спам посыпался!!!

[lomaker]

Доброго времени суток! Поставил exim с courier-imap по статье. Все сделал, все заработало. В статье написано что при данной конфигурации спам у автора отсутствует в принципе Ну я и обрадовался - думаю здорово, и спам-фильтров ставить не придется...!!! А тут проходит буквально месяц и вот он, дорогой, посыпался!!! Уж и не знаю во первых, откуда он мог взяться - сотрудников предупредил чтоб не светили ящики где попало, использовали только по работе. Откуда он полез? У самого подозрение - могли сервак бомбануть - последнее время мне на мой ящик сервачный ежедневно приходят мессаги следующего содержания:

Код: Выделить всё

Sep 25 05:10:31 mydomain sshd[27534]: error: PAM: authentication error for illegal user web5 from coloc82-044.singnet.com.sg
Sep 25 05:10:31 mydomain sshd[27534]: Failed keyboard-interactive/pam for invalid user web5 from 165.21.82.44 port 60608 ssh2

а также

Код: Выделить всё

Sep 24 14:51:48 mydomain sshd[17731]: reverse mapping checking getaddrinfo for 203-114-112-12.totisp.net [203.114.112.12] failed - POSSIBLE BREAK-IN ATTEMPT!

поясните пожалуйста, что это означает и как с этим бороться?

• Ну и если же всетаки эти нехорошие люди ломанули таки мой сервак по ssh, как мне отследить этот момент?
  Какие логи посмотреть?
  какую антиспаммерскую защиту лучше установить?
  И возможен ли такой вариант - прописать в экзиме списочек серверов(может даже самих почтовых адресов), с которых разрешено принимать почту, а от остальных вообще запросы даже на соединение не принимать, чтоб траффик не лез лишний?
  Ну и напоследок - лень читать доки - обьяснит может кто-нить - почта сперва принимается полностью, а потом отбрасывается спам-фильтром, или же принимается к примеру только заголовок(приветствие там, тема) и в случае если спам-фильтр определит что это спам, сообщение вообще не принимается?

Извиняюсь заранее за ламерство!!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lomaker]

добавлю - радует хотя бы то, что в логах пишется следующее:

Код: Выделить всё

Sep 25 00:21:28 mydomain exim[24167]: 2008-09-25 00:21:28 H=(cng.neutech.fi) [84.78.10.196] I=[xxx.xxx.xxx.xxx]:25 F=<lrunu2001@hof.sk> rejected RCPT <manager@mydomain>: "host in blacklist - cbl.abuseat.org

то есть екзим типо фильтрует кое что по блэклистам. Но самое страшное то, что у тех нехороших людей кто отсылал это сообщение оказывается откуда-то есть список всех моих почтовых ящиков!!! ОТкуда?!!!!!!
а вот пример редиски, которая смогла таки ко мне проломиться на ящик:

Код: Выделить всё

Sep 26 12:29:53 mydomain exim[59457]: 2008-09-26 12:29:53 no host name found for IP address 60.18.67.158
Sep 26 12:30:16 mydomain exim[59457]: 2008-09-26 12:30:16 DNS list lookup defer (probably timeout) for 158.67.18.60.opm.blitzed.org: assumed not in list
Sep 26 12:30:31 mydomain exim[59457]: 2008-09-26 12:30:31 DNS list lookup defer (probably timeout) for 158.67.18.60.bl.csma.biz: assumed not in list
Sep 26 12:30:46 mydomain exim[59457]: 2008-09-26 12:30:46 DNS list lookup defer (probably timeout) for 158.67.18.60.dynablock.njabl.org: assumed not in list
Sep 26 12:30:46mydomain exim[59457]: 2008-09-26 12:30:46 Delay 20s for  [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:31:06 mydomain exim[59457]: 2008-09-26 12:31:06 SMTP connection from (dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 lost while reading message data (header)
Sep 26 12:33:20 mydomain exim[59507]: 2008-09-26 12:33:20 no host name found for IP address 60.18.67.158
Sep 26 12:34:07 mydomain exim[59507]: 2008-09-26 12:34:07 Delay 20s for  [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:34:27 mydomain exim[59507]: 2008-09-26 12:34:27 SMTP connection from (dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 lost while reading message data (header)
Sep 26 12:35:28 mydomain exim[59526]: 2008-09-26 12:35:28 no host name found for IP address 60.18.67.158
Sep 26 12:36:01mydomain exim[59526]: 2008-09-26 12:36:01 Delay 20s for  [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:36:24 mydomain exim[59526]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl <= wov99@aat.cn H=(dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 P=esmtp S=984 from <wov99@aat.cn> for admin@mydomain.ru
Sep 26 12:36:24 mydomain exim[59533]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl => admin <admin@mydomain.ru> R=mysqluser T=mysql_delivery
Sep 26 12:36:24 mydomain exim[59533]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl Completed

как с этим бороться? что добавить и куда?

[Alex Keda]

бороться.
когда-то помогало одно, щас другое...

[lomaker]

бороться.
когда-то помогало одно, щас другое...

уважаемый lissyara, наверняка, учитывая твой опыт администрирования, ты сталкивался с подобным?! подскажи что-нибудь по данной проблеме, хотя бы наводку дай, в каком направлении двигаться!!! и если можно напиши как определить, залазил ли кто-то посторонний на мой сервер или нет? Ведь как-то они раздобыли все наши почтовые адреса!!!

[Alex Keda]

dspam

[lerryc]

бороться.
когда-то помогало одно, щас другое...

уважаемый lissyara, наверняка, учитывая твой опыт администрирования, ты сталкивался с подобным?! подскажи что-нибудь по данной проблеме, хотя бы наводку дай, в каком направлении двигаться!!! и если можно напиши как определить, залазил ли кто-то посторонний на мой сервер или нет? Ведь как-то они раздобыли все наши почтовые адреса!!!

скажу так......
во-первых - у вас две проблемы - спам (екзим) и стуканья по ssh (sshd)
1)по спаму на 25-й порт
он (порт) находится сканерами за 2-3 дня как правило и защиты от этого нет, выход: + фильтры + антиспам программа + (если можно) переехать с 25-го на другой порт

2) по ссш - тоже самое, находится за те же 2-3 дня - выход: переезд на другой порт или доступ только с разрешенных IP

3) емайлы "утекают" только так - я, например, регистрирую ящик на известных и не очень серверах и нигде и никогда не передаю эти адреса по октрытым сетям включая аськи, джаберы и иже с ними - через неделю (максимум) - адрес в спам рассылках

[lomaker]

спасибо за более менее вразумительный ответ!!!
Допустим я сменю порт, но они будут на другой порт ломиться, или они не смогут определить что на нем висит именно почтовик и перестанут спам кидать? теперь же мои адреса уже в спаммерских базах!!!
интересно - каким макаром емайлы утекают? мож вирь какой завелся...
по поводу ссш - пробовал искать как сделать доступ к нему с определенных ип адресов... Видимо плохо искал - подкиньте ссылочку?
кирдык в общем!!! Будем прыгать с бубном

[schizoid]

в конфиге на сайте указаны

Код: Выделить всё

  # Рубаем тех, кто в блэк-листах. Серваки перебираются
  # сверху вниз, если не хост не найден на первом, то
  # запрашивается второй, и т.д. Если не найден ни в одном
  # из списка - то почта пропускается.
  deny      message   = "you in blacklist - $dnslist_domain --> $dnslist_text; $dnslist_value"
      delay   = 30s
      dnslists   =   cbl.abuseat.org : \
               dynablock.njabl.org : \
               dul.dnsbl.sorbs.net : \
               list.dsbl.org : \
               sbl-xbl.spamhaus.org

заметил что 4 из них мертвые, кто какими сейчас пользуется?

[lomaker]

и как ты это заметил интересно

[schizoid]

в логах ошибка была

[kmb]

заметил что 4 из них мертвые, кто какими сейчас пользуется?

Я пользую эти:

Код: Выделить всё

          dnslists      = cbl.abuseat.org : \
                          dnsbl.njabl.org : \
                          combined.dynablock.org : \
                          bl.csma.biz :\
                          dul.ru :\
                          db.wpbl.info :\
                          sbl-xbl.spamhaus.org

За вчера статистика:

User Specified Patterns
Total
Host in Blacklist cn.countries.nerd.dk: 36647
Host in Blacklist br.countries.nerd.dk: 17192
Host in Blacklist nl.countries.nerd.dk: 995
Host in Blacklist il.countries.nerd.dk: 3723
Host in Blacklist it.countries.nerd.dk: 3650
Host in Blacklist pl.countries.nerd.dk: 13213
Host in Blacklist ro.countries.nerd.dk: 10990
Host in Blacklist th.countries.nerd.dk: 12965
blacklist - cbl.abuseat.org: 151507
blacklist - bl.csma.biz: 0
blacklist - sbl-xbl.spamhaus.org: 1111
blacklist - db.wpbl.info: 1635
blacklist - dnsbl.njabl.org: 1369
blacklist - dul.ru: 4088
blacklist - combined.dynablock.org: 0
In e-mail found VIRUS: 5

combined.dynablock.org Он не работал и не работает. А bl.csma.biz вроде фурычил, но сейчас видимо тоже в отрубе.

[lomaker]

спасибо kmb за списочег.
в продолжение темы - по статье http://www.lissyara.su/?id=1301 воткнул dspam. Проверил, как там написано - в логе нужные строчки были. В базу тоже данные добавились. Начал прикручивать его к экзиму. Прописал роутеры, транспорты. Пересылаю спам-сообщение на адрес с префиксом spam-. Смотрю в логи мэйла - пишет тыры-пыры completed, типо письмецо ушло... Смотрю - ни в папке /var/db/dspam/data ни в базе, ни еще где-либо никаких следов того, что он это сообщение схавал! Хэлп!!!

[Gegemon]

to lomaker (и наверное всем):
Проверить себя на предмет попадания в блэк-листы можешь здесь:
http://www.robtex.com/
Там же сервера, которые можно прикрутить к RBL.

[lomaker]

отлично - защел на вышеприведенный сайт. В поле "hostname, IP or AS" вбил свой айпишнег, жму "Go", пишет "not listed in any blacklists". Не мудрено - вроде не релей. Перехожу на вкладку "blacklists" и вижу кучу ссылок под грифами "timeout", "not whitelisted", "green". Вопрос - какие именно блэки использовать и из какого грифа?

Далее - как мне быть всетаки с моим dspam(см. чуть выше в теме)? Он не работает? Поправьте если не так

Ну и еще - нашел интересную статейку http://www.nclug.ru/content.php?article.132. Муля в том, что она написана для Линуха! Как ее адаптировать к статье Лисяры http://www.lissyara.su/?id=1175? С блэк-листами понятно - в статье они есть. С обратным разрешением имени хоста - не понял, есть или нет... Насчет черного списка попытаюсь предположить - нужно следующие строчки

Код: Выделить всё

deny
message = sender IP address $sender_host_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
!acl = acl_whitelist_local_deny
hosts = ${if exists{CONFDIR/local_host_blacklist}\
{CONFDIR/local_host_blacklist}\
{}}

поместить в "acl_check_rcpt:"? Или же синтаксис нужно видоизменить?

Ну и напоследок - я конечно сомневаюсь, что найдутся добрые люди, которые ответят мне на этот вопрос, но тем не менее задам. Хочется сделать такую вещь - сделать так, чтобы почта шла только с определенных мной доменов(в базе там или в файле), ито не вся, а к примеру если такое возможно, то прописать чтобы на определенный почтовый ящик в моем домене приходила только почта от определенных ящиков(опять же прописанных либо в базе либо в файле). По идее это возможно, только вопрос как? Кто знает реализацию не откажите - напишите как?!!!!!

[lomaker]

опробировал я это правило - не работает что-то! пропускает все письма с доменов блэклиста. в чем соль то? з.ы. предыдущие вопросы в силе

[lomaker]

извиняюсь - дело было в том, что надо было ребут сделать после ребута блэклист заработал!!! экзим рулит!!!

[lomaker]

только вот теперь встала проблемка с dspam - он гад с яндекса например письма не пускает, помещает их в папку /var/db/dspam/data/user@domain.ru.mbox. Что это за папка? Пробовал вынуть из нее это письмо и отправить на адрес notspam-user@domain.ru а он пишет что сигнатуры какого-то х... нет!!! Подскажите почему он вообще эти письма как спам классифицировал и как мне их в не-спам добавить, переобучить его?