Страница 1 из 1
спам посыпался!!!
Добавлено: 2008-09-26 5:26:39
lomaker
Доброго времени суток! Поставил exim с courier-imap по статье. Все сделал, все заработало. В статье написано что при данной конфигурации спам у автора отсутствует в принципе
Ну я и обрадовался - думаю здорово, и спам-фильтров ставить не придется...!!!
А тут проходит буквально месяц и вот он, дорогой, посыпался!!! Уж и не знаю во первых, откуда он мог взяться - сотрудников предупредил чтоб не светили ящики где попало, использовали только по работе. Откуда он полез? У самого подозрение - могли сервак бомбануть - последнее время мне на мой ящик сервачный ежедневно приходят мессаги следующего содержания:
Код: Выделить всё
Sep 25 05:10:31 mydomain sshd[27534]: error: PAM: authentication error for illegal user web5 from coloc82-044.singnet.com.sg
Sep 25 05:10:31 mydomain sshd[27534]: Failed keyboard-interactive/pam for invalid user web5 from 165.21.82.44 port 60608 ssh2
а также
Код: Выделить всё
Sep 24 14:51:48 mydomain sshd[17731]: reverse mapping checking getaddrinfo for 203-114-112-12.totisp.net [203.114.112.12] failed - POSSIBLE BREAK-IN ATTEMPT!
поясните пожалуйста, что это означает и как с этим бороться?
- Ну и если же всетаки эти нехорошие люди ломанули таки мой сервак по ssh, как мне отследить этот момент?
Какие логи посмотреть?
какую антиспаммерскую защиту лучше установить?
И возможен ли такой вариант - прописать в экзиме списочек серверов(может даже самих почтовых адресов), с которых разрешено принимать почту, а от остальных вообще запросы даже на соединение не принимать, чтоб траффик не лез лишний?
Ну и напоследок - лень читать доки - обьяснит может кто-нить - почта сперва принимается полностью, а потом отбрасывается спам-фильтром, или же принимается к примеру только заголовок(приветствие там, тема) и в случае если спам-фильтр определит что это спам, сообщение вообще не принимается?
Извиняюсь заранее за ламерство!!!
Re: спам посыпался!!!
Добавлено: 2008-09-26 8:19:11
lomaker
добавлю - радует хотя бы то, что в логах пишется следующее:
Код: Выделить всё
Sep 25 00:21:28 mydomain exim[24167]: 2008-09-25 00:21:28 H=(cng.neutech.fi) [84.78.10.196] I=[xxx.xxx.xxx.xxx]:25 F=<lrunu2001@hof.sk> rejected RCPT <manager@mydomain>: "host in blacklist - cbl.abuseat.org
то есть екзим типо фильтрует кое что по блэклистам. Но самое страшное то, что у тех нехороших людей кто отсылал это сообщение оказывается откуда-то есть список всех моих почтовых ящиков!!! ОТкуда?!!!!!!
а вот пример редиски, которая смогла таки ко мне проломиться на ящик:
Код: Выделить всё
Sep 26 12:29:53 mydomain exim[59457]: 2008-09-26 12:29:53 no host name found for IP address 60.18.67.158
Sep 26 12:30:16 mydomain exim[59457]: 2008-09-26 12:30:16 DNS list lookup defer (probably timeout) for 158.67.18.60.opm.blitzed.org: assumed not in list
Sep 26 12:30:31 mydomain exim[59457]: 2008-09-26 12:30:31 DNS list lookup defer (probably timeout) for 158.67.18.60.bl.csma.biz: assumed not in list
Sep 26 12:30:46 mydomain exim[59457]: 2008-09-26 12:30:46 DNS list lookup defer (probably timeout) for 158.67.18.60.dynablock.njabl.org: assumed not in list
Sep 26 12:30:46mydomain exim[59457]: 2008-09-26 12:30:46 Delay 20s for [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:31:06 mydomain exim[59457]: 2008-09-26 12:31:06 SMTP connection from (dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 lost while reading message data (header)
Sep 26 12:33:20 mydomain exim[59507]: 2008-09-26 12:33:20 no host name found for IP address 60.18.67.158
Sep 26 12:34:07 mydomain exim[59507]: 2008-09-26 12:34:07 Delay 20s for [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:34:27 mydomain exim[59507]: 2008-09-26 12:34:27 SMTP connection from (dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 lost while reading message data (header)
Sep 26 12:35:28 mydomain exim[59526]: 2008-09-26 12:35:28 no host name found for IP address 60.18.67.158
Sep 26 12:36:01mydomain exim[59526]: 2008-09-26 12:36:01 Delay 20s for [60.18.67.158] with HELO=dev.null. Mail from wov99@aat.cn to admin@mydomain.ru.
Sep 26 12:36:24 mydomain exim[59526]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl <= wov99@aat.cn H=(dev.null) [60.18.67.158] I=[xxx.xxx.xxx.xxx]:25 P=esmtp S=984 from <wov99@aat.cn> for admin@mydomain.ru
Sep 26 12:36:24 mydomain exim[59533]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl => admin <admin@mydomain.ru> R=mysqluser T=mysql_delivery
Sep 26 12:36:24 mydomain exim[59533]: 2008-09-26 12:36:24 1Kj541-000FU6-Rl Completed
как с этим бороться? что добавить и куда?
Re: спам посыпался!!!
Добавлено: 2008-09-26 8:22:34
Alex Keda
бороться.
когда-то помогало одно, щас другое...
Re: спам посыпался!!!
Добавлено: 2008-09-26 12:27:39
lomaker
lissyara писал(а):бороться.
когда-то помогало одно, щас другое...
уважаемый lissyara, наверняка, учитывая твой опыт администрирования, ты сталкивался с подобным?! подскажи что-нибудь по данной проблеме, хотя бы наводку дай, в каком направлении двигаться!!! и если можно напиши как определить, залазил ли кто-то посторонний на мой сервер или нет? Ведь как-то они раздобыли все наши почтовые адреса!!!
Re: спам посыпался!!!
Добавлено: 2008-09-26 13:07:59
Alex Keda
dspam
Re: спам посыпался!!!
Добавлено: 2008-09-26 14:11:55
lerryc
lomaker писал(а):lissyara писал(а):бороться.
когда-то помогало одно, щас другое...
уважаемый lissyara, наверняка, учитывая твой опыт администрирования, ты сталкивался с подобным?! подскажи что-нибудь по данной проблеме, хотя бы наводку дай, в каком направлении двигаться!!! и если можно напиши как определить, залазил ли кто-то посторонний на мой сервер или нет? Ведь как-то они раздобыли все наши почтовые адреса!!!
скажу так......
во-первых - у вас две проблемы - спам (екзим) и стуканья по ssh (sshd)
1)по спаму на 25-й порт
он (порт) находится сканерами за 2-3 дня как правило и защиты от этого нет, выход: + фильтры + антиспам программа + (если можно) переехать с 25-го на другой порт
2) по ссш - тоже самое, находится за те же 2-3 дня - выход: переезд на другой порт или доступ только с разрешенных IP
3) емайлы "утекают" только так - я, например, регистрирую ящик на известных и не очень серверах и нигде и никогда не передаю эти адреса по октрытым сетям включая аськи, джаберы и иже с ними - через неделю (максимум) - адрес в спам рассылках
to lerryc
Добавлено: 2008-09-26 20:42:22
lomaker
спасибо за более менее вразумительный ответ!!!
Допустим я сменю порт, но они будут на другой порт ломиться, или они не смогут определить что на нем висит именно почтовик и перестанут спам кидать? теперь же мои адреса уже в спаммерских базах!!!
интересно - каким макаром емайлы утекают?
мож вирь какой завелся...
по поводу ссш - пробовал искать как сделать доступ к нему с определенных ип адресов... Видимо плохо искал - подкиньте ссылочку?
кирдык в общем!!! Будем прыгать с бубном
Re: спам посыпался!!!
Добавлено: 2008-09-29 12:24:59
schizoid
в конфиге на сайте указаны
Код: Выделить всё
# Рубаем тех, кто в блэк-листах. Серваки перебираются
# сверху вниз, если не хост не найден на первом, то
# запрашивается второй, и т.д. Если не найден ни в одном
# из списка - то почта пропускается.
deny message = "you in blacklist - $dnslist_domain --> $dnslist_text; $dnslist_value"
delay = 30s
dnslists = cbl.abuseat.org : \
dynablock.njabl.org : \
dul.dnsbl.sorbs.net : \
list.dsbl.org : \
sbl-xbl.spamhaus.org
заметил что 4 из них мертвые, кто какими сейчас пользуется?
Re: спам посыпался!!!
Добавлено: 2008-09-29 15:21:56
lomaker
и как ты это заметил интересно
Re: спам посыпался!!!
Добавлено: 2008-09-29 16:01:35
schizoid
в логах ошибка была
Re: спам посыпался!!!
Добавлено: 2008-09-30 11:58:17
kmb
schizoid писал(а):
заметил что 4 из них мертвые, кто какими сейчас пользуется?
Я пользую эти:
Код: Выделить всё
dnslists = cbl.abuseat.org : \
dnsbl.njabl.org : \
combined.dynablock.org : \
bl.csma.biz :\
dul.ru :\
db.wpbl.info :\
sbl-xbl.spamhaus.org
За вчера статистика:
User Specified Patterns
Total
Host in Blacklist cn.countries.nerd.dk: 36647
Host in Blacklist br.countries.nerd.dk: 17192
Host in Blacklist nl.countries.nerd.dk: 995
Host in Blacklist il.countries.nerd.dk: 3723
Host in Blacklist it.countries.nerd.dk: 3650
Host in Blacklist pl.countries.nerd.dk: 13213
Host in Blacklist ro.countries.nerd.dk: 10990
Host in Blacklist th.countries.nerd.dk: 12965
blacklist - cbl.abuseat.org: 151507
blacklist - bl.csma.biz: 0
blacklist - sbl-xbl.spamhaus.org: 1111
blacklist - db.wpbl.info: 1635
blacklist - dnsbl.njabl.org: 1369
blacklist - dul.ru: 4088
blacklist - combined.dynablock.org: 0
In e-mail found VIRUS: 5
combined.dynablock.org Он не работал и не работает. А bl.csma.biz вроде фурычил, но сейчас видимо тоже в отрубе.
Re: спам посыпался!!!
Добавлено: 2008-09-30 13:03:15
lomaker
спасибо kmb за списочег.
в продолжение темы - по статье
http://www.lissyara.su/?id=1301 воткнул dspam. Проверил, как там написано - в логе нужные строчки были. В базу тоже данные добавились. Начал прикручивать его к экзиму. Прописал роутеры, транспорты. Пересылаю спам-сообщение на адрес с префиксом spam-. Смотрю в логи мэйла - пишет тыры-пыры completed, типо письмецо ушло... Смотрю - ни в папке /var/db/dspam/data ни в базе, ни еще где-либо никаких следов того, что он это сообщение схавал! Хэлп!!!
Re: спам посыпался!!!
Добавлено: 2008-09-30 20:58:34
Gegemon
to lomaker (и наверное всем):
Проверить себя на предмет попадания в блэк-листы можешь здесь:
http://www.robtex.com/
Там же сервера, которые можно прикрутить к RBL.
Re: спам посыпался!!!
Добавлено: 2008-10-01 5:49:28
lomaker
отлично - защел на вышеприведенный сайт. В поле "hostname, IP or AS" вбил свой айпишнег, жму "Go", пишет "not listed in any blacklists". Не мудрено - вроде не релей. Перехожу на вкладку "blacklists" и вижу кучу ссылок под грифами "timeout", "not whitelisted", "green". Вопрос - какие именно блэки использовать и из какого грифа?
Далее - как мне быть всетаки с моим dspam(см. чуть выше в теме)? Он не работает? Поправьте если не так
Ну и еще - нашел интересную статейку
http://www.nclug.ru/content.php?article.132. Муля в том, что она написана для Линуха! Как ее адаптировать к статье Лисяры
http://www.lissyara.su/?id=1175? С блэк-листами понятно - в статье они есть. С обратным разрешением имени хоста - не понял, есть или нет... Насчет черного списка попытаюсь предположить - нужно следующие строчки
Код: Выделить всё
deny
message = sender IP address $sender_host_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
!acl = acl_whitelist_local_deny
hosts = ${if exists{CONFDIR/local_host_blacklist}\
{CONFDIR/local_host_blacklist}\
{}}
поместить в "acl_check_rcpt:"? Или же синтаксис нужно видоизменить?
Ну и напоследок - я конечно сомневаюсь, что найдутся добрые люди, которые ответят мне на этот вопрос, но тем не менее задам. Хочется сделать такую вещь - сделать так, чтобы почта шла только с определенных мной доменов(в базе там или в файле), ито не вся, а к примеру если такое возможно, то прописать чтобы на определенный почтовый ящик в моем домене приходила только почта от определенных ящиков(опять же прописанных либо в базе либо в файле). По идее это возможно, только вопрос как? Кто знает реализацию не откажите - напишите как?!!!!!
Re: спам посыпался!!!
Добавлено: 2008-10-03 7:08:19
lomaker
опробировал я это правило - не работает что-то! пропускает все письма с доменов блэклиста. в чем соль то? з.ы. предыдущие вопросы в силе
Re: спам посыпался!!!
Добавлено: 2008-10-03 7:30:08
lomaker
извиняюсь - дело было в том, что надо было ребут сделать
после ребута блэклист заработал!!! экзим рулит!!!
Re: спам посыпался!!!
Добавлено: 2008-10-03 7:34:17
lomaker
только вот теперь встала проблемка с dspam - он гад с яндекса например письма не пускает, помещает их в папку /var/db/dspam/data/
user@domain.ru.mbox. Что это за папка? Пробовал вынуть из нее это письмо и отправить на адрес
notspam-user@domain.ru а он пишет что сигнатуры какого-то х... нет!!! Подскажите почему он вообще эти письма как спам классифицировал и как мне их в не-спам добавить, переобучить его?