Страница 1 из 1
спамеры подменяют ip?
Добавлено: 2007-03-15 10:35:05
Urgor
Прислали тут письмо с жалобой на спам... Заголовки спама:
Код: Выделить всё
Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
by cantv.net with esmtp (@6U:)21'0 5,:.)
id O'Z*,--+BT.*0-Y/
for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180
Среди этих заголовков что-то не вижу отметок своего сервака о приеме и отправке, в логах тоже ничего похожего нет...
Вот заголовки нормального письма прошедшего через сервак:
Код: Выделить всё
Received: from rs34s6.datacenter.cha.cantv.net ([200.44.32.239])
by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
(envelope-from <do-not-reply@abuso.cantv.net>)
id 1HRRkC-000OT9-UK
for postmaster@mbfkk.spb.ru; Wed, 14 Mar 2007 14:34:13 +0300
Received: from localhost.localdomain (rs34s6.datacenter.cha.cantv.net [127.0.0.1])
by rs34s6.datacenter.cha.cantv.net (8.11.6/8.11.6) with ESMTP id l2EBSnV19625;
Wed, 14 Mar 2007 07:28:49 -0400
Два вопроса: 1. Шо делать? 2. Кому бить морду?
Добавлено: 2007-03-15 13:53:53
dikens3
Не понял, твой IP какой?
Если:
То пров откровенно мудак:
Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
Заголовки давно уже подделывают, и спам фильты тоже по ним проходят, с целью выявления аномалий и т.п.
Здесь есть твои данные? IP-Адрес?
Код: Выделить всё
Received: from rs25s8.datacenter.cha.cantv.net (rs25s8.ric.cantv.net [10.128.131.130])
by rs26s7.datacenter.cha.cantv.net (8.13.8/8.13.0/1.0) with ESMTP id l2E9d2nk008186;
Wed, 14 Mar 2007 05:39:02 -0400
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
Wed, 14 Mar 2007 05:39:02 -0400
X-Matched-Lists: []
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
by cantv.net with esmtp (@6U:)21'0 5,:.)
id O'Z*,--+BT.*0-Y/
for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180
Добавлено: 2007-03-15 14:32:35
Urgor
Вот заголовок письма от меня мне же на маил.ру
Код: Выделить всё
Received: from [84.204.194.250] (port=61970 helo=mail.mbfkk.spb.ru)
by mx13.mail.ru with esmtp
id 1HRmGn-00069G-00
for sstsm@mail.ru; Thu, 15 Mar 2007 12:29:13 +0300
Received-SPF: none (mx13.mail.ru: 84.204.194.250 is neither permitted nor denied by domain of mbfkk.spb.ru) client-ip=84.204.194.250; envelope-from=admin[at]mbfkk.spb.ru; helo=mail.mbfkk.spb.ru;
Received: from urgor2.mbfkk.spb.ru ([192.168.2.37])
by mail.mbfkk.spb.ru with esmtp (Exim 4.66 (FreeBSD))
(envelope-from <admin[at]mbfkk.spb.ru>)
id 1HRmKN-000Av2-S3
for xxxxxx[at]mail.ru; Thu, 15 Mar 2007 12:32:55 +0300
Здесь есть твои данные? IP-Адрес?
Только ip. Вот в этой строке:
Код: Выделить всё
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?Они должны быть ниже этой строки, но там:
Код: Выделить всё
Received: from 217.72.192.188 (HELO mx-ha02.web.de)
by cantv.net with esmtp (@6U:)21'0 5,:.)
id O'Z*,--+BT.*0-Y/
for $munged$@$munged$; Wed, 14 Mar 2007 09:39:02 -0180
Т.е. вообще х...ня какая-то....
Добавлено: 2007-03-15 15:31:16
dikens3
ХЗ чё сказать.
Если сравнить с тем что выше (пример с маил.ру), то где отметки моего сервака?
Их действительно нет, согласен. Странно это. Может у тя висит ещё что-нибудь, что посылает письма спамеров?
rkhunter попробуй.
Твой сервер
всегда ставит отметку. В данном случае это не он скорее всего посылал.
Но IP-Адрес твой.
Пров прав, ты ему прислал письмо, и проблема твоя.
Может через www что-нибудь посылается?
Я копировал бы все письма exim'ом и посмотрел точно, он или не он.
Пров сообщит когда было отправлено, я бы посмотрел, отправлял мой сервак это письмо(копия же есть) или нет.
Посмотри логи exim:
Received: from mail.mbfkk.spb.ru (mail.mbfkk.spb.ru [84.204.194.250])
by rs25s8.datacenter.cha.cantv.net (8.13.8/8.13.0/3.0) with ESMTP id l2E9d0rK003096;
Wed, 14 Mar 2007 05:39:02 -0400
Добавлено: 2007-03-16 8:50:13
Urgor
Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Добавлено: 2007-03-19 11:59:15
dikens3
Urgor писал(а):Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Да ладно, хорошо, что решил.
P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.
Добавлено: 2007-03-30 10:40:38
jeweller
dikens3 писал(а):Urgor писал(а):Все. Поймал засранцев. Были затроянены машины соседней конторы, которые через нат в инет ходили и про которых я совсем забыл. А сервак чист и почти не при чем.
dikens3 респект за помощь в разрешении вопроса!
Да ладно, хорошо, что решил.
P.S. 100 раз уже обсуждалось, закрывайте 25,110 порты или смотрите лучше. Трояны давно уже такие стали.
Ну как ж их закроешь если почта бывает нужной... если открыть порты только для локальных и разрешенных сетей, то можно будет только отправлять почту локально и с этих самых разрешенных сетей. а как быть с людьми по другую сторону экрана так сказать? нужые письма ж тогда не прийдут...