Мне отправили спам от моего же e-mail, как это возможно?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
armix
проходил мимо

Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-17 11:10:23

Получил спам письмо отправитель я сам же, как это возможно?
На сервере EXIM и вкл. авторизация при отправки почты, т.е нужно знать пароль к ящику, чтобы отправлять письма через мой SMTP

Вот код письма (адрес мой admin@mydomain.ru - домен изменен!)

Код: Выделить всё

Return-path: <admin@mydomain.ru>
Envelope-to: admin@mydomain.ru 
Delivery-date: Tue, 17 Nov 2009 10:21:45 +0300
Received: from mail.iag.co.at ([81.223.25.27] helo=iag.co.at)
        by mydomain.ru.ru with esmtps (TLSv1:AES128-SHA:128)
        (Exim 4.63)
        (envelope-from <admin@mydomain.ru>)
        id 1NAINl-0006LV-07
        for admin@mydomain.ru; Tue, 17 Nov 2009 10:21:45 +0300
Received: from ngs.ru (217.8.236.156) by Mail.iag09.local (192.168.10.200)
 with Microsoft SMTP Server id 8.1.393.1; Tue, 17 Nov 2009 08:21:37 +0100
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="windows-1251"
From: <admin@mydomain.ru>
To: <admin@mydomain.ru>
Subject: =?utf-8?B?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?=
MIME-Version: 1.0
Message-ID: <3fce8771-afe5-40ec-9842-4230114efd23@Mail.iag09.local>
Date: Tue, 17 Nov 2009 08:21:37 +0100
X-GFI-SMTP-Submission: 1
X-GFI-SMTP-HelloDomain: ngs.ru
X-GFI-SMTP-RemoteIP: 217.8.236.156
X-Spam-Score: 4.1 (++++)
X-Spam-Report: Spam detection software, running on the system "mydomain.ru", has
        identified this incoming email as possible spam.  The original message
        has been attached to this so you can view it (if it isn't spam) or label
        similar future email.  If you have any questions, see
        the administrator of that system for details.
        Content preview:  Coбepем для Bac по сeти интернeт базy дaнныx пoтенциальных
        kлиeнтов для Вaшегo Бизнecа (всe контakтныe данные - poд деятельноcти, нaзвaниe,
        aдрeс, имена, тeлефoны, факcы, e-mail, www итд) Toчнo! Mного! Быстpо! Сбoр
        данныx пo гоpoду и облacти 4000 рyблей Cбоp дaнных по cтpане 6000 pублей
        [...] 
        Content analysis details:   (4.1 points, 5.0 required)
        pts rule name              description
        ---- ---------------------- --------------------------------------------------
        3.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
        [score: 1.0000]
        0.6 RCVD_IN_SORBS_WEB      RBL: SORBS: sender is a abuseable web server
        [217.8.236.156 listed in dnsbl.sorbs.net]

Coбepем для Bac по сeти интернeт базy дaнныx 
пoтенциальных kлиeнтов для Вaшегo Бизнecа
(всe контakтныe данные - poд деятельноcти, 
нaзвaниe, aдрeс, имена, тeлефoны, факcы, 
e-mail, www итд) 
Toчнo! Mного! Быстpо!
Сбoр данныx пo гоpoду и облacти 4000 рyблей
Cбоp дaнных по cтpане 6000 pублей

Bы можeте yзнaть пoдробнеe 
по телефoну: +79133913837
Email: prodawez@mixmail.com
ICQ: 62-888-62
Skype: basedannix

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-17 12:59:09

На сервере EXIM и вкл. авторизация при отправки почты, т.е нужно знать пароль к ящику, чтобы отправлять письма через мой SMTP
я не знаю как у вас, ибо конфиг вы не показали, но вообще аутентификация нужна для того, что бы с помощью вашего SMTP оправлять почту на другие домены, тоесть ваш сервак будет релеем только для доверенных пользователей. Для своего же домена сервер принимает почту от всех(в том числе и от других SMTP), если бы для этого нужен был логин и пароль, то почту вам бы не смогли отправлять. В случае получения письма для своего домена , оно тоже проверяется фильтрами, например, на правельный бэк-резолвинг, ну или как вы захотите.

Покажите лог екзима, когда получали сие письмо.
Ну и сам конфиг не помешает.
...участки под застройку в живописном месте Интернет

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение dikens3 » 2009-11-18 9:27:45

1. Не запрещено посылать почту на адрес admin@mydomain.ru
2. Отправитель не обязан быть подлинным, т.е. может быть: admin@mydomain.ru

В данном случае решается достаточно просто:
1. Сделайте себе SPF.
2. Если пользователи авторизовываются, тогда неавторизованные не имеют право иметь ваш домен @mydomain.ru и их нужно блокировать.

Тут описаны некоторые решения
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-18 12:21:28

---nebo--- писал(а):
На сервере EXIM и вкл. авторизация при отправки почты, т.е нужно знать пароль к ящику, чтобы отправлять письма через мой SMTP
я не знаю как у вас, ибо конфиг вы не показали, но вообще аутентификация нужна для того, что бы с помощью вашего SMTP оправлять почту на другие домены, тоесть ваш сервак будет релеем только для доверенных пользователей. Для своего же домена сервер принимает почту от всех(в том числе и от других SMTP), если бы для этого нужен был логин и пароль, то почту вам бы не смогли отправлять. В случае получения письма для своего домена , оно тоже проверяется фильтрами, например, на правельный бэк-резолвинг, ну или как вы захотите.

Покажите лог екзима, когда получали сие письмо.
Ну и сам конфиг не помешает.

В логе пишет вот это

Код: Выделить всё

2009-11-17 10:21:45 1NAINl-0006LV-07 <= admin@mydomain.ru H=mail.iag.co.at (iag.co.at) [81.223.25.27] P=esmtps X=TLSv1:AES128-SHA:128 S=3402 id=3fce8771-afe5-40ec-9842-4230114efd23@Mail.iag09.local
2009-11-17 10:21:45 1NAINl-0006LV-07 => adminmydomain.ru <admin@mydomain.ru> R=procmail T=procmail
2009-11-17 10:21:45 1NAINl-0006LV-07 Completed

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-18 14:51:14

2. Отправитель не обязан быть подлинным, т.е. может быть: admin@mydomain.ru
тогда и будут приходить письма черт знает от кого, любой пользователь коннектится к серваку, представляется кем угодно, ну а последствия описал топикстартер. Его сервак и от меня письмо принял, а я представился как admin@mydomain.ru :smile: . Должна ведь проходить проверка на бэкрезолвинг. Проверка не должна проходить по крайней мере только для аутентифицированных пользователей, так как мы их считаем доверенными.


Для armix, посмотрите кто к вам когда коннектился

Код: Выделить всё

# nslookup 217.8.236.156
Server:         192.168.2.87
Address:        192.168.2.87#53

Non-authoritative answer:
156.236.8.217.in-addr.arpa      name = gprs-217-8-236-156.sib.mts.ru.

Authoritative answers can be found from:
236.8.217.in-addr.arpa  nameserver = ns.zsttk.ru.
236.8.217.in-addr.arpa  nameserver = ns1.sib.mts.ru.
236.8.217.in-addr.arpa  nameserver = ns2.sib.mts.ru.
ns.zsttk.ru     internet address = 80.89.128.8
ns1.sib.mts.ru  internet address = 217.8.235.81
ns2.sib.mts.ru  internet address = 217.8.235.82
а у вас перед екзимом еще что-то стоит?
...участки под застройку в живописном месте Интернет

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-18 15:20:27

---nebo--- писал(а):
2. Отправитель не обязан быть подлинным, т.е. может быть: admin@mydomain.ru
тогда и будут приходить письма черт знает от кого, любой пользователь коннектится к серваку, представляется кем угодно, ну а последствия описал топикстартер. Его сервак и от меня письмо принял, а я представился как admin@mydomain.ru :smile: . Должна ведь проходить проверка на бэкрезолвинг. Проверка не должна проходить по крайней мере только для аутентифицированных пользователей, так как мы их считаем доверенными.


Для armix, посмотрите кто к вам когда коннектился

Код: Выделить всё

# nslookup 217.8.236.156
Server:         192.168.2.87
Address:        192.168.2.87#53

Non-authoritative answer:
156.236.8.217.in-addr.arpa      name = gprs-217-8-236-156.sib.mts.ru.

Authoritative answers can be found from:
236.8.217.in-addr.arpa  nameserver = ns.zsttk.ru.
236.8.217.in-addr.arpa  nameserver = ns1.sib.mts.ru.
236.8.217.in-addr.arpa  nameserver = ns2.sib.mts.ru.
ns.zsttk.ru     internet address = 80.89.128.8
ns1.sib.mts.ru  internet address = 217.8.235.81
ns2.sib.mts.ru  internet address = 217.8.235.82
а у вас перед екзимом еще что-то стоит?
перед екзимом еще что-то стоит - нет, если вы говорите об варволлах, телнетом если коннектить на 25 порт отвечает EXIM.

А как именно бэкрезолвинг включать? Что он нам даст?

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-18 15:28:38

---nebo--- писал(а):
2. Отправитель не обязан быть подлинным, т.е. может быть: admin@mydomain.ru
тогда и будут приходить письма черт знает от кого, любой пользователь коннектится к серваку, представляется кем угодно, ну а последствия описал топикстартер. Его сервак и от меня письмо принял, а я представился как admin@mydomain.ru :smile: . Должна ведь проходить проверка на бэкрезолвинг. Проверка не должна проходить по крайней мере только для аутентифицированных пользователей, так как мы их считаем доверенными.
1. Спаммеры так и делают. Подставляют в MAIL FROM чужие адреса, или адреса из базы, в которых домен совпадает с доменом получателя. Чтобы обойти проверки в несовсем настроенных МТА.
2. Важно правильно отличать спамера, от вашего же пользователя, который уехал куда-то в командировку и отправил письмо директору (например) с чужого провайдерского почтового сервера.
3. проверка на бэкрезолвинг не должна ничего конкретно решать, разве что может быть частью других проверок. Как можно на этой проверке строить какие-то догадки спамер или нет отправитель. :Search:
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-18 15:43:17

Код: Выделить всё

# telnet mail.iag.co.at 25
Trying 81.223.25.27...
Connected to mail.iag.co.at.
Escape character is '^]'.
220 Mail.iag09.local Microsoft ESMTP MAIL Service ready at Wed, 18 Nov 2009 13:29:15 +0100
тогда может что-то за ним стоит?
Важно правильно отличать спамера, от вашего же пользователя, который уехал куда-то в командировку и отправил письмо директору (например) с чужого провайдерского почтового сервера.
это решается аутентификацией(при удаленном непосредственном соединении со своим сервером). А если используется чужой провайдерский SMTP, то и адрес отправителя уже будет другой, вы ведь тогда будете уже в другом домене. Но все равно проверка адрес-домен пройдет нормально, если у чужого провайдера нормальный SMTP.
проверка на бэкрезолвинг не должна ничего конкретно решать, разве что может быть частью других проверок. Как можно на этой проверке строить какие-то догадки спамер или нет отправитель.
согласен, что это только часть проверок, но по крайней мере, если к нашему серверу коннектится нормальный SMTP сервак и хочет передать почту от своих клиентов, то проверив соответствие его адреса и домена(от которого идут письма), можно сделать вывод, что это с какой-то вероятностью не паливо :smile: . А то получается соединятся тип с MTS'овского GPRS'а, представляется кем угодно и вперед :smile:
...участки под застройку в живописном месте Интернет

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-18 16:04:24

---nebo--- писал(а):

Код: Выделить всё

# telnet mail.iag.co.at 25
Trying 81.223.25.27...
Connected to mail.iag.co.at.
Escape character is '^]'.
220 Mail.iag09.local Microsoft ESMTP MAIL Service ready at Wed, 18 Nov 2009 13:29:15 +0100
тогда может что-то за ним стоит?
Важно правильно отличать спамера, от вашего же пользователя, который уехал куда-то в командировку и отправил письмо директору (например) с чужого провайдерского почтового сервера.
это решается аутентификацией(при удаленном непосредственном соединении со своим сервером). А если используется чужой провайдерский SMTP, то и адрес отправителя уже будет другой, вы ведь тогда будете уже в другом домене. Но все равно проверка адрес-домен пройдет нормально, если у чужого провайдера нормальный SMTP.
проверка на бэкрезолвинг не должна ничего конкретно решать, разве что может быть частью других проверок. Как можно на этой проверке строить какие-то догадки спамер или нет отправитель.
согласен, что это только часть проверок, но по крайней мере, если к нашему серверу коннектится нормальный SMTP сервак и хочет передать почту от своих клиентов, то проверив соответствие его адреса и домена(от которого идут письма), можно сделать вывод, что это с какой-то вероятностью не паливо :smile: . А то получается соединятся тип с MTS'овского GPRS'а, представляется кем угодно и вперед :smile:

А как сделать, чтобы без пароля могли отправлять только localhost юзера, т.е если кто-то с адресом моего сервера удаленно законектит ему нужно будет вводить опять ЛОГИН/ПАРОЛЬ даже если он указал в FROM мой же адрес?

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-18 16:19:16

А как сделать, чтобы без пароля могли отправлять только localhost юзера, т.е если кто-то с адресом моего сервера удаленно законектит ему нужно будет вводить опять ЛОГИН/ПАРОЛЬ даже если он указал в FROM мой же адрес?
наличие запятой с одном месте вашего сообщения сократило бы число его прочтений с четырех, до одного раза :smile:

перефразируем,
Почтовый сервер должен принимать почту без доп. проверок от пользователей, которые находятся в одной подсети с серваком(локальные пользователи), а также без доп. проверок почту от аутентифицированных пользователей(сюда будут входить как локальные так и удаленные). При подключении всех остальных(которые не подпадаю под предыдущие два правила) - осуществлять проверки и в том числе бэк-резолвинг.

Как такое накрутить? В екзиме немного позабыл(давненько не крутил), преимущественно использую Postfix. Но могу сказать, что там вам нужно будет создать ACL. Подкрутите стандартную acl_check_rcpt.
...участки под застройку в живописном месте Интернет

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-18 16:28:07

---nebo--- писал(а):
А как сделать, чтобы без пароля могли отправлять только localhost юзера, т.е если кто-то с адресом моего сервера удаленно законектит ему нужно будет вводить опять ЛОГИН/ПАРОЛЬ даже если он указал в FROM мой же адрес?
наличие запятой с одном месте вашего сообщения сократило бы число его прочтений с четырех, до одного раза :smile:

перефразируем,
Почтовый сервер должен принимать почту без доп. проверок от пользователей, которые находятся в одной подсети с серваком(локальные пользователи), а также без доп. проверок почту от аутентифицированных пользователей(сюда будут входить как локальные так и удаленные). При подключении всех остальных(которые не подпадаю под предыдущие два правила) - осуществлять проверки и в том числе бэк-резолвинг.

Как такое накрутить? В екзиме немного позабыл(давненько не крутил), преимущественно использую Postfix. Но могу сказать, что там вам нужно будет создать ACL. Подкрутите стандартную acl_check_rcpt.
Вот мой конфиг

Код: Выделить всё

# $Cambridge: exim/exim-src/src/configure.default,v 1.10 2006/07/27 10:36:34 ph10 Exp $
primary_hostname = mydomain.ru
domainlist local_domains = @ : localhost : mydomain.ru
domainlist relay_to_domains = 
hostlist   relay_from_hosts = 127.0.0.1 : 77.175.64.123
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_mime = acl_check_mime
av_scanner = clamd:/var/run/clamd.exim/clamd.sock
spamd_address = 127.0.0.1 783
tls_advertise_hosts = *
tls_certificate = /etc/pki/tls/certs/exim.pem
tls_privatekey = /etc/pki/tls/private/exim.pem
daemon_smtp_ports = 25 : 465 : 587
tls_on_connect_ports = 465
never_users = root : mail
rfc1413_hosts = *
rfc1413_query_timeout = 5s
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
auth_advertise_hosts = *
begin acl
acl_check_rcpt:
  accept  hosts = :
  deny    message       = Restricted characters in address
          domains       = +local_domains
          local_parts   = ^[.] : ^.*[@%!/|]
  deny    message       = Restricted characters in address
          domains       = !+local_domains
          local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
  accept  local_parts   = postmaster
          domains       = +local_domains
  require verify        = sender
  accept  hosts         = +relay_from_hosts
          control       = submission
  accept  authenticated = *
          control       = submission
  require message = relay not permitted
          domains = +local_domains : +relay_domains
  require verify = recipient
  accept
acl_check_data:
    deny    condition  = ${if !def:h_Message-ID: {1}}
            message    = RFC2822 says that all mail SHOULD have a Message-ID header.\n\
                        Most messages without it are spam, so your mail has been rejected.
   accept  condition  = ${if >={$message_size}{100000} {1}}
           add_header = X-Spam-Note: SpamAssassin run bypassed due to message size
   warn    spam       = nobody/defer_ok
           add_header = X-Spam-Flag: YES
  
   accept  condition  = ${if !def:spam_score_int {1}}
           add_header = X-Spam-Note: SpamAssassin invocation failed
  
   warn    add_header = X-Spam-Score: $spam_score ($spam_bar)\n\
                        X-Spam-Report: $spam_report
   warn  spam = nobody/defer_ok
      add_header = Subject: *****SPAM***** $h_Subject:
   deny    condition = ${if >{$spam_score_int}{100} {1}}
           message   = Your message scored $spam_score SpamAssassin point. Report follows:\n\
                        $spam_report
  accept
acl_check_mime:
  deny message = Blacklisted file extension detected
       condition = ${if match \
                        {${lc:$mime_filename}} \
                        {\N  #
begin routers
dnslookup:
  driver = dnslookup
  domains = ! +local_domains
  transport = remote_smtp
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  no_more
system_aliases:
  driver = redirect
  allow_fail
  allow_defer
  data = ${lookup{$local_part@$domain}lsearch{/etc/aliases}}
  file_transport = address_file
  pipe_transport = address_pipe
userforward:
  driver = redirect
  check_local_user
  file = $home/.forward
  allow_filter
  no_verify
  no_expn
  check_ancestor
  file_transport = address_file
  pipe_transport = address_pipe
  reply_transport = address_reply
procmail:
  driver = accept
  check_local_user
  require_files = ${local_part}:+${home}/.procmailrc:/usr/bin/procmail
  transport = procmail
  no_verify
localuser:
  driver = accept
  check_local_user  
  transport = local_delivery
  cannot_route_message = Unknown user
begin transports
remote_smtp:
  driver = smtp
  headers_remove = Sender:Received:Return-path
  
procmail:
  driver = pipe
  command = "/usr/bin/procmail -d $local_part"
  return_path_add
  delivery_date_add
  envelope_to_add
  user = $local_part
  initgroups
  return_output
local_delivery:
  driver = appendfile
  file = /var/mail/$local_part
  delivery_date_add
  envelope_to_add
  return_path_add
  group = mail
  mode = 0660
address_pipe:
  driver = pipe
  return_output
address_file:
  driver = appendfile
  delivery_date_add
  envelope_to_add
  return_path_add
address_reply:
  driver = autoreply
begin retry
*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h
begin rewrite
begin authenticators
PLAIN:
  driver                     = plaintext
  public_name                = PLAIN  
  server_set_id              = ${sg{$auth2}{[@]}{}}
  server_prompts             = :
  server_condition           = ${if saslauthd{{${sg{$2}{[@]}{}}}{$3}{smtp}} {1}}
LOGIN:
  driver                     = plaintext
  server_set_id              = ${sg{$auth1}{[@]}{}}
  server_prompts             = <| Username: | Password:
  server_condition           = ${if saslauthd{{${sg{$1}{[@]}{}}}{$2}{smtp}} {1}}
Что здесь изменить, чтобы больше никто не смог отправить почту указав в FROM мой же ящик?
Последний раз редактировалось hizel 2009-11-19 11:06:59, всего редактировалось 1 раз.
Причина: | egrep -v '^\s*#' | sed '/^$/d' | - ня ^_^

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение dikens3 » 2009-11-18 17:34:28

Молодой человек, если у вас что-то не получается, можно попробовать помочь, но делать работу за вас желания обычно нет.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-18 18:00:36

dikens3 писал(а):Молодой человек, если у вас что-то не получается, можно попробовать помочь, но делать работу за вас желания обычно нет.
ну зачем так жестоко :smile: .
У меня вот сервак почтовый стоит(тоже Exim), но правда только для локалки, в нет не смотрит и с такими траблами не стыкался. Поднимался давно и быстро, поетому особо не крутился. Прочитав проблему - стало интересно, вот сам думаю почитать доку(http://www.lissyara.su/?id=1200). На боевом серваке - Postfix, там это все решено. Принципы то одинаковые, просто синтаксис разный.
...участки под застройку в живописном месте Интернет

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-18 18:25:45

---nebo--- писал(а):
Важно правильно отличать спамера, от вашего же пользователя, который уехал куда-то в командировку и отправил письмо директору (например) с чужого провайдерского почтового сервера.
это решается аутентификацией(при удаленном непосредственном соединении со своим сервером). А если используется чужой провайдерский SMTP, то и адрес отправителя уже будет другой, вы ведь тогда будете уже в другом домене. Но все равно проверка адрес-домен пройдет нормально, если у чужого провайдера нормальный SMTP.
Пользователь уехал в командировку со своим ноутбуком. У него там настроенная почтовая программа. У него активная переписка и он не будет ни за что менять адрес отправителя. Он обломается, так? :-o А это вполне реальный и нормальный случай.
---nebo--- писал(а):
проверка на бэкрезолвинг не должна ничего конкретно решать, разве что может быть частью других проверок. Как можно на этой проверке строить какие-то догадки спамер или нет отправитель.
согласен, что это только часть проверок, но по крайней мере, если к нашему серверу коннектится нормальный SMTP сервак и хочет передать почту от своих клиентов, то проверив соответствие его адреса и домена(от которого идут письма), можно сделать вывод, что это с какой-то вероятностью не паливо :smile: . А то получается соединятся тип с MTS'овского GPRS'а, представляется кем угодно и вперед :smile:
с этого GPRS-А не получится, скорее всего у него закрыт выход на 25 порт. :st:
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-18 18:39:42

armix писал(а): ...
Что здесь изменить, чтобы больше никто не смог отправить почту указав в FROM мой же ящик?
Пожалуйста, не стоит выкладывать километровые конфиги. Их все равно никто читать не будет. :unknown: :no:
Скажите что сделали, скажите как пробовали и тогда легче и быстрее помочь в проблеме.
Создать вам почтовый сервер никто не обязан тут. Как и перелистывать громадные конфиги.. :oops:
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение ---nebo--- » 2009-11-18 18:40:16

с этого GPRS-А не получится, скорее всего у него закрыт выход на 25 порт.
стало интересно, взял свой МТС Украина подключил к ноуту, зашел в нет и нормально коннекчусь на 25 порт :smile: , у Life тоже самое.
Пользователь уехал в командировку со своим ноутбуком. У него там настроенная почтовая программа. У него активная переписка и он не будет ни за что менять адрес отправителя. Он обломается, так? А это вполне реальный и нормальный случай
.
Когда пользователь был не месте(не в командировке) у него сервак SMTP и POP3 был(допустим) 192.168.0.1. Он уехал в командировку, и просто меняет локальный адрес на белый адрес почтового сервака, или тот под которым он виден в Интернете. Пользователь авторизируется в обеих случаях по логину и паролю. Если логин и пароль правельные, значит он тот, за кого себя выдает, а значит больше проверять его нету смысла - это "свой" человек.

Так или иначе пользователь на прямую коннектится к своему "родному" почтовому серваку.
...участки под застройку в живописном месте Интернет

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-19 10:50:41

Laa писал(а):
armix писал(а): ...
Что здесь изменить, чтобы больше никто не смог отправить почту указав в FROM мой же ящик?
Пожалуйста, не стоит выкладывать километровые конфиги. Их все равно никто читать не будет. :unknown: :no:
Скажите что сделали, скажите как пробовали и тогда легче и быстрее помочь в проблеме.
Создать вам почтовый сервер никто не обязан тут. Как и перелистывать громадные конфиги.. :oops:

Меня просили выложить конфиг, я выложил!
Вообще очень много теории, но ничего никто толком не советует. Уже ясно, что настройка неверная, хотя и не критическая ситуация, но хотелось бы пофиксить. Может кто уже сталкивался с проблемой, и знает как решить пусть посмотрит на мой конфиг может там всего пару строк добавить/исправить надо?!

А юзерам которые дают такие посты:
Молодой человек, если у вас что-то не получается, можно попробовать помочь, но делать работу за вас желания обычно нет.
могу сказать только одно, вам что делать больше нечего как постить тупые ответы?
если не можешь или не хочешь помочь - ничего не пиши, уйди с темы, зачем же захломлять тему тупыми комментариями типа "Я ГУРУ ВСЕ ОСТАЛЬНЫЕ ДУРАКИ". Обычно кто так поступает на ТЫ только с MustDie Windows'ом!!!

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение hizel » 2009-11-19 11:08:07

дети живите дружно, я поправил

armix не ругайся и в будущем выкладывай конфигурацию с минимальными комментариями в ня :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-19 11:32:30

После

Код: Выделить всё

  accept  authenticated = *
          control       = submission
Поставь такое:

Код: Выделить всё

  deny domains = +local_domains
   sender_domains = +local_domains
   message = Reject. Local policy.
   log_message = Reject. Remote sender use my local domain
Написал на коленке, не проверял. Но под твою просьбу.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

armix
проходил мимо

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение armix » 2009-11-19 15:42:20

Laa писал(а):После

Код: Выделить всё

  accept  authenticated = *
          control       = submission
Поставь такое:

Код: Выделить всё

  deny domains = +local_domains
   sender_domains = +local_domains
   message = Reject. Local policy.
   log_message = Reject. Remote sender use my local domain
Написал на коленке, не проверял. Но под твою просьбу.
На первый взгляд это то что нужно, по крайней мере мне не удается отправить самому себе письмо без вкл Аутентификации - это именно что и требовалось! Буду следить, посмотрим со временем не будет ли опять какого-то бага.
Спасибо большое "Laa" !!! :drinks:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Alex Keda » 2009-11-19 15:57:30

а чё без мата?
даже обидно =(
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-19 16:00:12

Да не за что. ;-)
Поройся на этом форуме, не поленись, перечитай (и вникни) побольше топиков, постепенно начнешь вникать в принципы создания acl. У тебя как-бы в acl_check_rcpt почти пусто. :no: Так что тебе есть чем заняться... :-D
Поройся еще тут http://www.sput.nl/software/exim.html -- тут есть много интересного, что можно подчерпнуть.
Удачи.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение dikens3 » 2009-11-19 18:05:55

sender_domains = +local_domains
Аккуратнее с этой конструкцией если используете mysql.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение Laa » 2009-11-19 19:03:57

Ну и поясни, пожалуйста, почему так, чтобы осталось для истории.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Мне отправили спам от моего же e-mail, как это возможно?

Непрочитанное сообщение dikens3 » 2009-11-20 13:13:10

http://forum.lissyara.su/viewtopic.php? ... er_domains

Там не баг был, а моё неумение работать. Хотя по логике конструкция должна была работать. Позднее я стал списком возвращать замещая \N на :

Код: Выделить всё

# Список доменов
MYSQL_DOMAINS           = SELECT domain FROM domain WHERE transport = 'virtual' AND active='1'

# Наши домены ( @ - домен нашего компьютера)
domainlist local_domains = @ : ${sg{${lookup mysql{MYSQL_DOMAINS}}}{\n}{:}}
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.