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:33:50 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:33:55 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <atonia@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:35:01 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:35:02 H=(BYRGEXFJ) [77.42.223.98] F=<louisianank@rhs-law.com> rejected RCPT <centr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:36:17 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <aldongarov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:37:15 H=(MSTKAGSWMR) [77.42.223.98] F=<privationt26@redstorm.com> rejected RCPT <centr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:37:21 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <durisbekov@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:38:27 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <kdr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:39:44 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <dzhazybaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:40:48 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <kdr@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:41:52 H=(UTJSMAPZKD) [77.42.223.98] F=<lazedkg21@roadrun.com> rejected RCPT <damir@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:43:10 H=(XZJAELFU) [77.42.223.98] F=<kuwaitijr185@rosannawalls.com> rejected RCPT <kenzhebaeva@domain.zx>: REJECT: Listed in cbl.abuseat.org
2010-12-14 17:44:14 H=(HHUKSHH) [77.42.223.98] F=<nostalgiafa14@rawdonmyers.com> rejected RCPT <damir@domain.zx>: REJECT: Listed in cbl.abuseat.org
Пропускает же, правильно?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение xelak » 2010-12-14 14:55:30

Перегрузи фаервол. У тебя стоит check-state и established, если пакет попал в established, тогда check-state будет его туда пулять...перед этим скопируй адреса из таблицы в файл и подгрузи с фаерволом заново.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-14 14:59:39

Согласен правила составлены не правильно - правило запрета к таблице спамеров поставьте одно из первых

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-15 6:57:06

Изменил правила ipfw потом перезагрузил сервер. Убрал эти: check-state и established

Код: Выделить всё

00100  7182   487651 deny tcp from table(50) to me dst-port 25 via bce1
00200  2906  2727306 allow ip from any to any via lo0
00300    44     4548 allow ip from any to any via tun0
00400     0        0 deny ip from any to 127.0.0.0/8
00500     0        0 deny ip from 127.0.0.0/8 to any
00600  1538   110736 deny ip from any to 172.16.0.0/12 in via bce1
00700 33029  5495748 deny ip from any to 192.168.0.0/16 in via bce1
00800     0        0 deny ip from any to 0.0.0.0/8 in via bce1
00900     0        0 deny ip from any to 169.254.0.0/16 in via bce1
01000 19633  1453343 deny ip from any to 240.0.0.0/4 in via bce1
01100     0        0 deny icmp from any to any frag
01200     0        0 deny log logamount 5 icmp from any to 255.255.255.255 in via bce1
01300     0        0 deny log logamount 5 icmp from any to 255.255.255.255 out via bce1
01400     0        0 deny ip from 10.0.0.0/8 to any out via bce1
01500     0        0 deny ip from 172.16.0.0/12 to any out via bce1
01600     0        0 deny ip from 192.168.0.0/16 to any out via bce1
01700     0        0 deny ip from 0.0.0.0/8 to any out via bce1
01800     0        0 deny ip from 169.254.0.0/16 to any out via bce1
01900     0        0 deny ip from 224.0.0.0/4 to any out via bce1
02000     0        0 deny ip from 240.0.0.0/4 to any out via bce1
02100 56000 25859841 allow ip from xxx.xxx.xxx.xxx to any out xmit bce1
02200   326    40846 allow udp from any 53 to any via bce1
02300    74     6812 allow icmp from any to any icmptypes 0,8,11
02400   584   101890 allow tcp from any to xxx.xxx.xxx.xxx dst-port 80 via bce1
02500 45694 46140137 allow tcp from any to xxx.xxx.xxx.xxx dst-port 25 via bce1
02600 14067   615911 allow tcp from any to xxx.xxx.xxx.xxx dst-port 110 via bce1
02700     0        0 allow udp from any to xxx.xxx.xxx.xxx dst-port 1194 via bce1
02800 31441 13803141 allow tcp from any to any via bce0
02900 84693 10776562 allow udp from any to any via bce0
03000   143    11219 allow icmp from any to any via bce0
03100 18956  1601456 deny log logamount 5 ip from any to any
65535     0        0 deny ip from any to any
В логе ексима пишет :

Код: Выделить всё

2010-12-15 09:06:59 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <f_elena@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:08:27 H=(localhost) [113.165.243.47] F=<nux4332@eetingpoint.ru> rejected RCPT <atagulova@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:09:58 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <f_elena@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:10:25 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <fen@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:11:32 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <ahmetova@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:11:52 H=(localhost) [113.165.243.47] F=<nux4332@eetingpoint.ru> rejected RCPT <bakuev@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:13:23 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <fen@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:13:52 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <golubchenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:14:57 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <aigerim@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:16:48 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <golubchenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:17:18 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <evtushenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:18:23 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <anar@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:20:14 H=(localhost) [113.165.243.47] F=<ascensioncyg458@ekay.ru> rejected RCPT <evtushenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:20:45 H=(localhost) [113.165.243.47] F=<generativeor3@en-strelets.ru> rejected RCPT <fedorenko@emer.kz>: REJECT: Listed in cbl.abuseat.org
2010-12-15 09:21:48 H=(localhost) [113.165.243.47] F=<peggingg9@eenchat.ru> rejected RCPT <atagulova@emer.kz>: REJECT: Listed in cbl.abuseat.org
ВОТ cat fail2ban.log|grep 113.165.243.47

Код: Выделить всё

2010-12-15 09:09:58,134 fail2ban.actions: WARNING [exim-ipfw] Ban 113.165.243.47
2010-12-15 09:11:53,386 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:14:58,603 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:18:23,428 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
2010-12-15 09:21:49,267 fail2ban.actions: WARNING [exim-ipfw] 113.165.243.47 already banned
а теперь в чем проблема ?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-15 10:26:13

покажи конфиги fail2ban (регулярные выражения, фильтр и сам конфиг)

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-15 13:30:51

/usr/local/etc/fail2ban]# jail.conf

Код: Выделить всё

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 600
findtime  = 900
maxretry = 3
backend = auto
[exim-ipfw]
enabled  = true
filter   = exim
action   = bsd-ipfw[table=50]
logpath  = /var/log/exim/mainlog
bantime  = 604800
maxretry = 3
/usr/local/etc/fail2ban]# filter.d/exim.conf

Код: Выделить всё

 
[Definition]
failregex =\[<HOST>\] .*(?:Listed in cbl.abuseat.org|We aren't an open relay|Warning: SPAM)
ignoreregex =
/usr/local/etc/fail2ban]# action.d/bsd-ipfw.conf

Код: Выделить всё

 
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
port = ftp
localhost = 127.0.0.1
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-15 17:45:44

Посмотрите, есть ли адрес, который already banned в таблице №50 ?

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение xelak » 2010-12-16 0:26:58

ЭЭЭ...а че это за хрень?

Код: Выделить всё

H=(localhost) [113.165.243.47]
Может по этому и пропускает, т.к хост 77.42.223.98 - localhost :cz2:

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение mediamag » 2010-12-16 9:58:30

это хело домена localhost, fail2ban не смотрит на хело, он смотрит совпадения N колличество раз неких фраз, описанных в регулярных выражениях.

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-23 11:51:41

У меня не получилась файлбаном, отказался ...
Ест такая правила:

Код: Выделить всё

Запрет отправления от самого себя и самому себе
   deny message = Reject: It is forbidden to send to yourself
   log_message     = REJECT: It is forbidden to send to yourself
   hosts = !127.0.0.1 : !192.168.0.0/16 : !171.10.10.10/24
   condition = ${if eq{${sender_address}}{$local_part@$domain}{true}{false}}
   set acl_m19   = ${lookup mysql{MYSQL_BLACKLIST}} 
   delay   = 30s
Макрос который в базу пишет :

Код: Выделить всё

MYSQL_BLACKLIST	 = INSERT INTO  VALUES ('','$sender_host_address',now())
Структура таблицы exim_blacklist

Код: Выделить всё

CREATE TABLE `exim_blacklist` (
  `relay_ip` varchar(16) DEFAULT NULL,
  `block_expires` datetime NOT NULL DEFAULT '0000-00-00 00:00:00'
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;
здесь туплю, подскажите...
как писать правила DENY?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

moury
сержант
Сообщения: 249
Зарегистрирован: 2009-02-06 23:02:40
Откуда: Москва
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение moury » 2010-12-23 17:12:24

Посмотрите в "полезных скриптах" - первый топик в форуме - как сделан грейлистинг. Технически не отличается от того, что Вам нужно.
Сисадмин - вождь апачей

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение eem-kz » 2010-12-24 6:50:21

moury писал(а):Посмотрите в "полезных скриптах" - первый топик в форуме - как сделан грейлистинг. Технически не отличается от того, что Вам нужно.
Грейлистинг пробовал. Когда срочно не дождешься.
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

moury
сержант
Сообщения: 249
Зарегистрирован: 2009-02-06 23:02:40
Откуда: Москва
Контактная информация:

Re: Как блокировать спамера на несколько часов ?

Непрочитанное сообщение moury » 2010-12-25 11:56:21

Фактически, грейлистинг - сильно упрощенный вариант черного списка. У этих двух технологий отличается логика работы, но способы работы с базой данных - одинаковы.

Вы спрашивали, как связать блеклистинг с экзимом. Возьмите реализацию грейлистинга и "обстругайте напильником", выкинув лишнее.
Сисадмин - вождь апачей