Спам сообщение

[polosaty]

От нашего доменного имени отправляется спам. Разъясните пожалуйста ситуацию

Return-Path: <mipoteka@iss.ru>
Received: from [109.70.25.150] (HELO mx01.nicmail.ru)
by fcgp09.nicmail.ru (CommuniGate Pro SMTP 5.2.3)
with ESMTP id 141242004 for st@omekron.ru; Mon, 07 Oct 2013 12:01:18 +0400
Received: from mail12.tpgi.com.au ([203.12.160.162]:52238)
by mx01.nicmail.ru with esmtp (Exim 5.55)
(envelope-from <mipoteka@iss.ru>)
id 1VT5ki-000Gnd-Ab
for st@omekron.ru; Mon, 07 Oct 2013 12:01:17 +0400
X-TPG-Junk-Status: Message not scanned
X-TPG-Abuse: host=14-203-3-221.static.tpgi.com.au; ip=14.203.3.221; date=Mon, 7 Oct 2013 18:59:23 +1100
Received: from liquid-svr1.liquid.local (14-203-3-221.static.tpgi.com.au [14.203.3.221])
by mail12.tpgi.com.au (envelope-from mipoteka@iss.ru) (8.14.3/8.14.3) with ESMTP id r977v5Xv008450;
Mon, 7 Oct 2013 18:59:23 +1100
Received: from Unknown ([121.22.127.17]) by liquid-svr1.liquid.local with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 7 Oct 2013 18:28:57 +1030
Message-ID: <85D74DD3022D4E2A85BC59AC1B092CBC@hzphx>
From: =?windows-1251?B?zeDy4Ov8/yDC4PHo6/zl4u3g?= <mipoteka@iss.ru>
To: =?windows-1251?B?wuXx5evu4vHq6Okg0eXw4+Xp?= <uf@mail.khv.ru>
Subject: =?windows-1251?B?zcDEzsXLziDv6+Dy6PL8IOTl7fzj6CDn4CDw?=
=?windows-1251?B?4PHq8PPy6vMg8eDp8uAg4vHr5e/z/j8=?=
Date: Mon, 7 Oct 2013 11:56:34 +0400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_08AA_01CEC354.454DF850"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8089.726
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8089.726
X-OriginalArrivalTime: 07 Oct 2013 07:58:57.0839 (UTC) FILETIME=[13827BF0:01CEC333]
Received-SPF: softfail
X-Spam-Rating: 96.89

This is a multi-part message in MIME format.

------=_NextPart_000_08AA_01CEC354.454DF850
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_08AB_01CEC354.454DF850"


------=_NextPart_001_08AB_01CEC354.454DF850
Content-Type: text/plain;
charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

=C8=ED=F4=EE=F0=EC=E0=F6=E8=FF =E2=EE =E2=EB=EE=E6=E5=ED=ED=EE=EC =F4=E0=E9=
=EB=E5

------=_NextPart_001_08AB_01CEC354.454DF850
Content-Type: text/html;
charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=3D"text/html; charset=3Dwindows-1251" http-equiv=3DContent-=
Type>
<META name=3DGENERATOR content=3D"MSHTML 9.00.8112.16437">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT size=3D2 face=3DArial>=C8=ED=F4=EE=F0=EC=E0=F6=E8=
=FF =E2=EE =E2=EB=EE=E6=E5=ED=ED=EE=EC=20
=F4=E0=E9=EB=E5</FONT></DIV></BODY></HTML>

------=_NextPart_001_08AB_01CEC354.454DF850--

------=_NextPart_000_08AA_01CEC354.454DF850
Content-Type: application/msword;
name="=?windows-1251?B?zcXSIPDl5/Pr/PLg8uAg7/Du5OLo5uXt6P8g?=
=?windows-1251?B?8eDp8uAg4iDf7eTl6vHlLmRvYw==?="
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="=?windows-1251?B?zcXSIPDl5/Pr/PLg8uAg7/Du5OLo5uXt6P8g?=
=?windows-1251?B?8eDp8uAg4iDf7eTl6vHlLmRvYw==?="

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ChihPih]

на вирусы проверяйте машины, с которых разрешено письма слать и сам сервак за одно.

[ASY]

Received: from liquid-svr1.liquid.local (14-203-3-221.static.tpgi.com.au [14.203.3.221])
by mail12.tpgi.com.au (envelope-from mipoteka@iss.ru) (8.14.3/8.14.3) with ESMTP id r977v5Xv008450;
Mon, 7 Oct 2013 18:59:23 +1100121.22.127.17
Received: from Unknown ([121.22.127.17]) by liquid-svr1.liquid.local with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 7 Oct 2013 18:28:57 +1030

А сервер - mail12.tpgi.com.au ? Или что-то поближе ? Зараженный хост, очевидно, 14.203.3.221. Этот вот 121.22.127.17, вероятно, ложная запись. Ну а From: <mipoteka@iss.ru> - это вовсе от балды.

[ASY]

Или всё ещё прозаичнее: 14-203-3-221.static.tpgi.com.au [14.203.3.221] open relay. Правда полной уверенности ещё нет. Письмо он от меня принял:

Код: Выделить всё

354 Start mail input; end with <CRLF>.<CRLF>
test
.
250 2.6.0 <LIQUID-SVR1H2poqp7Y0000036a@liquid-svr1.liquid.local> Queued mail for delivery

Но вот ко мне оно не пришло ещё. То ли придёт, то ли, всё же, там есть какой-то фильтр.

[moury]

Очень странно, что у Вас оказалось письмо с заголовками. Я могу предположить, что Вам прислали жалобу на спам от Вашего домена. Не из ру-центра ли? Если это - так, то профессионализм российских телекоммуникационных фирм падает слишком быстро.

Если хотите уменьшить вероятность подделки под Ваш домен, измените в SPF-записи "~all" на "-all". Это может вызвать проблемы, если Ваши юзеры подпишутся на неграмотно настроенные рассылки, но почтовики, на которых включена проверка SPF. такой спам не примут.

Остальные почтовики такой спам получат, увы. Больше всего проблем доставляют неграмотные администраторы чужих почтовых систем.

И, пожалуйста, оформляйте свои тексты.

[ASY]

измените в SPF-записи "~all" на "-all". Это может вызвать проблемы

SPF - одна большая проблема. -all не нужен.

[polosaty]

Спасибо большое за информацию. На вирусы почтовый сервер проверил, ничего не нашел. Ситуация была такая: У нас домен: iss.ru, и наши коллеги сообщили нам, что от нашего адреса mipoteka@iss.ru исходит спам, а этого адреса у нас нет. Есть ли какой-нибудь выход из данной ситуации? Поможет ли просто изменение SPF записи?

[ChihPih]

На вирусы почтовый сервер проверил, ничего не нашел.

На вирусы надо еще проверять рабочии станции пользователей, которые имеют учетки на почтовике.

У нас домен: iss.ru, и наши коллеги сообщили нам, что от нашего адреса mipoteka@iss.ru исходит спам, а этого адреса у нас нет. Есть ли какой-нибудь выход из данной ситуации?

В первом посте, я так понимаю, предоставлено спам сообщение, которое они получили?
А вообще не понятно, точнее нет информации от вас по именам и ip адресам ваших почтовых серверов и людей, которые пожаловались. Так остается только гаданием заниматься.

Поможет ли просто изменение SPF записи?

Если спам шлется не с вашео сервера и у получателей правильно настроен почтовик, то да.

[ASY]

Поможет ли просто изменение SPF записи?

Если спам шлется не с вашео сервера и у получателей правильно настроен почтовик, то да.

Только это, во-первых, борьба со следствием, а не с причиной, а, во-вторых, может помешать нормальному пользователю воспользоваться ближайшим релеем для отправки сообщений. И, как следствие, это потянет необходимость настройки и использования авторизации на своём сервере. При этом, из какой-нибудь республики "Мумба-юмба" до него ещё и связь хреновая может быть... В общем, SPF - это не лучшая далеко идея во многих случаях.

[ASY]

Спасибо большое за информацию. На вирусы почтовый сервер проверил, ничего не нашел.

Естественно. Я же написал, кто и где проверяться должен. При условии, что заголовок правильный.
E-Mail для отсылки жалобы на спам покажет "whois 203.12.160.162".

[moury]

измените в SPF-записи "~all" на "-all". Это может вызвать проблемы

SPF - одна большая проблема. -all не нужен.

ASY, все было хорошо, когда спамеры предпочитали передавать спам с зараженных рабочих станций напрямую. Сейчас основной поток спама - через официальные почтовые серверы. А рассчитанные на спамботы технологии (тот же грейлистинг) против почтового сервера не применишь.

Сейчас приходится вдумчиво играться с SPF и автоматическими черными списками.

Однако к polosaty это имеет лишь теоретическое отношение - его корреспонденты используют nicmail, которую не контролируют. И в заголовках упоминания об SPF нет. Значит, спам от поддельных адресов iss.ru почтовик nicmail все равно примет.

[ASY]

Сейчас основной поток спама - через официальные почтовые серверы. А рассчитанные на спамботы технологии (тот же грейлистинг) против почтового сервера не применишь.

Я, всё же, не оставляю надежду, что люди, занимающиеся контролем почтовых серверов у сервис-провайдеров, поглядывают за количеством ошибок доставки и, хотябы время от времени, занимаются своими клиентами. В общем, я не вижу у себя катастрофичного объёма именно с вменяемых серверов, где видно, что люди руки приложили, про ревес подумали и т.п. Больше это всё касается бездумно созданных VPS, c автоматически назначенным хостером реверсом. Ну а для таких можно гайки подкрутить разными способами.

[ChihPih]

Только это, во-первых, борьба со следствием, а не с причиной, а, во-вторых, может помешать нормальному пользователю воспользоваться ближайшим релеем для отправки сообщений. И, как следствие, это потянет необходимость настройки и использования авторизации на своём сервере. При этом, из какой-нибудь республики "Мумба-юмба" до него ещё и связь хреновая может быть... В общем, SPF - это не лучшая далеко идея во многих случаях.

Я же написал, что при правильном использовании может помочь. Никто же не засталвяет отшибать письма только по одному критерию, можно сделать анализ отправителя, так сказать на основе спам очков, будет гибко и комплексно.

И, как следствие, это потянет необходимость настройки и использования авторизации на своём сервере.

Легетимные пользователи почтовой системы должны проходить авторизацию, ибо процесс отправки писем пользователями ставится бесконтрольным. ИМХО

[ASY]

Легетимные пользователи почтовой системы должны проходить авторизацию, ибо процесс отправки писем пользователями ставится бесконтрольным. ИМХО

Это имеет смысл только в случае, если отправитель в чужой сети. Для своих сетей требовать авторизацию - не сильно хорошее решение, да и обязательность обслуживания E-Mail из From сильно под вопросом. Скажем, у меня E-Mail я@вася.ру, но оператор Интернет у меня - какой-нибудь Ростелеком. И, в нормальной ситуации, я должен иметь возможность слать почту через ростелекомовский абонентский релей. При этом, Ростелеком в состоянии проанализировать мою активность (по ошибкам доставки/контенту/разное) и отключить за спам, если что.

А если я пропишу для вася.ру "-all", а кто-то это будет проверять... В общем, будет облом.

[ChihPih]

Это имеет смысл только в случае, если отправитель в чужой сети. Для своих сетей требовать авторизацию - не сильно хорошее решение

Как раз нет, почему, потому что этого фигово с точки зрения безопасности, любая зараженная станция сможет проспамить, также если произойдет утечка информации с ограничительным грифом, то расследованию такой подход не поможет.

Скажем, у меня E-Mail я@вася.ру, но оператор Интернет у меня - какой-нибудь Ростелеком. И, в нормальной ситуации, я должен иметь возможность слать почту через ростелекомовский абонентский релей. При этом, Ростелеком в состоянии проанализировать мою активность (по ошибкам доставки/контенту/разное) и отключить за спам, если что.

И работа на предприятии с электронной почтой встанет.

А если я пропишу для вася.ру "-all", а кто-то это будет проверять... В общем, будет облом.

Можно указывать несколько адресов для домена, с которых возможна отправка.

[ASY]

Как раз нет, почему, потому что этого фигово с точки зрения безопасности, любая зараженная станция сможет проспамить,

Если речь об офисных компьютерах, они ровно так же пошлют и с авторизацией. Пользователя же не заставишь пароль вводить всегда, он будет сохранён в учётной записи.

также если произойдет утечка информации с ограничительным грифом, то расследованию такой подход не поможет.

Авторизация не поможет так же. Если это будет целенаправленно, обойдутся и без электронной почты, а если по разгильдяйству, пошлют точно так же.

Скажем, у меня E-Mail я@вася.ру, но оператор Интернет у меня - какой-нибудь Ростелеком. И, в нормальной ситуации, я должен иметь возможность слать почту через ростелекомовский абонентский релей. При этом, Ростелеком в состоянии проанализировать мою активность (по ошибкам доставки/контенту/разное) и отключить за спам, если что.

И работа на предприятии с электронной почтой встанет.

Это нормально. На предприятии должен быть сисадмин, который должен уметь следить за своим хозяйством и быстро реагировать на проблемы такого рода. И быстрее провайдера.

А если я пропишу для вася.ру "-all", а кто-то это будет проверять... В общем, будет облом.

Можно указывать несколько адресов для домена, с которых возможна отправка.

Совсем не всегда можно знать список заранее.

[ChihPih]

Если речь об офисных компьютерах, они ровно так же пошлют и с авторизацией. Пользователя же не заставишь пароль вводить всегда, он будет сохранён в учётной записи.

Зато можно настроить ограничение в виде количества отправляемых писем за определенный период и точно идентифицировать нарушителя.

Авторизация не поможет так же. Если это будет целенаправленно, обойдутся и без электронной почты, а если по разгильдяйству, пошлют точно так же.

С расследованием будет проще, поскольку в упорядоченной системе искать информацию гораздо проще

Это нормально. На предприятии должен быть сисадмин, который должен уметь следить за своим хозяйством и быстро реагировать на проблемы такого рода. И быстрее провайдера.

Это не нормально, когда встает производственный процесс...
В моем понимании, нормальный админ, это человек появляющийся раз в месяц только за зарплатой

Совсем не всегда можно знать список заранее.

Хм, опять же бесконтрольный процесс... Яндексы, гуглы и т.п. пользуют SPF

[moury]

Если хотите, можно устроить флейм. Повода к отсутствию флейма не имеется

С почтой, к сожалению, давать конкретные советы нельзя совсем - у каждого домена своя специфика, свой круг корреспондентов и источники спама. Общие советы - единые (авторизация, наличие SPF-записи и т. д.), а дальше начинается самое важное - детали, по которым админ принимает решение сам. И он должен знать все методики, чтобы принять осознанное решение.

По поводу дискуссии.

ASY, Вы пишете, что с вменяемых серверов спама почти нет. Но ведь с системами с вменяемыми админами проблем не возникает никогда! Проблемы - от малоквалифицированных админов!
А уровень специалистов падает на глазах. Не умеют анализировать заголовки саппорты valuehost.ru и reg.ru. Попробуйте пожаловаться на спам от корпоративного клиента МТС!
Поэтому и приходится строить сложные acl с использованием всех доступных технологий, которые обеспечивают хождение валидной почты, но максимально эффективно отсекают спам.
Вы не любите SASL-авторизацию и SPF, но это - лишь от того, что ни не подходят для конкретно Вашей почтовой системы.
Давайте лучше аргументированно обсуждать их достоинства и недостатки, чтобы другие админы могли осознанно их применять или от них отказываться.

ChihPih,по большинству описанных Вами грабель я проходил, и очень Вас понимаю. Однако отмечу вот что.

Первое: Спамеры меняют технологию рассылки спама примерно раз в квартал. У меня на ежедневный анализ почтовой статистики и спама - от получаса до двух часов, плюс раз в месяц-два - глубокий анализ с модернизацией защиты.
Второе: Надо регулярно давать начальству отчеты о работе, в том числе, над почтовой системой. Иначе решат, что бездельник, и заменят на более эффектного. Я отчетов не давал, но реагирую на каждый режект исходящей почты.

Так что ограничиться явкой за зарплатой не получится.

[ASY]

С расследованием будет проще, поскольку в упорядоченной системе искать информацию гораздо проще

Это всё легко делается по IP. И лимиты, и упорядочивание, и всё остальное. Когда речь про подконтрольные сети, конечно.

Это не нормально, когда встает производственный процесс...
В моем понимании, нормальный админ, это человек появляющийся раз в месяц только за зарплатой

Если только он обеспечил, чтобы производственный процесс не вставал. :-) Он может не являться, если квалификация позволяет, только вот контролировать ситуацию он должен постоянно. Хоть с планшета на пляже, хоть sms-ки получать с отчётами и информацией о проблемах. И быть готовым решить проблему или с того же планшета, или метнувшись на работу в любое время, в зависимости от уровня проблемы.

Хм, опять же бесконтрольный процесс... Яндексы, гуглы и т.п. пользуют SPF

У яндексов и гуглов своя специфика. Плюс не надо забывать о бесплатности и, следовательно, безответственности для части их сервисов.

[ASY]

Если хотите, можно устроить флейм. Повода к отсутствию флейма не имеется

:-)

А уровень специалистов падает на глазах. Не умеют анализировать заголовки саппорты valuehost.ru и reg.ru. Попробуйте пожаловаться на спам от корпоративного клиента МТС!

Никак не могу не согласиться. Про почту перечисленных не скажу, но могу добавить про Apple и Мегафон. А что касается reg.ru, они DNS настраивать не умеют (да-да, именно то, с чем работают; я им года два пишу, время от времени, а с начала этого года у них висит Ticket#2013013110006123, что-то, даже, исправлять пытались... Сейчас проверил, всё ещё есть проблема).

Давайте лучше аргументированно обсуждать их достоинства и недостатки, чтобы другие админы могли осознанно их применять или от них отказываться.

Ну так и обсуждаем же. :-)
SPF я написал, почему плохо и почему "-all" далеко не всем следует использовать. Что касается SMTP-авторизации (sasl или нет - не важно, кстати), я не то, чтобы против... Учитывая, что появилось много операторов, мобильные, например, которые своим клиентам smtp-релей не предоставляют, без сервера с возможностью отправки с авторизацией уже сложно. Но это не мешает мне бурчать на тему, что отправлять всё же, лучше через ближайший smtp-сервер: трафик так ходит оптимальнее. А ближайший, операторский, должен ориентироваться по IP. Хотя, конечно, доля smtp-трафика сейчас на фоне http-то мизерная, а уж если торренты взять всякие, её и не видно...

[ASY]

Про почту перечисленных не скажу, но могу добавить про Apple и Мегафон

И по gmail, кстати тоже можно проехаться. Правда, ошибок явных я не видел, но найти там человека, а не робота, никак невозможно. По крайней мере, для решения вопросов по доставке почты на бесплатный почтовый хостинг.

[moury]

ASY, вопрос сводится к квалификации сисадминов - и Вас, и удаленных систем, и абстрактных. Последствия квалификации - сформулированные цели защиты от спама. У меня, например - во время SMTP-сессии отсеять явный спам, остальное принять; окончательное решение - за адресатом. Поэтому я заинтересован в "-all".

Кто-то делает балльную систему во время SMTP- сессии, кто-то на этапе фильтрации - их устроит и "~all".

Минус, все-таки, надежнее. Поэтому, если контролируешь свою систему и переписку, ставь "минус". Нет - ставь хоть "тильду", но SPF-запись должна быть!

Вот только SPF прописывает кто-то другой. И он может оказаться махровым индивидуалистом.

Так что все опять сводится к тому, что защиту от спама планируешь сам, и технологии выбираешь сам. И думаешь за идиотов.

[rayder]

А у нас, например, ~all приравнивается к -all
Ибо если начали прописывать spf, значит хотят как-то себя обезопасить. А так получается что-то вроде "Ну мы тут хотим типа запретить левую почту с нашего домена, но пусть она все-таки ходит..." - что как-то нелогично

[moury]

Я тоже запрещаю почту @mail.ru, @yandex.ru от хостов с бекрезолвом в других доменах. Но об этом т-с-с-с! Никому ни слова!