Вытянули адреса с сервера ?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
atta
рядовой
Сообщения: 21
Зарегистрирован: 2008-04-22 3:36:14
Контактная информация:

Вытянули адреса с сервера ?

Непрочитанное сообщение atta » 2008-07-22 9:46:34

Подскажите как могли вытянуть адреса с сервера ?

Код: Выделить всё

Jul 22 15:37:21 mx1 exim[23233]: 1KLBUu-00062j-Os <= kickleaonlinejud@kleaonline.org H=([85.110.157.10]) [85.110.157.10] I=[195.206.50.158]:25 P=esmtp S=964 id=138793256.14206712347853@kleaonline.org from <kickleaonlinejud@kleaonline.org> for один@irkd.ru второй@irkd.ru третий@irkd.suu четвёртый@irkd.suu пятый@irkd.suu шестой@irkd.suu седьмой@irkd.suu восьмой@irkt.suu девятый@irkd.suu десятый@irkd.suu
Причем разные даты создания самих ящиков. очень странно. У кого какие мысли ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35341
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение Alex Keda » 2008-07-22 9:53:06

ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.
Убей их всех! Бог потом рассортирует...

atta
рядовой
Сообщения: 21
Зарегистрирован: 2008-04-22 3:36:14
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение atta » 2008-07-22 9:57:59

lissyara писал(а):ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.
т/е Вы с таким уже сталкивались ? И это нормально ?
Просто интересует, нет ли спец софта для вытягивания адресов с почтовиков.
Последний раз редактировалось atta 2008-07-22 9:59:44, всего редактировалось 1 раз.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35341
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение Alex Keda » 2008-07-22 9:59:24

да.
у меня например есь база адресов всех писем прошедщих через контору...
кто-то тоже собрал и продал =)))
мен смысла нет - мелкая, а вот любой средний почтовый сервис - имеет очень большую базу.
она денег стоит - и их продают.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение LMik » 2008-07-22 9:59:33

atta писал(а):
lissyara писал(а):ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.
т/е Вы с таким уже сталкивались ? И это нормально ?
Ну а чего не нормального? Спамеры ж не дураки, такие же одмины там ка мы тут все ;-)
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

atta
рядовой
Сообщения: 21
Зарегистрирован: 2008-04-22 3:36:14
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение atta » 2008-07-22 10:02:11

ht_tp://tests.nettools.ru/

есть такой тест E_Mail Valid:

как то же это проверяется.

Вот я к чему говорю.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение dikens3 » 2008-07-22 11:07:14

Проверяться может 2-мя путями.

1. командой VRFY, которая на 99% отключена.

Код: Выделить всё

VRFY user
2. Последовательностью команд, описанных в rfc.

Код: Выделить всё

EHLO МОЁ_EHLO
MAIL FROM: <>
RCPT TO: user
QUIT
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

shlash
мл. сержант
Сообщения: 82
Зарегистрирован: 2007-10-21 13:34:58
Откуда: С.-Петербург
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение shlash » 2008-07-26 13:03:51

atta писал(а):Подскажите как могли вытянуть адреса с сервера ?
Причем разные даты создания самих ящиков. очень странно. У кого какие мысли ?
По моему мнению, вы совершенно не теми вопросами себе голову занимаете, если только это не целенаправленное изучение методов сбора почтовых адресов. (сисадмином хорошо, а спамером лучше, я бы в спамеры пошел, пусть меня научат ;-) )

Код: Выделить всё

kickleaonlinejud@kleaonline.org H=([85.110.157.10])[85.110.157.10] (лишнее отрезано)
Даже при беглом взгляде на лог виден затрояненный домашний компьютер, типичный представитель спамерского ботнета: отсутствие записи в реверсной зоне, использование в качестве HELO ip-адреса. На той стороне однозначно не сервер. Такое надо резать, как можно раньше, прямо на этапе коннекта. По моей статистике, самая первая acl-запись, к тому же являющаяся самой простой:

Код: Выделить всё

acl_check_connect
 deny
  message  = "DNS lookup failed. Noname hosts not permitted."
  condition = {if eq {$sender_host_name}{}{yes}{no}}
обладает наибольшей эффективностью - отклоняет ~65% подключений. Почтовый сервер не имеет права иметь неправильно сконфигурированный ДНС.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение dikens3 » 2008-07-26 14:54:20

обладает наибольшей эффективностью - отклоняет ~65% подключений. Почтовый сервер не имеет права иметь неправильно сконфигурированный ДНС.
Решительно несогласен с данным методом. Есть ещё очень важная вещь - белый лист (описан в полезных скриптах) который не сможет работать в таком случае. (имеется ввиду этап connect)

P.S. Мне проще 1 раз проинструктировать пользователей, что есть не очень грамотно настроенные сервера и может быть проблема с доставкой к нам почты от них. Поэтому отправьте им письмо и ответ спокойно пройдёт. За 1,5 года работы оооочень много нервов, времени мной было сэкономлено.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение princeps » 2008-07-26 16:26:01

Согласен. Бывают криво настроенные, но не спамерские сервера. Буквально вчера пытались что-то прислать челы без точек в helo.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

shlash
мл. сержант
Сообщения: 82
Зарегистрирован: 2007-10-21 13:34:58
Откуда: С.-Петербург
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение shlash » 2008-07-26 17:31:03

dikens3 писал(а):За 1,5 года работы оооочень много нервов, времени мной было сэкономлено.
Именно потому что надоело тратить нервы, выслушивая жалобы на потоки спама и изобретая новые фильтры, которые бы, при этом, пропускали нужную почту. После введени метода, общался только с админами собственных иногородних филиалов - в результате своё хозяйство привели в порядок.
princeps писал(а):Согласен. Бывают криво настроенные, но не спамерские сервера. Буквально вчера пытались что-то прислать челы без точек в helo.
Ну так пускай настраивают, потому что иначе ничем не отличаются от спамерских. Сейчас у меня на двух новых релеях, идут лесом при HELO != FQDN. За три месяца их жизни в белый список пришлось включить только хост portal4.visa.com у которого было HELO visa.com. Остальные отправляются изучать предметную область, в которой они работают. При этом, по поводу кривого HELO, никто из админов "с той стороны" (кого реджектили) ко мне не обращался (номер телефона включён в реджект-мессадж). К сожалению, на старом дырявом релее, остался ещё один домен, который так просто на новые не перевести - очень активная переписка, полный зоопарк из всевозможных кривых HELO - за такое меня в первый же день порвут, как тузик грелку, придётся постепенно гайки закручивать.

Ваша позиция поощряет безграмотность и некомпетентность, с чем я решительно не согласен. Не в состоянии настроить свою систему - пусть пользуют mail.ru. У меня же не возникает вопросов, подобных тем с которого началась эта тема.
Борьба со спамом - это в первую очередь борьба за безопасность. Сегодня наш бухгалтер получит какую-нибудь "типа картиночку", а завтра у нас со счёта пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение zingel » 2008-07-26 17:34:29

пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..
У вас реально можно вытянуть 1 000 000 прислав картиночку (не простую)? Слышали когда либо про air gaps?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение dikens3 » 2008-07-26 18:46:24

shlash писал(а):Ваша позиция поощряет безграмотность и некомпетентность, с чем я решительно не согласен.
Не все сразу настраивают почтовый сервер правильно. Не у всех почтовый сервер может работать правильно со временем, т.к. админ мог внести исправления в конфигурацию и где-нибудь допустить ошибку, что вполне естественно для любого человека, а не только админа. Админы меняются, и не все сразу знают всё оборудование и работающие сервисы в новой организации.
shlash писал(а):Не в состоянии настроить свою систему - пусть пользуют mail.ru.
Ага, используют. Только вот через relay провайдера, который закрыл 25 порт своим клиентам (но не всем), и через которого идёт поток спама, с которым на словах сообщает что примет меры, а спам всё идёт от одного и того же адреса. (будто-бы провайдер сам этим занимается) Так вот от такого провайдера через которого идёт поток писем с обратным адресом user@mail.ru как я должен принимать очень важные письма?

Ни один провайдер не дал мне ответа, как проверяется подлинность отправителя, если используется его relay?

P.S. RFC не панацея, это свод правил, которого нужно придерживаться, а не обязательно должно быть всё так как там. Есть исключения.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

shlash
мл. сержант
Сообщения: 82
Зарегистрирован: 2007-10-21 13:34:58
Откуда: С.-Петербург
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение shlash » 2008-07-26 22:50:52

zingel писал(а):
пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..
У вас реально можно вытянуть 1 000 000 прислав картиночку (не простую)? Слышали когда либо про air gaps?
Написал ответ, после этого несколько раз перечитал... ;-) :-D Ага... щаззз...
_и ещё фрагмент удалил_
Ну... чисто гипотетически, если у вас вдруг получится... какова будет моя доля? Прошу принять во внимание - придётся Лиссяру брать в долю, чтобы затёр все постинги на форуме и в логах, а также всех промежуточных провайдеров, чтобы у себя подчистили.. Овчинка того не стоит.. Ну его в пень.

Термин "air gaps" ещё не знаком, если представляет опасность - нужна дополнительная информация.. Обращаться в гугль или поможете ссылками? (Ну вот.. уже некоторую инфу слил...)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение zingel » 2008-07-27 7:10:59

Термин "air gaps" ещё не знаком,
значит у Вас нельзя вытянуть 1 000 000, жаль.
Ну... чисто гипотетически, если у вас вдруг получится... какова будет моя доля
Вы мне даром не нужны, я честным путём зарабатываю :smile:

P.s.
[hint] air gaps - "воздушные мосты", системы, которые защищают PAN от внешнего мира, системы, которые отделяют private area network от остальных сетей на физическом уровне, то есть те сети, которые полностью автоматизированы и замкнуты и связаны с внешним миром только обслуживающим персоналом, при их использовании попасть в эту сеть может только авторизованный обслуживающий персонал с особым типом доступа, обычно 1-2 человека, примеры

а)
База данных крупного банка/финансовой/правительственной структур - отдельная стойка под сигнализацией (датчики движения + звуковая) и камерами, стоящая в отдельном помещении (многоуровневый доступ по личным магнитным ключам) с полной автономной защитой и упсами, авторизацией по одноразовым флеш-ключам (к самой стойке) в которой стоит 3-4 массива с самой базой (авторизованный доступ по-паролю со стоечного КВМ-коммутатора, в котором есть логи имеют 1 человек/день для внесения новых данных после установки, к примеру промежуточных данных с хотсвоп диска)+ 1 бекап (без доступа)+ 1 логи (без доступа) под наблюдением старшего менеджера и охранника - и тому подобные вариации.

б)Замкнутые военные сети со своими протоколами маршрутизации

в)Системы хранения данных крупных MAN/E1(межрегиональных)-провайдеров

Одним словом все те данные, которые достаточно ценны не должны юзаться всеми подряд.
Это - отдельная тема, не для этого треда, если кому интересно WTF - создавайте тему, если интересно как такое добро организовать (за денежку), то в личку (дорого).
Z301171463546 - можно пожертвовать мне денег

shlash
мл. сержант
Сообщения: 82
Зарегистрирован: 2007-10-21 13:34:58
Откуда: С.-Петербург
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение shlash » 2008-07-27 13:38:34

dikens3 писал(а):Не все сразу настраивают почтовый сервер правильно. Не у всех почтовый сервер может работать правильно со временем, ...
Все, с кем мне пришлось общаться по телефону - никто не признался, что он работает недавно, никто не спросил: "а что у меня неправильно?". Все утверждали, что у них всё правильно. Приходилось тыкать носом.
Ну и как это называется - сначала накосячить, а затем с наглым видом утверждать, что у них всё правильно?
dikens3 писал(а):... провайдера через которого идёт поток писем с обратным адресом user@mail.ru как я должен принимать очень важные письма?
От этого провайдера вы должны получать валидные ("очень важные") письма. Поскольку у mail.ru SPF нестрогий, от этого же провайдера, вы также должны получать и всё остальное.
Это именно та самая ситуация, когда приходится изобретать безумные правила фильтрации для какого-то частного случая. На старом релее у нас весь конфиг такой - сплошные частные случаи. Либо для пропуска, либо для задержания.
dikens3 писал(а):Ни один провайдер не дал мне ответа, как проверяется подлинность отправителя, если используется его relay?
Т.е. у них у всех open relay??? :shock:
Использование нашего релея (для отправки в мир) возможно только из нашего блока адресов и только с теми почтовыми доменами отправителя, которые заявлены для некоторого поддиапазона адресов. Расшифровываю - клиент (юридическое лицо) приобретает некоторое количество адресов (например 2 - сеть /30 или 6 - сеть /29) и объявляет для них, за соответствующее вознаграждение (услуга платная), некоторый почтовый домен (или несколько). Осуществляется привязка $sender_domain_name к $sender_host_address.
С физическими лицами мы ещё не работаем, но и там проблем не вижу - другой сервер, нестандартный порт, TLS/SSL, авторизация (логин-пароль).
Разве возможны какие-то другие схемы?
dikens3 писал(а):P.S. RFC не панацея, это свод правил, которого нужно придерживаться, а не обязательно должно быть всё так как там. Есть исключения.
Я(мы) соблюдаю(ем) RFC. Поэтому я считаю, что имею полное моральное право требовать его соблюдения от других, потому что это (повсеместное соблюдение) облегчит жизнь всем (идеализм?). Безусловно - portal4.visa.com внёс в белый список, потому что возникли трудности с общением - я не говорю по брюссельски, они не говорят на русском, и, по всей видимости, не понимают и письменный английский.
Исключения должны таковыми и оставаться. Вы же превращаете их в ежедневную практику.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение dikens3 » 2008-07-27 17:30:59

Описываю действия провайдера.

1. Заблокирован 25 порт. (причина - заражённые компьютеры)
2. Пользователь зарегистрирован на сервере http://www.mail.ru, но не использует http://www.mail.ru, а использует The Bat через сервер провайдера.
3. Пользователь отправляет письмо от имени user@mail.ru через сервер провайдера.
4. Какими средствами провайдером проверяется(?) подлинность отправителя? Откуда провайдер знает, существует такой пользователь (user@mail.ru) или нет? Спросит у mail.ru и он ему ответит? А пароли mail.ru тоже выдаст каждому провайдеру?
5. Такая почта по умолчанию не имеет права жить. (RFC??? Логика???)
6. Но жизнь немного другая и в ней всё уживается, поэтому в нашем случае есть рекомендации, рекомендации и ещё раз рекомендации.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

atta
рядовой
Сообщения: 21
Зарегистрирован: 2008-04-22 3:36:14
Контактная информация:

Re: Вытянули адреса с сервера ?

Непрочитанное сообщение atta » 2008-07-27 17:45:52

Мдя. А я всего то хотел узнать ответ на первый пост )))))))) А узнал много нового для себя, спасибо.