Zimbra - СПАМ от [127.0.0.1]

[cat-on-boat]

Для примера:
Apr 29 03:38:59 mail amavis[35580]: (35580-05) FWD from <natalyaya_palamodov1994@nokiamail.com> -> <dorozhkina@astrazeneca.com>,<marketing@bonifaciybaby.ru>,<director@fly-trip.ru>,<kuon@icl.kazan.ru>,<indoversatt@licmail.com>,<office@manufactory.ru>,<hycero@mi.kz>,<nbdp27v8_labour@mypersonnel.ru>,<srosmr@uomz.com>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 5513176CDCD

Настройки:
[zimbra@mail]$ zmprov gacf | grep zimbraMtaRestriction
zimbraMtaRestriction: reject_invalid_hostname
zimbraMtaRestriction: reject_non_fqdn_hostname
zimbraMtaRestriction: reject_non_fqdn_sender
zimbraMtaRestriction: reject_unknown_client
zimbraMtaRestriction: reject_unknown_hostname
zimbraMtaRestriction: reject_unknown_sender_domain
zimbraMtaRestriction: reject_rbl_client bl.spamcop.net
zimbraMtaRestriction: reject_rbl_client xbl.spamhaus.org
zimbraMtaRestriction: reject_rbl_client dul.ru
zimbraMtaRestriction: reject_unlisted_sender

И без этого она не работает:
[zimbra@mail]$ postconf mynetworks
mynetworks = 127.0.0.0/8 172.22.0.12/32

Как закрыть дыру? В день более 15000 сообщений прорывается:(

ЗЫ. Забыл написать, что все проверки на опенрелей проходит без проблемю

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ivan__]

Для примера:
Apr 29 03:38:59 mail amavis[35580]: (35580-05) FWD from <natalyaya_palamodov1994@nokiamail.com> -> <dorozhkina@astrazeneca.com>,<marketing@bonifaciybaby.ru>,<director@fly-trip.ru>,<kuon@icl.kazan.ru>,<indoversatt@licmail.com>,<office@manufactory.ru>,<hycero@mi.kz>,<nbdp27v8_labour@mypersonnel.ru>,<srosmr@uomz.com>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 5513176CDCD

ну по этому огрызку лога все пучком - amavis проверил письмо после антивируса.
авторизация на исходящие вообще используется?

[cat-on-boat]

по этому огрызку

Этим я хотел показать, что для антиспама это уже доверенный хост и непонятно почему.

Нет проблем - вот больше:
Apr 30 03:43:10 mail postfix/smtps/smtpd[57771]: 45F5B76E942: filter: RCPT from mail.ruonia.ru[217.79.231.12]: <ayzan_zubachev1995@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<ayzan_zubachev1995@nokiamail.com> to=<info@motorsportitalia.ru> proto=ESMTP helo=<Unknown>
Apr 30 03:43:10 mail postfix/smtp[9787]: connect to ripmail.com[208.73.211.236]:25: Connection timed out
Apr 30 03:43:10 mail postfix/smtps/smtpd[60837]: 075C876DD14: filter: RCPT from unknown[188.235.27.179]: <aremen_kotelnikova1989@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<aremen_kotelnikova1989@nokiamail.com> to=<sales@universal-reklam.com> proto=ESMTP helo=<Unknown>
Apr 30 03:43:10 mail postfix/smtp[9751]: AC70D76CE7A: host in1-smtp.messagingengine.com[66.111.4.71] said: 451 4.7.1 <addison@operamail.com>: Recipient address rejected: User is over quota, try again later (in reply to RCPT TO command)
Apr 30 03:43:11 mail postfix/smtps/smtpd[60837]: 075C876DD14: filter: RCPT from unknown[188.235.27.179]: <aremen_kotelnikova1989@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<aremen_kotelnikova1989@nokiamail.com> to=<relebsauter@clasmail.com> proto=ESMTP helo=<Unknown>
Apr 30 03:43:11 mail postfix/smtps/smtpd[60882]: 85FCA76E93D: filter: RCPT from unknown[24.149.90.90]: <aey_stolypin1994@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<aey_stolypin1994@nokiamail.com> to=<catalog44@shturman-mania.ru> proto=ESMTP helo=<Unknown>
Apr 30 03:43:11 mail postfix/smtps/smtpd[57771]: 45F5B76E942: filter: RCPT from mail.ruonia.ru[217.79.231.12]: <ayzan_zubachev1995@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<ayzan_zubachev1995@nokiamail.com> to=<goanotabturn@damail.com> proto=ESMTP helo=<Unknown>
Apr 30 03:43:11 mail postfix/smtps/smtpd[60837]: 075C876DD14: filter: RCPT from unknown[188.235.27.179]: <aremen_kotelnikova1989@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<aremen_kotelnikova1989@nokiamail.com> to=<bazhenov@privat-online.net> proto=ESMTP helo=<Unknown>
Apr 30 03:43:11 mail postfix/smtp[4795]: connect to new-purse.com[208.73.210.215]:25: Connection timed out
Apr 30 03:43:12 mail postfix/smtp[6949]: connect to buemail.com[208.73.211.249]:25: Connection timed out
Apr 30 03:43:12 mail postfix/smtps/smtpd[57771]: 45F5B76E942: filter: RCPT from mail.ruonia.ru[217.79.231.12]: <ayzan_zubachev1995@nokiamail.com>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<ayzan_zubachev1995@nokiamail.com> to=<wkly73620@mail.com> proto=ESMTP helo=<Unknown>
Apr 30 03:43:12 mail postfix/smtp[9751]: AC70D76CE7A: to=<addison@operamail.com>, relay=in1-smtp.messagingengine.com[66.111.4.72]:25, delay=38392, delays=38338/50/3.2/0.13, dsn=4.7.1, status=deferred (host in1-smtp.messagingengine.com[66.111.4.72] said: 451 4.7.1 <addison@operamail.com>: Recipient address rejected: User is over quota, try again later (in reply to RCPT TO command))
Apr 30 03:43:12 mail postfix/smtp[62363]: connect to wavin-rus.ru[194.85.61.76]:25: Connection timed out
Apr 30 03:43:12 mail postfix/smtp[62363]: CE8B2772792: to=<info@wavin-rus.ru>, relay=none, delay=197, delays=0.09/154/42/0, dsn=4.4.1, status=deferred (connect to wavin-rus.ru[194.85.61.76]:25: Connection timed out)
Apr 30 03:43:12 mail postfix/cleanup[12716]: 7B81876E9F7: message-id=<20140429234312.7B81876E9F7@*********.ru>
Apr 30 03:43:12 mail postfix/bounce[12225]: CE8B2772792: sender non-delivery notification: 7B81876E9F7
Apr 30 03:43:12 mail postfix/qmgr[15258]: 7B81876E9F7: from=<>, size=6874, nrcpt=1 (queue active)
Apr 30 03:43:12 mail postfix/amavisd/smtpd[12048]: connect from localhost[127.0.0.1]
Apr 30 03:43:12 mail postfix/amavisd/smtpd[12048]: 97FF4765B13: client=localhost[127.0.0.1]
Apr 30 03:43:12 mail postfix/smtp[62363]: AF007772A23: host relay.admhmao.ru[178.46.185.21] refused to talk to me: 554-ironport.admhmao.ru 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
Apr 30 03:43:12 mail postfix/cleanup[12715]: 97FF4765B13: message-id=<20140429234254.61BF2767AAF@*********.ru>
Apr 30 03:43:12 mail postfix/amavisd/smtpd[12048]: disconnect from localhost[127.0.0.1]
Apr 30 03:43:12 mail postfix/qmgr[15258]: 97FF4765B13: from=<lyulmila_faktor1992@nokiamail.com>, size=3349, nrcpt=9 (queue active)
Apr 30 03:43:12 mail amavis[11419]: (11419-09) FWD from <lyulmila_faktor1992@nokiamail.com> -> <marketing@aventour.ru>,<diehl@elster.com>,<direktor@eltehpribor.ru>,<info@kerozenedesign.com>,<sales@kiclassifieds.ru>,<oao_amkodor@mtu-net.ru>,<cosmiclatte@myspace.com>,<tieblasigat@quimail.com>,<cresoutasdim@tamail.com>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13
Apr 30 03:43:12 mail amavis[11419]: (11419-09) Passed CLEAN {RelayedOutbound}, ORIGINATING_POST/MYNETS LOCAL [127.0.0.1]:48125 [188.235.27.179] <lyulmila_faktor1992@nokiamail.com> -> <marketing@aventour.ru>,<diehl@elster.com>,<direktor@eltehpribor.ru>,<info@kerozenedesign.com>,<sales@kiclassifieds.ru>,<oao_amkodor@mtu-net.ru>,<cosmiclatte@myspace.com>,<tieblasigat@quimail.com>,<cresoutasdim@tamail.com>, Queue-ID: 37D8576E935, Message-ID: <20140429234254.61BF2767AAF@*********.ru>, mail_id: qV350jZn-qsT, Hits: 0.265, size: 3007, queued_as: 97FF4765B13, 4340 ms
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<marketing@aventour.ru>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<diehl@elster.com>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<direktor@eltehpribor.ru>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<info@kerozenedesign.com>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<sales@kiclassifieds.ru>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<oao_amkodor@mtu-net.ru>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<cosmiclatte@myspace.com>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<tieblasigat@quimail.com>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/smtp[11392]: 37D8576E935: to=<cresoutasdim@tamail.com>, relay=127.0.0.1[127.0.0.1]:10032, delay=4.6, delays=0.17/0/0.04/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 97FF4765B13)
Apr 30 03:43:12 mail postfix/qmgr[15258]: 37D8576E935: removed
Apr 30 03:43:12 mail postfix/smtp[9783]: connect to sibvg.ru[78.140.59.86]:25: Connection timed out

Я по логам не могу понять, почему некоторые хосты распознаются как доверенные и шлют, что
хотят и куда хотят. Может это helo=<Unknown>?

[cat-on-boat]

авторизация на исходящие вообще используется?

По ходу дела проблема в этом направлении...

Apr 30 07:07:12 mail postfix/smtps/smtpd[47874]: Anonymous TLS connection established from herngaard.torservers.net[96.44.189.102]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)

Проверил настройки - вроде сделаны грамотно?
smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_rbl_client dul.ru, permit
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_exceptions_networks =
smtpd_sasl_local_domain =
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_type = cyrus
smtpd_sender_restrictions = check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_foreign.re

Как исправить?

[moury]

По ходу дела проблема в этом направлении...

Нет.Но каком - непонятно. Письмо со спамом сначала принимается почтовым сервером, потом скармливается спамасасину, потом возвращается (реинжектится) почтовику и после этого передается получателю. То есть, надо анализировать его путь с первого получения почтовиком. Ваши же логи содержат только четвертый и третий этапы. Вытащите из логов полный путь двух-четырех писем.

Также рекомендую извлечь заголовки deferred-спама через postcat.

Проверил настройки - вроде сделаны грамотно?

Из man 5 postconf следует, что при заданном параметре smtpd_relay_restrictions ограничения на ретрансляцию задает он. Параметр у Вас описан так:

smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination

То есть, разрешается ретрансляция наружу авторизованной и локальной почты и прием спама для своих юзеров. Поскольку проблема - с ретрансляцией спама, третье действие игнорируем. Разбирайтесь с авторизацией и с локальной почтой.

Если Вы не вмешивались в настройку взаимодействия компонентов почтовой системы (MTA, спам-фильтр, MDA и т.п., тот же реинжект), то самые вероятные причины - дырявая авторизация (возможность отправки без пароля) и дырявый сайт (скрипты для отправки спама).

[cat-on-boat]

дырявая авторизация

Это я уже понял.

smtpd_sasl_security_options = noanonymous

Но всё равно пропускает. Где посмотреть почему, в каком логе?

[гость55]

выложи ты полный конфиг, а не отрывки

[cat-on-boat]

Нет проблем.

Код: Выделить всё

mail_owner = postfix
bounce_notice_recipient = postmaster
content_filter = smtp-amavis:[127.0.0.1]:10024
smtp_sasl_security_options = noplaintext,noanonymous
relayhost = 
virtual_alias_expansion_limit = 10000
smtpd_sasl_authenticated_header = no
smtp_helo_name = $myhostname
smtpd_hard_error_limit = 20
broken_sasl_auth_clients = yes
minimal_backoff_time = 300s
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
smtpd_soft_error_limit = 10
always_add_missing_headers = yes
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_helo_required = yes
virtual_transport = error
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, permit
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_reject_unlisted_recipient = no
bounce_queue_lifetime = 5d
smtp_sasl_mechanism_filter = 
milter_connect_timeout = 30s
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_data_restrictions = reject_unauth_pipelining
milter_command_timeout = 30s
smtpd_milters = 
smtpd_tls_security_level = may
milter_default_action = tempfail
smtpd_sender_restrictions = check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/postfix/conf/tag_as_foreign.re
lmtp_host_lookup = dns
delay_warning_time = 0h
header_checks = 
queue_run_delay = 300s
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
notify_classes = resource,software
command_directory = /opt/zimbra/postfix/sbin
smtpd_client_restrictions = reject_unauth_pipelining
smtpd_tls_auth_only = no
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
mailq_path = /opt/zimbra/postfix/sbin/mailq
smtpd_banner = $myhostname ESMTP $mail_name
mynetworks = 127.0.0.0/8 172.22.0.12/32
lmtp_connection_cache_time_limit = 4s
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
smtpd_sasl_auth_enable = yes
smtpd_tls_loglevel = 1
milter_content_timeout = 300s
maximal_backoff_time = 4000s
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
inet_protocols = ipv4
non_smtpd_milters = 
daemon_directory = /opt/zimbra/postfix/libexec
smtp_tls_security_level = 
alias_maps = hash:/etc/aliases
setgid_group = postdrop
smtp_cname_overrides_servername = no
mydestination = localhost
smtpd_end_of_data_restrictions = 
import_environment = 
myhostname = mail.mydomain.ru
message_size_limit = 40960000
smtpd_proxy_timeout = 100s
recipient_delimiter = 
in_flow_delay = 1s
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
queue_directory = /opt/zimbra/data/postfix/spool
propagate_unmatched_extensions = canonical
manpage_directory = /opt/zimbra/postfix/man
smtp_fallback_relay = 
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
smtp_sasl_password_maps = 
lmtp_connection_cache_destinations = 
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
smtp_sasl_auth_enable = no
smtpd_error_sleep_time = 1s
mailbox_size_limit = 0
disable_dns_lookups = no
smtpd_reject_unlisted_sender = no

[ivan__]

Включи полный лог smtpd. nokiamail.com твой домен?

[cat-on-boat]

Включи полный лог smtpd

Как?

nokiamail.com твой домен?

Нет.

[ivan__]

/etc/postfix/master.cf:
smtp inet n - n - - smtpd -v

[FiL]

лично у меня пару раз просто угоняли пароли некоторых юзеров. И через них отсылали мегатонны спама.

[cat-on-boat]

/etc/postfix/master.cf:
smtp inet n - n - - smtpd -v

При рестарте Зимбры настройки не применяются и параметр -v пропадает из файла.

[ivan__]

При рестарте Зимбры настройки не применяются и параметр -v пропадает из файла.

ну тогда хз, кури настройки зимбры - где включить подробный лог.

[moury]

Приношу свои искренние извинения - начал отвечать и пропал на три недели. Так что пишу вдогонку, в надежде, что запоздавший совет поможет тем, кто столкнется с такой же проблемой.

В такой ситуации я рекомендовал бы включить отображение в заголовках письма логина авторизационного пользователя.
Во-первых, запрещать отображение имеет смысл только когда логины для SASL заметно отличаются от адресов e-mail.
Во-вторых, спамеры и так уже знают логин для SASL-авторизации.
В-третьих, вам будет проще понять чужую жалобу на ваших юзеров, буде такая жалоба придет. Так, саппорт хостинга при одном из регистраторов доменов перестал тупить над моей жалобой, когда со второй попытки увидел заголовок SASL-авторизации.
В postfix это включается так:

Код: Выделить всё

smtpd_sasl_authenticated_header = yes

А в данном конкретном случае я полностью согласен с ivan__ - лучше работать с софтом, чем над "интегрированной надстройкой над ним".