спамеры подменяют ip?

[Urgor]

Прислали тут письмо с жалобой на спам... Заголовки спама:

Код: Выделить всё

Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
        by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
        Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
        by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
        Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
     by cantv.net with esmtp (@6U:)21'0 5,:.)
     id O'Z*,--+BT.*0-Y/
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180

Среди этих заголовков что-то не вижу отметок своего сервака о приеме и отправке, в логах тоже ничего похожего нет...
Вот заголовки нормального письма прошедшего через сервак:

Код: Выделить всё

Received: from rs34s6.datacenter.cha.cantv.net ([200.44.32.239])
        by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
        (envelope-from <do-not-reply@abuso.cantv.net>)
        id 1HRRkC-000OT9-UK
        for postmaster@mbfkk.spb.ru; Wed, 14 Mar 2007 14:34:13 +0300
Received: from localhost.localdomain (rs34s6.datacenter.cha.cantv.net [127.0.0.1])
        by rs34s6.datacenter.cha.cantv.net (8.11.6/8.11.6) with ESMTP id l2EBSnV19625;
        Wed, 14 Mar 2007 07:28:49 -0400

Два вопроса: 1. Шо делать? 2. Кому бить морду?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Не понял, твой IP какой?
Если:

Received: from rs34s6.datacenter.cha.cantv.net ([200.44.32.239])
by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
(envelope-from <do-not-reply@abuso.cantv.net>)
id 1HRRkC-000OT9-UK
for postmaster@mbfkk.spb.ru; Wed, 14 Mar 2007 14:34:13 +0300

То пров откровенно мудак:

Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])

Заголовки давно уже подделывают, и спам фильты тоже по ним проходят, с целью выявления аномалий и т.п.

Здесь есть твои данные? IP-Адрес?

Код: Выделить всё

Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
        by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
        Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
        by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
        Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
     by cantv.net with esmtp (@6U:)21'0 5,:.)
     id O'Z*,--+BT.*0-Y/
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180

[Urgor]

Вот заголовок письма от меня мне же на маил.ру

Код: Выделить всё

Received: from [84.204.194.250] (port=61970 helo=mail.mbfkk.spb.ru)
        by mx13.mail.ru with esmtp 
        id 1HRmGn-00069G-00
        for sstsm@mail.ru; Thu, 15 Mar 2007 12:29:13 +0300
Received-SPF: none (mx13.mail.ru: 84.204.194.250 is neither permitted nor denied by domain of mbfkk.spb.ru) client-ip=84.204.194.250; envelope-from=admin[at]mbfkk.spb.ru; helo=mail.mbfkk.spb.ru;
Received: from urgor2.mbfkk.spb.ru ([192.168.2.37])
        by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
        (envelope-from <admin[at]mbfkk.spb.ru>)
        id 1HRmKN-000Av2-S3
        for xxxxxx[at]mail.ru; Thu, 15 Mar 2007 12:32:55 +0300

Здесь есть твои данные? IP-Адрес?

Только ip. Вот в этой строке:

Код: Выделить всё

Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])

Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?Они должны быть ниже этой строки, но там:

Код: Выделить всё

Received: from 217.72.192.188 (HELO mx-ha02.web.de) 
     by cantv.net with esmtp (@6U:)21'0 5,:.) 
     id O'Z*,--+BT.*0-Y/ 
     for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180

Т.е. вообще х...ня какая-то....

[dikens3]

ХЗ чё сказать.

Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?

Их действительно нет, согласен. Странно это. Может у тя висит ещё что-нибудь, что посылает письма спамеров?
rkhunter попробуй.

Твой сервер всегда ставит отметку. В данном случае это не он скорее всего посылал. Но IP-Адрес твой.

Пров прав, ты ему прислал письмо, и проблема твоя.
Может через www что-нибудь посылается?

Я копировал бы все письма exim'ом и посмотрел точно, он или не он.

Пров сообщит когда было отправлено, я бы посмотрел, отправлял мой сервак это письмо(копия же есть) или нет.

Посмотри логи exim:

Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
Wed, 14 Mar 2007 05:39:02 -0400

[Urgor]

Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!

[dikens3]

Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!

Да ладно, хорошо, что решил.

P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.

[jeweller]

Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!

Да ладно, хорошо, что решил.

P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.

Ну как ж их закроешь если почта бывает нужной... если открыть порты только для локальных и разрешенных сетей, то можно будет только отправлять почту локально и с этих самых разрешенных сетей. а как быть с людьми по другую сторону экрана так сказать? нужые письма ж тогда не прийдут...