Обрзание спама по заголовку from

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Обрзание спама по заголовку from

Непрочитанное сообщение Vitaly » 2007-04-11 11:50:34

сыпится спам с вот такими заголовками (ниже) . подскажите правило чтоб рубило по полю from если там подставляют цифры через точку. (Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87]))

Received: from dovecot by host.rumex.ru with spam-scanned (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXit-000Om4-50
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:35 +0400
Received: from sp604005mt.neufgp.fr ([84.96.92.11] helo=smtp.Neuf.fr)
by host.rumex.ru with esmtp (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXir-000Ola-Tt
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:34 +0400
Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87])
by sp604005mt.gpm.neuf.ld
(Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006))
with SMTP id <0JGB00MP6MIGSC30@sp604005mt.gpm.neuf.ld> for postmaster@dorc.ru;

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-11 13:56:02

Код: Выделить всё

  # Считем число точек или дефисов в доменном имени. (больше 4-х - в топку)
  warn    condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){4,})\N}{yes}{no}}
     hosts         = !+relay_from_hosts : *
     set acl_m0   = ${eval:$acl_m0+40}
#     logwrite   = "STAGE4: ACL m0 set = $acl_m0 for host=$sender_host_name [$sender_host_address] with HELO=$sender_helo_name - more dots in name" 
типа такого...
http://forum.lissyara.su/viewtopic.php?t=2747
Убей их всех! Бог потом рассортирует...

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-11 15:21:36

просьба посмотреть - так ли я написал. строго не судить - в экзиме новичок )))
число точек и дефисов уменьшил до трёх

deny message = "HELO $sender_helo_name - more dots in name"
condition = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
hosts = !+relay_from_hosts
logwrite = "HELO=$sender_helo_name - more dots in name"

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-11 16:24:51

да вроде верно
пробуй :)
=========
кнопочку code юзайте пжалста..
читать литинги очень неудобно...
Убей их всех! Бог потом рассортирует...

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-11 16:28:16

Извините - следующий раз буду внимательней в написании ))
добавил перед блэк-листами - посмотрим что с этого получится.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-11 16:33:57

Код: Выделить всё

deny   message       =  "HELO $sender_helo_name - more dots in name" 
          condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}} 
и кстати - у тебя в первой и второй строке разные переменный...
проверяешь одну а ругаешься на другую. :)
Убей их всех! Бог потом рассортирует...

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-11 16:48:59

а это чтоб врага запутать )))))
спасибо - поправил

Код: Выделить всё

  
# Рубаем у кого 3 точки или 3 дефиса в HELO
  deny message = "$sender_helo_name - more dots or hyphens in name"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-12 8:43:47

как говорится - первый блин всегда комом ))) немного перестарался с количеством точек и тире. Разделил правило на два - количество точек равно 4 , количество тире оставил 3 )))

Apr 12 09:37:49 host exim[41124]: "HELO=mfront7.mail.yandex.net - more dots in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-12 8:50:37

у меня были клиенты со вполне легальным mx - тока точек там было штук 5 :)))
это не панацея, и запрещать на этом основании нельзя - надо добавлять очков за спам, например...
Убей их всех! Бог потом рассортирует...

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-12 8:53:15

Код: Выделить всё

  # Рубаем у кого 4 точки в HELO
  deny message = "$sender_helo_name - a lot of dots in the name(more than 4)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.]){4,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

  # Рубаем у кого 3 дефиса в HELO
  deny message = "$sender_helo_name - a lot of hyphes in the name(more than 3)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"
ну пока оставляю так - а со временем посмотрим ))

Vitaly
мл. сержант
Сообщения: 93
Зарегистрирован: 2007-03-22 10:15:56
Откуда: Москва
Контактная информация:

Непрочитанное сообщение Vitaly » 2007-04-12 8:55:48

да .... очки за спамность как в антиспамере средствами самого exim - это круто конечно - нужно обмозговать - мож и стоит сделать по Вашей статье )))