Проблема со спамером в EXIM

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Leon
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-25 18:31:02

Проблема со спамером в EXIM

Непрочитанное сообщение Leon » 2012-05-17 14:57:17

На днях столкнулся с проблемой, за два дня лог exima забился на 800mb вот этой хренью:

Код: Выделить всё

2012-05-17 05:11:08 1SUqB7-0008J3-6y <= onlinebanking@ealerts.bankofamerica.com H=(USER) [64.31.25.92] I=[*мой ип*]:25 P=esmtpa A=auth_login:boris S=9968 from <onlinebanking@ealerts.bankofamerica.com> for deniserent@aol.com denise.rigdon@aol.com deniserigopoulos@aol.com deniserio@aol.com deniseriv117@aol.com denisern4health@aol.com denisern68@aol.com deniserob895@aol.com deniserofael@aol.com deniserohde@aol.com deniserollis@aol.com deniserosebrown@aol.com deniserubinpa@aol.com denisesalguero@aol.com denisesally00h@aol.com denise_sauer@aol.com denisesaun@aol.com denisesbarra@aol.com denisesblazin420@aol.com denisesboyd@aol.com
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** deniserent@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** denise.rigdon@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** ... всё не вставлял там дофига...
2012-05-17 05:11:08 1SUqBI-0008K9-A7 <= <> R=1SUqB7-0008J3-6y U=exim P=local S=13073 from <> for onlinebanking@ealerts.bankofamerica.com
2012-05-17 05:11:08 1SUqB7-0008J3-6y Completed

2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgota@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgyrl999@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgyrl999@yahoo.com <Coldgyrl999@yahoo.com> R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 mta6.am0.yahoodns.net [72.30.235.6] Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 mta6.am0.yahoodns.net [72.30.235.6] Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 == brackerm@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 == brackett26@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1SUq3d-00081P-4V <= <> R=1STeGp-0002Av-G3 U=exim P=local S=1679 from <> for online@ealerts.americanexpress.com
2012-05-17 05:03:13 1SUq3d-00081P-4V ** online@ealerts.americanexpress.com: Unrouteable address
2012-05-17 05:03:13 1SUq3d-00081P-4V Frozen (delivery error message)
2012-05-17 05:03:13 1STglp-000377-6u ** gmpetry1@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:03:13 1STglp-000377-6u ** gmpfrg81@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:03:13 1SUNZp-0006yU-Bh == onlinebanking@ealerts.bankofamerica.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
После чего забилась очередь писем в exim. Сейчас уже всё в порядке этот ip я дропнул через iptables и вычистил очередь.

Open relay у меня закрыт:
Telnet

Код: Выделить всё

220 domain, ESMTP EXIM 4.77
HELO domain
250 domain Hello domain [client_ip]
MAIL FROM:onlinebanking@ealerts.bankofamerica.com
250 OK
RCPT TO:deniserent@aol.com
550 "Свободен. Это тебе не ОпенРелей."
Сообщения у меня можно отправлять только через ВЕБ т.е. только с localhost, а он подключился напрямую к 25 порту. Я так понимаю что эти письма не ушли но Exim он загрузил.
Подскажите, как с этим можно бороться?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Проблема со спамером в EXIM

Непрочитанное сообщение hizel » 2012-05-17 16:34:13

Код: Выделить всё

<= <> R=1SUqB7-0008J3-6y U=exim P=local S=13073 from <> for onlinebanking@ealerts.bankofamerica.com
как вы думаете зачем это телодвижение?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Leon
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-25 18:31:02

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Leon » 2012-05-17 23:13:44

Я думаю это инъекция, для того чтобы обойти проверку. Как защитится я пока не нашел.

Leon
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-25 18:31:02

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Leon » 2012-05-18 4:12:00

В общем немного покопавшись с тем как бот общается с сервером я увидел что он успешно авторизируется с логином boris(Как оказалось в базе он вообще был без пароля) и после этого получает доступ к отправке сообщений.

Подскажите, как сделать чтобы даже авторизированые пользователи не могли использовать сервер как ОткрытыйРелей ?

Leon
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-25 18:31:02

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Leon » 2012-05-18 21:01:19

Наверно немного не правильно задал вопрос. Как сделать, чтобы авторизированые пользователи могли отсылать почту только если у них правильно указан "MAIL FROM:" т.е. чтобы нельзя было впихнуть любой адрес отправителя а только тот username который был указан при логине и домене который прописан в базе или хотя-бы чтобы только с моего домена, это вообще реально? Если да то как могло-бы выглядеть это правило? Пользователи и домены хранятся в базе(mysql)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35475
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Alex Keda » 2012-05-18 21:09:09

поиск по форуму не осилили?

Код: Выделить всё

                # Прибиваем всех, у кого авторизационные данные  не совпадает с адресом отправителя
                deny    message         = "Address ($sender_address) does not match with authenticated data ($authenticated_id). Check your email program settings."
                        authenticated   = *
                        condition       = ${if !eq{$authenticated_id}{$sender_address} {yes}{no}}
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35475
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Alex Keda » 2012-05-18 21:09:58

подумалось, лучше конечно eqi юзать....
Убей их всех! Бог потом рассортирует...

Leon
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-25 18:31:02

Re: Проблема со спамером в EXIM

Непрочитанное сообщение Leon » 2012-05-19 14:21:21

Спасибо! Работает как надо. А что за "eqi"?