Обрзание спама по заголовку from

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-11 11:50:34

сыпится спам с вот такими заголовками (ниже) . подскажите правило чтоб рубило по полю from если там подставляют цифры через точку. (Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87]))

Received: from dovecot by host.rumex.ru with spam-scanned (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXit-000Om4-50
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:35 +0400
Received: from sp604005mt.neufgp.fr ([84.96.92.11] helo=smtp.Neuf.fr)
by host.rumex.ru with esmtp (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXir-000Ola-Tt
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:34 +0400
Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87])
by sp604005mt.gpm.neuf.ld
(Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006))
with SMTP id <0JGB00MP6MIGSC30@sp604005mt.gpm.neuf.ld> for postmaster@dorc.ru;

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

Код: Выделить всё

  # Считем число точек или дефисов в доменном имени. (больше 4-х - в топку)
  warn    condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){4,})\N}{yes}{no}}
     hosts         = !+relay_from_hosts : *
     set acl_m0   = ${eval:$acl_m0+40}
#     logwrite   = "STAGE4: ACL m0 set = $acl_m0 for host=$sender_host_name [$sender_host_address] with HELO=$sender_helo_name - more dots in name"

типа такого...
http://forum.lissyara.su/viewtopic.php?t=2747

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-11 15:21:36

просьба посмотреть - так ли я написал. строго не судить - в экзиме новичок )))
число точек и дефисов уменьшил до трёх

deny message = "HELO $sender_helo_name - more dots in name"
condition = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
hosts = !+relay_from_hosts
logwrite = "HELO=$sender_helo_name - more dots in name"

Alex Keda

да вроде верно
пробуй

=========
кнопочку code юзайте пжалста..
читать литинги очень неудобно...

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-11 16:28:16

Извините - следующий раз буду внимательней в написании ))
добавил перед блэк-листами - посмотрим что с этого получится.

Alex Keda

Код: Выделить всё

deny   message       =  "HELO $sender_helo_name - more dots in name" 
          condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}

и кстати - у тебя в первой и второй строке разные переменный...
проверяешь одну а ругаешься на другую.

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-11 16:48:59

а это чтоб врага запутать )))))
спасибо - поправил

Код: Выделить всё

  
# Рубаем у кого 3 точки или 3 дефиса в HELO
  deny message = "$sender_helo_name - more dots or hyphens in name"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-12 8:43:47

как говорится - первый блин всегда комом ))) немного перестарался с количеством точек и тире. Разделил правило на два - количество точек равно 4 , количество тире оставил 3 )))

Apr 12 09:37:49 host exim[41124]: "HELO=mfront7.mail.yandex.net - more dots in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"

Alex Keda

у меня были клиенты со вполне легальным mx - тока точек там было штук 5

))
это не панацея, и запрещать на этом основании нельзя - надо добавлять очков за спам, например...

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-12 8:53:15

Код: Выделить всё

  # Рубаем у кого 4 точки в HELO
  deny message = "$sender_helo_name - a lot of dots in the name(more than 4)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.]){4,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

  # Рубаем у кого 3 дефиса в HELO
  deny message = "$sender_helo_name - a lot of hyphes in the name(more than 3)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

ну пока оставляю так - а со временем посмотрим ))

Vitaly · Непрочитанное сообщение **Vitaly** » 2007-04-12 8:55:48

да .... очки за спамность как в антиспамере средствами самого exim - это круто конечно - нужно обмозговать - мож и стоит сделать по Вашей статье )))

Обрзание спама по заголовку from

Обрзание спама по заголовку from

Услуги хостинговой компании Host-Food.ru