Exim 4.72 Помогите победить такой вид спама.

kolexndr

Добрый день! Я не сильный спец в конфигурировании MTA.
Прошу помощи определить по логам что это за такой вид хитрого способа рассылать спам и как с этим делом бороться.

Отрывок лога

Код: Выделить всё

2016-02-04 23:19:16 1aQdMx-0000Qw-RR ukonline.co.uk [87.83.50.205] Connection timed out
2016-02-04 23:19:16 1aQdMx-0000Qw-RR == pk.sharma@ukonline.co.uk R=dnslookup T=remote_smtp defer (110): Connection timed out
2016-02-04 23:19:16 1aRRJ6-0000cZ-6A <= <> R=1aQdMx-0000Qw-RR U=exim P=local S=1292 from <> for spammers_fake_email@my-domain.org

после этой строчки лога обычно идёт успешная доставка спам сообщения якобы от моего несуществующего ящика (spammers_fake_email@my-domain.org), но в данном случае, доставка не удаётся, поскольку я отключил свой локальный домен (my-domain.org) и поэтому в логах дальше имеем:

Код: Выделить всё

2016-02-04 23:19:16 1aRRJ6-0000cZ-6A ** spammers_fake_email@my-domain.org R=disabled_domains: Domain disabled
2016-02-04 23:19:16 1aRRJ6-0000cZ-6A Frozen (delivery error message)

Нашел тему про bounce, но неуверен, что я на правильном пути...

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

xM · Непрочитанное сообщение xM » 2016-02-08 23:53:01

У вас идёт спам под видом bounce.
Однозначного решения проблемы нет, но можно порекомендовать использовать, например, BATV.

Отправлено спустя 11 минут 37 секунд:
Или я не понял - они пытаются рассылать таким образом от вашего имени (backscatter)?

kolexndr · Непрочитанное сообщение **kolexndr** » 2016-02-09 9:56:03

xM писал(а): Или я не понял - они пытаются рассылать таким образом от вашего имени (backscatter)?

да от моего имени, от несуществующих почтовых ящиков на одном из моих доменов. И это подтверждается кучей жалоб которые я словил зазевавшись. Пришлось в срочном порядке блокировать домен чтобы предотвратить рассылку.

xM · Непрочитанное сообщение xM » 2016-02-09 11:25:07

А, ну так тут всё стандартно - SPF, DKIM, DMARC для домена и verify = recipient у вас в ACL

kolexndr

Спасибо за ответ! SPF настроен, verify = recipient тоже прописан, а вот DKIM не настроил ещё, а про DMARC вообще не знаю - буду гуглить.

xM · Непрочитанное сообщение xM » 2016-02-09 16:58:18

kolexndr писал(а): а про DMARC вообще не знаю - буду гуглить

Ну это не обязательно. А DKIM добавить не помешает.

kolexndr

Я вот тут подумал, DKIM же добавляет подпись к заголовкам сообщения, но каким образом он предотвратит отсылку спам сообщений в которых не будет этой подписи?

xM · Непрочитанное сообщение xM » 2016-02-10 14:15:26

Очень просто - укажите что все ваши письма должны быть подписаны и все адекватные серверы будут отшивать или помечать как спам неподписанные письма.
Та же история с SPF. Требуйте её жёсткого выполнения.

kolexndr

Спасибо!!

forum.lissyara.su