Как бороться?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Как бороться?

Непрочитанное сообщение gyurza2000 » 2016-06-20 11:26:25

Скажите пожалуйста, в последнее время стали приходить письма мне от самого себя (криво сформулировал, но, думаю понятно)
Как такое шлют и как с этим справляться?
Данный ящик используется на сайте с формой обратной связи. Форма обратной связи с капчей
IP почтовика, да и сайта: 37.153.12.75

Код: Выделить всё

Return-path: <info@agrorus.org>
Envelope-to: info@agrorus.org
Delivery-date: Mon, 13 Jun 2016 20:35:28 +0400
Received: from mailnull by adios.spb.ru with spam-scanned (Exim 4.86 (FreeBSD))
    (envelope-from <info@agrorus.org>)
    id 1bCUpk-000Poj-Tl
    for info@agrorus.org; Mon, 13 Jun 2016 20:35:28 +0400
Received: from [123.22.136.190]
    by adios.spb.ru with esmtp (Exim 4.86 (FreeBSD))
    (envelope-from <info@agrorus.org>)
    id 1bCUpk-000Poa-3C
    for info@agrorus.org; Mon, 13 Jun 2016 20:35:28 +0400
Date: 21 Jun 2016 06:37:09 +0600
From: <info@agrorus.org>
X-Priority: 3
Message-ID: <985043835.201606210659@agrorus.org>
To: <info@agrorus.org>
Subject: Most Effective Nutrition Diet Designed For Women
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----------9D54263A2BEF483"
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1271
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Как бороться?

Непрочитанное сообщение xM » 2016-06-20 12:11:23

Не принимать от ваших пользователей по SMTP без аутентификации.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Как бороться?

Непрочитанное сообщение gyurza2000 » 2016-06-20 13:28:11

А форма обратной связи?Отключить?
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Как бороться?

Непрочитанное сообщение f_andrey » 2016-06-20 14:31:43

А зачем ей слать письма через общий интерфейс, можно для этого например организовать приём только локальной почты через тот же 587 например.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1271
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Как бороться?

Непрочитанное сообщение xM » 2016-06-20 15:28:51

gyurza2000 писал(а): А форма обратной связи?Отключить?
Ну зачем же? Разрешите отправлять, например, с этого IP если у вас веб-сервер находится не там же, где почтовый.
А если там же, то разрешите приём почты от локальных без аутентификации и лишних проверок.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Как бороться?

Непрочитанное сообщение gyurza2000 » 2016-06-20 16:27:49

WEB сервер там же где и почтовый. Как проще организовать? Конфиг eximа в части реализации как должен выглядеть, не подскажите?
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1271
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Как бороться?

Непрочитанное сообщение xM » 2016-06-20 16:39:23

На пальцах как-то так.
Если он у вас оправляет через mail (т.е. не по SMTP) то поставить где надо в ACL

Код: Выделить всё

accept hosts          = :
и предусмотреть в ACL RCPT accept для authenticated и далее deny если пытаются отправить от имени ваших пользователей без аутентификации.
Но надо смотреть внимательно в каком месте всё это вставлять и как и когда проверять.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Как бороться?

Непрочитанное сообщение gyurza2000 » 2016-06-20 16:44:33

отправляет по SMTP. Настройки аутентификации прописаны на сайте в админке
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1271
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Как бороться?

Непрочитанное сообщение xM » 2016-06-20 17:01:05

gyurza2000 писал(а): отправляет по SMTP. Настройки аутентификации прописаны на сайте в админке
Ну тут не столь важно - смотрите ACL RCPT на проверки аутентификации.
Кстати, раз у вас там такая напасть, то нельзя исключать что у вас и пароль упёрли от этой почтовой записи.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Как бороться?

Непрочитанное сообщение gyurza2000 » 2016-06-20 17:05:42

Да я пароли после таких дописок кода меняю. Последний раз та напасть случилась 18.06, а письма подобные ходят уже давненько и регулярно
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1271
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Как бороться?

Непрочитанное сообщение xM » 2016-06-20 17:14:10

gyurza2000 писал(а): Да я пароли после таких дописок кода меняю. Последний раз та напасть случилась 18.06, а письма подобные ходят уже давненько и регулярно
Значит у вас принимает без аутентификации от удалённых хостов.
IT voodoo blog https://kostikov.co

Andrey12
рядовой
Сообщения: 12
Зарегистрирован: 2016-07-18 12:45:47

Как бороться?

Непрочитанное сообщение Andrey12 » 2016-07-21 13:19:15

Насколько понял в данном случае происходит спуфинг адреса отправителя на уровне конверта письма - отправка с левого IP-адреса 123.22.136.190 (по ходу спамеры из Вьетнама) от имени Вашего ящика info@agrorus.org на Ваш же почтовик.
Как вариант создать SPF запись для домена agrorus.org с жесткой политикой (для начала можно и с мягкой), например:

Код: Выделить всё

agrorus.org TXT "v=spf1 a mx -all"
На уровне exim'а проверить выполняется ли проверка SPF.
Плюс можно так же реализовать DKIM и DMARC.

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Как бороться?

Непрочитанное сообщение f_andrey » 2016-07-21 13:39:21

SPF и прочее дело конечно благодатное, но в данном случае совершенно излишнее (так как обрабатывается он позновато и довольно таки затратно), зачем принимать почту со своими адресами, на внешних интерфейсах, у exim хватает механизмов для предотвращения этого, более простыми методами.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Andrey12
рядовой
Сообщения: 12
Зарегистрирован: 2016-07-18 12:45:47

Как бороться?

Непрочитанное сообщение Andrey12 » 2016-07-21 14:18:21

f_andrey, в данном случае да возможно немного избыточно, но вообщем настройки связанные с SPF дадут и дополнительные плюсы (конечно это все возможно и не надо; и не без минусов в плане пересылок и т.п.): отклонение попыток спуфинга своего домена на других почтовиках (с проверкой SPF), фильтрация спуфинга на своем почтовике не только своего домена, но и других.
Обработка в acl_smtp_rcpt на уровне SMTP-сессии это поздновато?
Цена затратности тоже решается поставленными задачами, нагрузкой, ресурсами, архитектурой решения, т.е. вопрос относительный.