Проблема со спамером в EXIM

[Leon]

На днях столкнулся с проблемой, за два дня лог exima забился на 800mb вот этой хренью:

Код: Выделить всё

2012-05-17 05:11:08 1SUqB7-0008J3-6y <= onlinebanking@ealerts.bankofamerica.com H=(USER) [64.31.25.92] I=[*мой ип*]:25 P=esmtpa A=auth_login:boris S=9968 from <onlinebanking@ealerts.bankofamerica.com> for deniserent@aol.com denise.rigdon@aol.com deniserigopoulos@aol.com deniserio@aol.com deniseriv117@aol.com denisern4health@aol.com denisern68@aol.com deniserob895@aol.com deniserofael@aol.com deniserohde@aol.com deniserollis@aol.com deniserosebrown@aol.com deniserubinpa@aol.com denisesalguero@aol.com denisesally00h@aol.com denise_sauer@aol.com denisesaun@aol.com denisesbarra@aol.com denisesblazin420@aol.com denisesboyd@aol.com
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** deniserent@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** denise.rigdon@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:11:08 1SUqB7-0008J3-6y ** ... всё не вставлял там дофига...
2012-05-17 05:11:08 1SUqBI-0008K9-A7 <= <> R=1SUqB7-0008J3-6y U=exim P=local S=13073 from <> for onlinebanking@ealerts.bankofamerica.com
2012-05-17 05:11:08 1SUqB7-0008J3-6y Completed

2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgota@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgyrl999@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:10 1STKOH-0003wy-7h == coldgyrl999@yahoo.com <Coldgyrl999@yahoo.com> R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 mta6.am0.yahoodns.net [72.30.235.6] Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 mta6.am0.yahoodns.net [72.30.235.6] Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 == brackerm@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1STeGp-0002Av-G3 == brackett26@yahoo.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-05-17 05:03:13 1SUq3d-00081P-4V <= <> R=1STeGp-0002Av-G3 U=exim P=local S=1679 from <> for online@ealerts.americanexpress.com
2012-05-17 05:03:13 1SUq3d-00081P-4V ** online@ealerts.americanexpress.com: Unrouteable address
2012-05-17 05:03:13 1SUq3d-00081P-4V Frozen (delivery error message)
2012-05-17 05:03:13 1STglp-000377-6u ** gmpetry1@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:03:13 1STglp-000377-6u ** gmpfrg81@aol.com R=dnslookup T=remote_smtp: retry time not reached for any host after a long failure period
2012-05-17 05:03:13 1SUNZp-0006yU-Bh == onlinebanking@ealerts.bankofamerica.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

После чего забилась очередь писем в exim. Сейчас уже всё в порядке этот ip я дропнул через iptables и вычистил очередь.

Open relay у меня закрыт:
Telnet

Код: Выделить всё

220 domain, ESMTP EXIM 4.77
HELO domain
250 domain Hello domain [client_ip]
MAIL FROM:onlinebanking@ealerts.bankofamerica.com
250 OK
RCPT TO:deniserent@aol.com
550 "Свободен. Это тебе не ОпенРелей."

Сообщения у меня можно отправлять только через ВЕБ т.е. только с localhost, а он подключился напрямую к 25 порту. Я так понимаю что эти письма не ушли но Exim он загрузил.
Подскажите, как с этим можно бороться?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

Код: Выделить всё

<= <> R=1SUqB7-0008J3-6y U=exim P=local S=13073 from <> for onlinebanking@ealerts.bankofamerica.com

как вы думаете зачем это телодвижение?

[Leon]

Я думаю это инъекция, для того чтобы обойти проверку. Как защитится я пока не нашел.

[Leon]

В общем немного покопавшись с тем как бот общается с сервером я увидел что он успешно авторизируется с логином boris(Как оказалось в базе он вообще был без пароля) и после этого получает доступ к отправке сообщений.

Подскажите, как сделать чтобы даже авторизированые пользователи не могли использовать сервер как ОткрытыйРелей ?

[Leon]

Наверно немного не правильно задал вопрос. Как сделать, чтобы авторизированые пользователи могли отсылать почту только если у них правильно указан "MAIL FROM:" т.е. чтобы нельзя было впихнуть любой адрес отправителя а только тот username который был указан при логине и домене который прописан в базе или хотя-бы чтобы только с моего домена, это вообще реально? Если да то как могло-бы выглядеть это правило? Пользователи и домены хранятся в базе(mysql)

[Alex Keda]

поиск по форуму не осилили?

Код: Выделить всё

                # Прибиваем всех, у кого авторизационные данные  не совпадает с адресом отправителя
                deny    message         = "Address ($sender_address) does not match with authenticated data ($authenticated_id). Check your email program settings."
                        authenticated   = *
                        condition       = ${if !eq{$authenticated_id}{$sender_address} {yes}{no}}

[Alex Keda]

подумалось, лучше конечно eqi юзать....

[Leon]

Спасибо! Работает как надо. А что за "eqi"?