forum.lissyara.su

Если не знаешь что делать – делай шаг вперёд
https://forum.lissyara.su/

Обрзание спама по заголовку from

https://forum.lissyara.su/viewtopic.php?f=20&t=3199

Страница 1 из 1

Обрзание спама по заголовку from

Добавлено: 2007-04-11 11:50:34
Vitaly
сыпится спам с вот такими заголовками (ниже) . подскажите правило чтоб рубило по полю from если там подставляют цифры через точку. (Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87]))

Received: from dovecot by host.rumex.ru with spam-scanned (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXit-000Om4-50
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:35 +0400
Received: from sp604005mt.neufgp.fr ([84.96.92.11] helo=smtp.Neuf.fr)
by host.rumex.ru with esmtp (Exim 4.66)
(envelope-from <boegt@chat.ru>)
id 1HbXir-000Ola-Tt
for postmaster@dorc.ru; Wed, 11 Apr 2007 11:58:34 +0400
Received: from 87.113.67-86.rev.gaoland.net ([86.67.113.87])
by sp604005mt.gpm.neuf.ld
(Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006))
with SMTP id <0JGB00MP6MIGSC30@sp604005mt.gpm.neuf.ld> for postmaster@dorc.ru;

Добавлено: 2007-04-11 13:56:02
Alex Keda

Код: Выделить всё

  # Считем число точек или дефисов в доменном имени. (больше 4-х - в топку)
  warn    condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){4,})\N}{yes}{no}}
     hosts         = !+relay_from_hosts : *
     set acl_m0   = ${eval:$acl_m0+40}
#     logwrite   = "STAGE4: ACL m0 set = $acl_m0 for host=$sender_host_name [$sender_host_address] with HELO=$sender_helo_name - more dots in name"
типа такого...
http://forum.lissyara.su/viewtopic.php?t=2747

Добавлено: 2007-04-11 15:21:36
Vitaly
просьба посмотреть - так ли я написал. строго не судить - в экзиме новичок )))
число точек и дефисов уменьшил до трёх

deny message = "HELO $sender_helo_name - more dots in name"
condition = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
hosts = !+relay_from_hosts
logwrite = "HELO=$sender_helo_name - more dots in name"

Добавлено: 2007-04-11 16:24:51
Alex Keda
да вроде верно
пробуй :)
=========
кнопочку code юзайте пжалста..
читать литинги очень неудобно...

Добавлено: 2007-04-11 16:28:16
Vitaly
Извините - следующий раз буду внимательней в написании ))
добавил перед блэк-листами - посмотрим что с этого получится.

Добавлено: 2007-04-11 16:33:57
Alex Keda

Код: Выделить всё

deny   message       =  "HELO $sender_helo_name - more dots in name" 
          condition   = ${if match{$sender_host_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
и кстати - у тебя в первой и второй строке разные переменный...
проверяешь одну а ругаешься на другую. :)

Добавлено: 2007-04-11 16:48:59
Vitaly
а это чтоб врага запутать )))))
спасибо - поправил

Код: Выделить всё

  
# Рубаем у кого 3 точки или 3 дефиса в HELO
  deny message = "$sender_helo_name - more dots or hyphens in name"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.|\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

Добавлено: 2007-04-12 8:43:47
Vitaly
как говорится - первый блин всегда комом ))) немного перестарался с количеством точек и тире. Разделил правило на два - количество точек равно 4 , количество тире оставил 3 )))

Apr 12 09:37:49 host exim[41124]: "HELO=mfront7.mail.yandex.net - more dots in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"
Apr 12 09:37:49 host exim[41124]: H=(mfront7.mail.yandex.net) [213.180.223.96] I=[84.21.70.195]:25 F=<test@yandex.ru> rejected RCPT <msk@dorc.ru>: "mfront7.mail.yandex.net - more dots or hyphens in name"

Добавлено: 2007-04-12 8:50:37
Alex Keda
у меня были клиенты со вполне легальным mx - тока точек там было штук 5 :)))
это не панацея, и запрещать на этом основании нельзя - надо добавлять очков за спам, например...

Добавлено: 2007-04-12 8:53:15
Vitaly

Код: Выделить всё

  # Рубаем у кого 4 точки в HELO
  deny message = "$sender_helo_name - a lot of dots in the name(more than 4)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\.]){4,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"

  # Рубаем у кого 3 дефиса в HELO
  deny message = "$sender_helo_name - a lot of hyphes in the name(more than 3)"
        condition = ${if match{$sender_helo_name}{\N((?>\w+[\-]){3,})\N}{yes}{no}}
        hosts = !+relay_from_hosts : !localhost : !127.0.0.1/8 : *
        logwrite = "HELO=$sender_helo_name - more dots in name"
ну пока оставляю так - а со временем посмотрим ))

Добавлено: 2007-04-12 8:55:48
Vitaly
да .... очки за спамность как в антиспамере средствами самого exim - это круто конечно - нужно обмозговать - мож и стоит сделать по Вашей статье )))
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/