Страница 1 из 1
Как бороться?
Добавлено: 2016-06-20 11:26:25
gyurza2000
Скажите пожалуйста, в последнее время стали приходить письма мне от самого себя (криво сформулировал, но, думаю понятно)
Как такое шлют и как с этим справляться?
Данный ящик используется на сайте с формой обратной связи. Форма обратной связи с капчей
IP почтовика, да и сайта: 37.153.12.75
Код: Выделить всё
Return-path: <info@agrorus.org>
Envelope-to: info@agrorus.org
Delivery-date: Mon, 13 Jun 2016 20:35:28 +0400
Received: from mailnull by adios.spb.ru with spam-scanned (Exim 4.86 (FreeBSD))
(envelope-from <info@agrorus.org>)
id 1bCUpk-000Poj-Tl
for info@agrorus.org; Mon, 13 Jun 2016 20:35:28 +0400
Received: from [123.22.136.190]
by adios.spb.ru with esmtp (Exim 4.86 (FreeBSD))
(envelope-from <info@agrorus.org>)
id 1bCUpk-000Poa-3C
for info@agrorus.org; Mon, 13 Jun 2016 20:35:28 +0400
Date: 21 Jun 2016 06:37:09 +0600
From: <info@agrorus.org>
X-Priority: 3
Message-ID: <985043835.201606210659@agrorus.org>
To: <info@agrorus.org>
Subject: Most Effective Nutrition Diet Designed For Women
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------9D54263A2BEF483"
Как бороться?
Добавлено: 2016-06-20 12:11:23
xM
Не принимать от ваших пользователей по SMTP без аутентификации.
Как бороться?
Добавлено: 2016-06-20 13:28:11
gyurza2000
А форма обратной связи?Отключить?
Как бороться?
Добавлено: 2016-06-20 14:31:43
f_andrey
А зачем ей слать письма через общий интерфейс, можно для этого например организовать приём только локальной почты через тот же 587 например.
Как бороться?
Добавлено: 2016-06-20 15:28:51
xM
gyurza2000 писал(а): А форма обратной связи?Отключить?
Ну зачем же? Разрешите отправлять, например, с этого IP если у вас веб-сервер находится не там же, где почтовый.
А если там же, то разрешите приём почты от локальных без аутентификации и лишних проверок.
Как бороться?
Добавлено: 2016-06-20 16:27:49
gyurza2000
WEB сервер там же где и почтовый. Как проще организовать? Конфиг eximа в части реализации как должен выглядеть, не подскажите?
Как бороться?
Добавлено: 2016-06-20 16:39:23
xM
На пальцах как-то так.
Если он у вас оправляет через
mail (т.е. не по SMTP) то поставить где надо в ACL
и предусмотреть в ACL RCPT accept для authenticated и далее deny если пытаются отправить от имени ваших пользователей без аутентификации.
Но надо смотреть внимательно в каком месте всё это вставлять и как и когда проверять.
Как бороться?
Добавлено: 2016-06-20 16:44:33
gyurza2000
отправляет по SMTP. Настройки аутентификации прописаны на сайте в админке
Как бороться?
Добавлено: 2016-06-20 17:01:05
xM
gyurza2000 писал(а): отправляет по SMTP. Настройки аутентификации прописаны на сайте в админке
Ну тут не столь важно - смотрите ACL RCPT на проверки аутентификации.
Кстати, раз у вас там
такая напасть, то нельзя исключать что у вас и пароль упёрли от этой почтовой записи.
Как бороться?
Добавлено: 2016-06-20 17:05:42
gyurza2000
Да я пароли после таких дописок кода меняю. Последний раз та напасть случилась 18.06, а письма подобные ходят уже давненько и регулярно
Как бороться?
Добавлено: 2016-06-20 17:14:10
xM
gyurza2000 писал(а): Да я пароли после таких дописок кода меняю. Последний раз та напасть случилась 18.06, а письма подобные ходят уже давненько и регулярно
Значит у вас принимает без аутентификации от удалённых хостов.
Как бороться?
Добавлено: 2016-07-21 13:19:15
Andrey12
Насколько понял в данном случае происходит спуфинг адреса отправителя на уровне конверта письма - отправка с левого IP-адреса 123.22.136.190 (по ходу спамеры из Вьетнама) от имени Вашего ящика
info@agrorus.org на Ваш же почтовик.
Как вариант создать SPF запись для домена agrorus.org с жесткой политикой (для начала можно и с мягкой), например:
На уровне exim'а проверить выполняется ли проверка SPF.
Плюс можно так же реализовать DKIM и DMARC.
Как бороться?
Добавлено: 2016-07-21 13:39:21
f_andrey
SPF и прочее дело конечно благодатное, но в данном случае совершенно излишнее (так как обрабатывается он позновато и довольно таки затратно), зачем принимать почту со своими адресами, на внешних интерфейсах, у exim хватает механизмов для предотвращения этого, более простыми методами.
Как бороться?
Добавлено: 2016-07-21 14:18:21
Andrey12
f_andrey, в данном случае да возможно немного избыточно, но вообщем настройки связанные с SPF дадут и дополнительные плюсы (конечно это все возможно и не надо; и не без минусов в плане пересылок и т.п.): отклонение попыток спуфинга своего домена на других почтовиках (с проверкой SPF), фильтрация спуфинга на своем почтовике не только своего домена, но и других.
Обработка в acl_smtp_rcpt на уровне SMTP-сессии это поздновато?
Цена затратности тоже решается поставленными задачами, нагрузкой, ресурсами, архитектурой решения, т.е. вопрос относительный.