Не могу избавиться от спамеров

[damir_madaga]

Доброго времени суток!
Имею следующий проблем, постоянно попадаю в блек листы из-за рассылки спама, спам рассылают примерно вот так:

Код: Выделить всё

ail# exim -Mvh 1UmAeP-0006Ui-AL
1UmAeP-0006Ui-AL-H
mailnull 26 6
<johnmiles@definitivesecurityservices.co.uk>
1370903601 0
-helo_name User
-host_address 46.20.33.212.4283
-host_auth auth_login
-interface_address 192.168.1.24.25
-received_protocol esmtpa
-body_linecount 74
-max_received_linelength 245
-auth_id pchase_09@kth.ru
YY tracy@alexandersonline.me.uk
YY tracy.d.mcentire@gmail.com
YY tracy.allen@gmx.com
NN tracimichelle@sbcglobal.net
NN tracy.carr@wwkjlp.org
NY tracy.hampshire@charter.net
NN tracy.mcneil@charter.net
YY tracy@wetokole.com
YN tracy@travelchair.com
NN tracy@brainwiz.com
NY tracy_2809@btinternet.com
NN tracy_mcateer@mac.com
50
tracimichelle@sbcglobal.net
#--------------------------------------------#
210P Received: from [46.20.33.212] (helo=User)
	by mail.kth.ru with esmtpa (Exim 4.80.1 (FreeBSD))
	(envelope-from <johnmiles@definitivesecurityservices.co.uk>)
	id 1UmAeP-0006Ui-AL; Tue, 11 Jun 2013 06:33:21 +0800
040R Reply-To: <barrjohnmiles2013@gmail.com>
069F From: "Brr. John Miles."<johnmiles@definitivesecurityservices.co.uk>
022T To: johnmiles@occ.org
093  Subject: From Overseas Credit Commission United Nations office, Await your urgent respons.  
038  Date: Mon, 10 Jun 2013 15:33:21 -0700
018  MIME-Version: 1.0
049  Content-Type: text/html;
	charset="Windows-1251"
032  Content-Transfer-Encoding: 7bit
014  X-Priority: 3
026  X-MSMail-Priority: Normal
051  X-Mailer: Microsoft Outlook Express 6.00.2600.0000
057  X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Правильно ли я понимаю, что авторизация идет через ящик pchase_09@kth.ru?
Пароль на нем менял, антивирусом прогонял, все чисто!
Как можно сделать защиту от рассылки? Пробовал делать ограничения средствами Exim-а, на мне они вроде срабатывают, а вот от рассылки не спасли!

Код: Выделить всё

# Ограничение кол-ва отправляемых писем
  deny message = "Sender rate SMTP overlimit - $sender_rate / $sender_rate_period"
  ratelimit = 10 / 1h / strict
  #ratelimit = 20 / 1d / leaky

Ну и если я правильно понимаю это ограничение накладывается на входящие письма от добросовестных отправителей, что тоже не есть гуд!
Пожалуйста дайте совет как быть и куда дальше копать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[moury]

Да, спам от вашего сервера иногда проскакивает. Рад познакомиться. Желаю успешно справиться.

После прочтения Вашего поста первое впечатление,что в acl почтовика - дырка, которую Вы не замечаете. То есть, правило, позволяющее отправлять почту, несмотря на авторизацию.

Внимательно изучите логи, поставьте дополнительные диагностические сообщения.

Но первое, с чего начните - запретите отправку почты с обратным адресом, не совпадающим с адресом авторизации.

[damir_madaga]

Блин! Не могу найти примера! Тыкните носом, плиз!!

[damir_madaga]

Нашел, сделал!

Код: Выделить всё

deny message = Address $sender_address does not match with authenticated data $authenticated_id.
       authenticated = *
       condition = ${if !eq{$sender_address}{$authenticated_id}{yes}{no}}

Работает! Но вот вопрос, что помешает спамеру поставить тот адрес что он указывает при авторизации, и как он вообще его достает?

[ASY]

То есть, правило, позволяющее отправлять почту, несмотря на авторизацию.

Почему ? Написано же: auth_id bla-bla-bla. Я, правда, не знаток Exim, но я бы предположил успешную авторизацию. В общем-то, это типовой случай - воровство паролей с компьютера клиента и использование данных для рассылки с его логином/паролем. Надо просто пользователей быстро отключать, после чего заставлять из удалять заразу, устранять причину попадания заразы на компьютер, менять пароль. Просто менять бесполезно - сразу же сопрут.

[moury]

То есть, правило, позволяющее отправлять почту, несмотря на авторизацию.

Почему ? Написано же: auth_id bla-bla-bla. Я, правда, не знаток Exim, но я бы предположил успешную авторизацию.

Потому что топикстартер явно писал, что стал контролировать состояние компьютера, на котором настроен адрес, авторизация которого используется спамерами:

Пароль на нем менял, антивирусом прогонял, все чисто!

[damir_madaga]

В общем ситуация улучшилась, но не кардинально! Вчера на ящик пришел вот такой отлуп!

Код: Выделить всё

----- Original Message ----- 
From: "Mail Delivery System" <Mailer-Daemon@kth.ru>
To: <pchase_09@kth.ru>
Sent: Monday, June 17, 2013 11:25 PM
Subject: Mail delivery failed: returning message to sender


> This message was created automatically by mail delivery software.
>
> A message that you sent could not be delivered to one or more of its
> recipients. This is a permanent error. The following address(es) failed:
>
>  prislong21@gmail.com
>    SMTP error from remote mail server after end of data:
>    host gmail-smtp-in.l.google.com [74.125.143.27]:
>    550-5.7.1 [109.226.205.133       1] Our system has detected an unusual 
> rate of
>    550-5.7.1 unsolicited mail originating from your IP address. To protect 
> our
>    550-5.7.1 users from spam, mail sent from your IP address has been 
> blocked.
>    550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html 
> to review
>    550 5.7.1 our Bulk Email Senders Guidelines. g1si6454762laf.94 - gsmtp
>
> ------ This is a copy of the message, including all the headers. ------
>
> Return-path: <pchase_09@kth.ru>
> Received: from [41.71.206.95] (helo=User)
> by mail.kth.ru with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
> (Exim 4.80.1 (FreeBSD))
> (envelope-from <pchase_09@kth.ru>)
> id 1UobIi-0003r0-2R
> for prislong21@gmail.com; Mon, 17 Jun 2013 23:25:00 +0800
> Reply-To: <susan.patrick1@superposta.com>
> From: "Mrs. Susan Patrick"<pchase_09@kth.ru>
> To: prislong21@gmail.com
> Subject: How are you today?
> Date: Mon, 17 Jun 2013 16:25:00 +0100
> MIME-Version: 1.0
> Content-Type: text/plain;
> charset="Windows-1251"
> Content-Transfer-Encoding: 7bit
> X-Priority: 3
> X-MSMail-Priority: Normal
> X-Mailer: Microsoft Outlook Express 6.00.2600.0000
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
> X-Antivirus: avast! (VPS 130617-1, 06/17/2013), Outbound message
> X-Antivirus-Status: Clean
>
> Attention: Beneficiary
>
>
> Have you Received Your Payment.? Your Immediate Confirmation is needed 
> with Your Full Information If Truly You Have Not Received Your Payment. I 
> wish to use this Medium to inform you that your CONTRACT/INHERITANCE Part 
> Payment of USD2.3M Two Million Three Hundred Thousand Dollars from CENTRAL 
> BANK OF NIGERIA have been RELEASED and APPROVED for onward transfer to you 
> via an ATM CARD which you will use to withdraw all the USD2.3M in any ATM 
> SERVICE MACHINE in any part of the world.
>
> We have mandated MR.TOBY DYKE to send you the ATM CARD and PIN NUMBER 
> which you will use to withdraw all your USD2.3 Million Dollars in any ATM 
> SERVICE MACHINE in any part of the world.
>
> You are advice to stop any further communication with anybody and contact 
> the officer in-charge with the below information:
>
>
> Senior Regional Representative.
> Contact Person: MR.TOBY DYKE,
> Direct Email: atm.card@superposta.com
>
>
>
>
> Tell MR.TOBY DYKE, that you received a message from the office of the 
> Presidency, instructing him to send you the ATM CARD and PIN NUMBER which 
> you will use to withdraw your due fund in any ATM SERVICE MACHINE in any 
> part of the world, also reconfirm back to him your direct phone number and 
> contact address where you want him to send the ATM CARD and PIN NUMBER to 
> you.
>
> We are very sorry for the plight you have gone through in the past years. 
> Thanks for adhering to this instruction and once again accept our 
> congratulations.
>
> Best Regards.
>
>
> Ms. Susan Patrick
> Account Reconciliation Officer, Central Bank of Nigeria (CBN).
> 

Самое смешное, что это единственный компьютер через который общаются с Китаем.

[moury]

В общем ситуация улучшилась, но не кардинально! Вчера на ящик пришел вот такой отлуп!

А чего ради она улучшится? До этого еще далеко. Пока же переходите ко второму этапу.

Внимательно изучите логи, поставьте дополнительные диагностические сообщения.

Кстати, Вы в топике цитировали файл очереди, письмо, но не логи почтовика. Возникает впечатдение, что Вы логи читать не умеете. Обучитесь этому как можно быстрее. Понять, что происходит на самом деле, можно только из логов.

[damir_madaga]

Ваше впечатление ошибочное, логи использую, но по назначению. Логи изучены - сейчас это выглядит как обычная отправка письма из вне!