Страница 1 из 1
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-05-27 19:29:04
Demonik
Добра в хату. ПОдскажите что за проблема и как её можно решить с помощью ACL exim.
Суть: приходит СПАМ (никак не поменчается) письмо
мне(
duev.d@tentorium.ru) но в получателе находиться
не мой(
emailinfo@tenniskort.ru) адрес. В заголовках BCC не вижу.
Код: Выделить всё
Received: from EX1.TENTORIUM.LAN (10.0.14.6) by EX1.TENTORIUM.LAN (10.0.14.6)
with Microsoft SMTP Server (TLS) id 15.0.1044.25 via Mailbox Transport; Fri,
27 May 2016 14:14:41 +0500
Received: from EX1.TENTORIUM.LAN (10.0.14.6) by EX1.TENTORIUM.LAN (10.0.14.6)
with Microsoft SMTP Server (TLS) id 15.0.1044.25; Fri, 27 May 2016 14:14:40
+0500
Received: from mailgw.tentorium.ru (93.170.7.7) by EX1.TENTORIUM.LAN
(195.128.133.109) with Microsoft SMTP Server (TLS) id 15.0.1044.25 via
Frontend Transport; Fri, 27 May 2016 14:14:40 +0500
Received: from s1.fatema.ru ([188.138.74.142] helo=fatema.ru)
by mailgw.tentorium.ru with esmtp (Exim 4.80)
(envelope-from <avwolxs@fatema.ru>)
id 1b6Dqp-0006bt-98
for duev.d@tentorium.ru; Fri, 27 May 2016 14:14:40 +0500
Received: from fatema.ru (unknown [95.46.114.58])
by fatema.ru (Postfix) with ESMTPA id 4CE4C4EE4AA;
Fri, 27 May 2016 04:21:47 +0300 (EEST)
Message-ID: <c3d401d1b7cf$4bc9e190$a388175f@avwolxs>
Reply-To: <alexandrowa.inna2017@yandex.ru>
From: =?windows-1251?B?0NQ=?= <avwolxs@fatema.ru>
To: <emailinfo@tenniskort.ru>
Date: Fri, 27 May 2016 04:21:52 +0300
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
boundary="----=_NextPart_000_0006_01D1B7CE.2CF6E8E0"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Received-SPF: pass
X-SA-Exim-Connect-IP: 188.138.74.142
X-SA-Exim-Mail-From: avwolxs@fatema.ru
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on none
X-Spam-Level:
X-Spam-Status: No, score=0.4 required=5.0 tests=BAYES_00,
FREEMAIL_FORGED_REPLYTO,FREEMAIL_REPLYTO_END_DIGIT,HTML_MESSAGE,SPF_HELO_PASS,
SPF_PASS,T_RP_MATCHES_RCVD autolearn=no version=3.3.2
Subject: =?windows-1251?B?0e3o5uXt6OUg5+Dw7+vg8vsg5+Ag7eXx7u7y4uXy8fLi6OUg7/Du9PHy4O3k4PDy4Owg8SAxIOj+6/8gMjAxNuMuIM/u8evl5O3o5SDo5+zl7eXt6P8g0sog0NQ=?=
X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:24:06 +0000)
X-SA-Exim-Scanned: Yes (on mailgw.tentorium.ru)
Return-Path: avwolxs@fatema.ru
X-MS-Exchange-Organization-Network-Message-Id: 0dcf7851-f962-4da9-5756-08d3860f55b4
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: EX1.TENTORIUM.LAN
X-MS-Exchange-Organization-AuthAs: Anonymous
X-EsetId: 37303A29F136716F637561
Пока что написал вот такой правило, буду тестировать:
Код: Выделить всё
#Спам со скрытой копией или с пересылки тоже со скрытой копией (BCC спам)
drop condition = ${if def:h_to:}
condition = ${if forall{${addresses:$h_to:}} \
{!match{$item}{@domain.com\$}}}
!senders = : *@tentorium.ru : *@tentorium.biz : *@lists.tentorium.ru : *@gmail.com : *@mail.ru : *@inbox.ru : *@bk.ru : *@list.ru : *@rambler.ru : *@yandex.ru : *@lists.tentorium.ru
message = No Bcc and forwarded messages
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-05-27 20:31:58
xM
Очень просто. Они в SMTP-сессии в RCPT TO пишут ваш реальный адрес, а в заголовке TO уже то, что вы видите.
Обычная спамерская техника.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-05-30 20:23:10
Demonik
Не очень действенный метод, т.к. много сервисов которые не проходят эту проверку. Нужно либо составлять список доменов постоянно его пополняя либо искать другой метод борьбы со скрытой копией.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-06-02 0:31:34
xM
У меня с таким (да и со всем остальным) спамом прекрасно справляется стандартный конфиг Exim с синтаксическим разбором сессии, проверками на корректность DNS, проверками SPF, DKIM, ADSP, DMARC, DCC, DNSBL и Spamassassin без специально сформулированных для этих случаев правил.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-06-02 22:25:50
xM
Кстати, я бы вас предостерёг от проверки соответствия поля To: указанному в SMTP сессии адресу в команде RCPT TO. Его, кстати, можно увидеть в поле Envelope-to: Дело в том, что то же метод доставки используют почти все листы рассылок и в частности стандартный лист-сервер Mailman. Тем самым вы зарежете и вполне нормальные и даже нужные письма.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-06-03 12:29:58
Demonik
xM писал(а):У меня с таким (да и со всем остальным) спамом прекрасно справляется стандартный конфиг Exim с синтаксическим разбором сессии, проверками на корректность DNS, проверками SPF, DKIM, ADSP, DMARC, DCC, DNSBL и Spamassassin без специально сформулированных для этих случаев правил.
А можете показат как у Вас реализована проверка по ADSP, DMARC, DCC?
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-06-03 13:27:37
xM
Ну, во-первых, у вас совершенно другая конфигурация, как я понял, и Exim выступает шлюзом перед Exchange.
Во-вторых, у меня есть ряд специфических правил и оговорок в них, которые вас только запутают. Ну и, в-третьих, конфиг просто весьма обширный и отнюдь не из-за комментариев.
Т.е. смысла я не вижу. Но помочь могу в чём-то, конечно. При конкретном вопросе по-существу.
Например, по DMARC можете почитать статью
https://kostikov.co/post/dmarc-dlya-bor ... om-frontah
или на Хабре
https://habrahabr.ru/post/302162/.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-19 18:00:15
Lancc
День добрый, идёт много спама от домена co.ua
Порылся по форуму нашёл такое вот правило, но оно не работает, как бы мне этих спамеров грохнуть?
Блокировка IP-Адресов по странам:
deny message = "Host in blacklist - $dnslist_domain \n $dnslist_text"
dnslists = co.ua.countries.nerd.dk
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-19 19:39:56
xM
Lancc писал(а): deny message = "Host in blacklist - $dnslist_domain \n $dnslist_text"
dnslists = co.ua.countries.nerd.dk
Крайне хреновая идея слепо верить DNSBL. Хотя бы потому, что в них могут быть ошибки.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-20 10:55:37
Lancc
я слепо и не верю), ибо это даже не работает...) вот и спрашиваю как заблокировать домен co.ua?
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-21 17:59:05
Lancc
Никто не знает?
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-21 20:04:37
xM
Lancc писал(а): Никто не знает?
Все усиленно читают за вас документацию на Exim чтобы скорее написать за вас нужное вам правило и решить, тем самым вашу задачу и сэкономить ваше драгоценное время.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-26 16:09:16
Lancc
Так я же читаю и нашёл, но к сожалению не работает
мои правила
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_dkim = acl_check_dkim
это вставляем до acl листов
addresslist denysenders = lsearch*@;/etc/exim4/list/denysenders
это сразу после acl_check_rcpt
deny message = SPAM !!! rejected, $sender_address is in a black list
senders = +denysenders
где в etc/exim4/list/denysenders
*@*.co.ua
немного сомневаюсь в правильности lsearch*@ и файла со списком доменов
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-26 17:48:50
xM
Lancc писал(а): *@*.co.ua
Это вы мощно - всю Украину забанить.
Предлагаю сразу весь интернет уже.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-27 11:19:12
Lancc
xM, Уважаемый), co.ua не вся Украина и собственно у нас с ними никаких общих дел нет, а спама от этого домена 99%, не вижу смысла их не заблочить, 99.9% русский спам фильтруется
Вы бы лучше совет какой дали.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-27 11:43:15
xM
Lancc писал(а): Вы бы лучше совет какой дали.
Совет один - методом проб и ошибок выстраивать автоматическую комплексную сбалансированную систему фильтрации спама.
Либо, если нет времени, можно пригласить специалиста, который развернёт такую систему на базе своих наработок. Есть настоящие гуру в этой сфере (нет, это не я
)
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-09-28 18:18:26
Lancc
так и не допёр я как настроить блокировку, слаб я в этих переменных, сделал по другому.
Можно просто написать в spamassassin blacklist_from *@*.co.ua и он сразу 100 баллов накинет, но я перенастроил правила, теперь почти весь спам с баллами выше 10 выкидывается, всё что от 6 до 10 уходит на ящик
spam@domen.ru, там в основном рассылки всякие, ничего полезного, а нормальные письма ходят куда нужно...
Нужно конечно наблюдать и допиливать, но это вариант не сильно подходит на высоко нагруженные сервера, говорят spamassassin сильно грузит сервера, хотя у меня он висит на виртуалке на debian и всегда 0-1% cpu и 2гб памяти
вот примерно за день отправлено
Volume Messages
remote_smtp 501MB 860
как посмотреть принято не знаю), поищу завтра.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-10-03 10:45:36
guest
xM писал(а):Lancc писал(а): *@*.co.ua
Это вы мощно - всю Украину забанить.
Предлагаю сразу весь интернет уже.
А так же
defer hosts = *.co.ua : *.biz.ua
Кстати во всех блокировках использую defer, зачем убивать надежду.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-10-03 12:49:12
xM
Если вы имеете ввиду ребят типа holihik.co.ua или lana.biz.ua со случайно сгенерированной local_part, то что вы тогда делаете с точно такими же рассыльщиками из зоны .ru ? Руками ловите?
Ну, как бы, дело личное. У меня они автоматом ловятся все прекрасно.
undefined писал(а): Кстати во всех блокировках использую defer, зачем убивать надежду.
Ну так они ж дальше будут ломиться грузя ваш сервер. Смысл? Или у вас была мысль чтоб они точно также свой загрузили бессмысленным долбежом?
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-10-03 17:12:01
guest
xM писал(а):Если вы имеете ввиду ребят типа holihik.co.ua или lana.biz.ua со случайно сгенерированной local_part, то что вы тогда делаете с точно такими же рассыльщиками из зоны .ru ? Руками ловите?
Ну, как бы, дело личное. У меня они автоматом ловятся все прекрасно.
Перебор вы имеете в виду? Не вижу ни одного за прошлый месяц от них с co.ua.
Мы не провайдер, есть то ящиков 100. Если с нашей стороны идет сообщение, адрес получателя пишется в белый список. Соответственно формальные проверки для всего остального включены на полную (dns, обратная запись, имена содержащие признаки пользовательских пулов и т.д.). А эти ua, проходят все dns проверки, и sender/callout реже но проходит.
xM писал(а):undefined писал(а): Кстати во всех блокировках использую defer, зачем убивать надежду.
Ну так они ж дальше будут ломиться грузя ваш сервер. Смысл? Или у вас была мысль чтоб они точно также свой загрузили бессмысленным долбежом?
С моей стороны задержки выставлены - серьезной нагрузка не будет. Спам стоит в чужих очередях - такой смысл.
Что за вид спама и как с ним бороться?! (exim+exchange)
Добавлено: 2016-10-03 18:17:25
xM
undefined писал(а): Перебор вы имеете в виду?
Нет, я подразумевал что заведомо прописанный набор доменов это не решение проблемы. Всегда появятся новые, которые придётся добавлять руками.
По поводу белого листа для исходящих, это, наверное, хорошо. Но при такой схеме всегда есть шанс задробить вполне себе порядочного отправителя с которым доселе не было контакта на основании ручной блокировки в стиле вашего правила с
defer hosts = *.co.ua : *.biz.ua