спамеры подменяют ip?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Urgor
лейтенант
Сообщения: 662
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

спамеры подменяют ip?

Непрочитанное сообщение Urgor » 2007-03-15 10:35:05

Прислали тут письмо с жалобой на спам... Заголовки спама:

Код: Выделить всё

Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
        by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
        Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
        by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
        Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
     by cantv.net with esmtp (@6U:)21'0 5,:.)
     id O'Z*,--+BT.*0-Y/
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180
Среди этих заголовков что-то не вижу отметок своего сервака о приеме и отправке, в логах тоже ничего похожего нет...
Вот заголовки нормального письма прошедшего через сервак:

Код: Выделить всё

Received: from rs34s6.datacenter.cha.cantv.net ([200.44.32.239])
        by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
        (envelope-from <do-not-reply@abuso.cantv.net>)
        id 1HRRkC-000OT9-UK
        for postmaster@mbfkk.spb.ru; Wed, 14 Mar 2007 14:34:13 +0300
Received: from localhost.localdomain (rs34s6.datacenter.cha.cantv.net [127.0.0.1])
        by rs34s6.datacenter.cha.cantv.net (8.11.6/8.11.6) with ESMTP id l2EBSnV19625;
        Wed, 14 Mar 2007 07:28:49 -0400
Два вопроса: 1. Шо делать? 2. Кому бить морду?
Власть в руках у чужаков, и ты им платишь дань...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-15 13:53:53

Не понял, твой IP какой?
Если:
Received: from rs34s6.datacenter.cha.cantv.net ([200.44.32.239])
by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
(envelope-from <do-not-reply@abuso.cantv.net>)
id 1HRRkC-000OT9-UK
for postmaster@mbfkk.spb.ru; Wed, 14 Mar 2007 14:34:13 +0300
То пров откровенно мудак:
Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
Заголовки давно уже подделывают, и спам фильты тоже по ним проходят, с целью выявления аномалий и т.п.

Здесь есть твои данные? IP-Адрес?

Код: Выделить всё

Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
        by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
        Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
        by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
        Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
     by cantv.net with esmtp (@6U:)21'0 5,:.)
     id O'Z*,--+BT.*0-Y/
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180

Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Urgor
лейтенант
Сообщения: 662
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2007-03-15 14:32:35

Вот заголовок письма от меня мне же на маил.ру

Код: Выделить всё

Received: from [84.204.194.250] (port=61970 helo=mail.mbfkk.spb.ru)
        by mx13.mail.ru with esmtp 
        id 1HRmGn-00069G-00
        for sstsm@mail.ru; Thu, 15 Mar 2007 12:29:13 +0300
Received-SPF: none (mx13.mail.ru: 84.204.194.250 is neither permitted nor denied by domain of mbfkk.spb.ru) client-ip=84.204.194.250; envelope-from=admin[at]mbfkk.spb.ru; helo=mail.mbfkk.spb.ru;
Received: from urgor2.mbfkk.spb.ru ([192.168.2.37])
        by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
        (envelope-from <admin[at]mbfkk.spb.ru>)
        id 1HRmKN-000Av2-S3
        for xxxxxx[at]mail.ru; Thu, 15 Mar 2007 12:32:55 +0300
Здесь есть твои данные? IP-Адрес?
Только ip. Вот в этой строке:

Код: Выделить всё

Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?Они должны быть ниже этой строки, но там:

Код: Выделить всё

Received: from 217.72.192.188 (HELO mx-ha02.web.de) 
     by cantv.net with esmtp (@6U:)21'0 5,:.) 
     id O'Z*,--+BT.*0-Y/ 
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180
Т.е. вообще х...ня какая-то....
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-15 15:31:16

ХЗ чё сказать.
Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?
Их действительно нет, согласен. Странно это. Может у тя висит ещё что-нибудь, что посылает письма спамеров?
rkhunter попробуй.

Твой сервер всегда ставит отметку. В данном случае это не он скорее всего посылал. :-( Но IP-Адрес твой. :-(

Пров прав, ты ему прислал письмо, и проблема твоя. :-(
Может через www что-нибудь посылается?

Я копировал бы все письма exim'ом и посмотрел точно, он или не он.

Пров сообщит когда было отправлено, я бы посмотрел, отправлял мой сервак это письмо(копия же есть) или нет.

Посмотри логи exim:
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
Wed, 14 Mar 2007 05:39:02 -0400
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Urgor
лейтенант
Сообщения: 662
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2007-03-16 8:50:13

Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-19 11:59:15

Urgor писал(а):Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Да ладно, хорошо, что решил.

P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

jeweller
сержант
Сообщения: 189
Зарегистрирован: 2006-11-17 21:58:43
Откуда: Самара
Контактная информация:

Непрочитанное сообщение jeweller » 2007-03-30 10:40:38

dikens3 писал(а):
Urgor писал(а):Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Да ладно, хорошо, что решил.

P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.
Ну как ж их закроешь если почта бывает нужной... если открыть порты только для локальных и разрешенных сетей, то можно будет только отправлять почту локально и с этих самых разрешенных сетей. а как быть с людьми по другую сторону экрана так сказать? нужые письма ж тогда не прийдут...