Главная » Форум » Gentoo Linux » Системное администрирование

И снова про спам

andribas 17 июля, 2009 - 14:19

Здравствуйте!

Беспокоит такая проблема: попал в bl.spamcop.net
работает postfix, логи ведутся, вроде все норм должно быть

Цитата:
Causes of listing
System has sent mail to SpamCop spam traps in the past week (spam traps are secret, no reports or evidence are provided by SpamCop)

Вопрос:
1. Как отладить, где смотреть?
2. Есть форум. Теоретически такая ситуация. Подсовывают адрес ловушки при регистрации и письмо отправлено.
Только почему его тогда не видно в логе и возможно ли такое?

Написал им письмо с просьбой объяснить в течение суток ответят.

Цитата:
Automatic delisting
If you are the administrator of uralpress.ru and you are sure it will not be the subject of any more reports of spam, you may cause the system to be delisted without waiting for us to review the issue.

You may only do this once per IP! So please be sure that the problem is really and truly resolved. If you delist your system and we get more spam reports about it, you will not be allowed to expedite delisting again. Delisting normally occurs 24 hours after spam reports have ceased.

‹ Мост и vlan [SOLVED] Проблемы с PPpoE ›
»

.

Автор Anarchist, дата создания 17 июля, 2009 - 14:35.
andribas написал(а):
Только почему его тогда не видно в логе и возможно ли такое?

А чего ты ожидаешь увидеть в логе?

По моему опыту: приём в нормальном режиме (логирование и перенаправление в /dev/null) --- один из типовых сценариев отработки почты на SpamTrap.

:wq
--
Live free or die

»

Anarchist написал(а):andribas

Автор andribas, дата создания 17 июля, 2009 - 14:43.
Anarchist написал(а):
andribas написал(а):
Только почему его тогда не видно в логе и возможно ли такое?

А чего ты ожидаешь увидеть в логе?

По моему опыту: приём в нормальном режиме (логирование и перенаправление в /dev/null) --- один из типовых сценариев отработки почты на SpamTrap.

В логе ожидаю видеть так:

Jul 17 15:53:34 mail postfix/smtp[25654]: 8E91C511A5: to=<uralpress@incoming.rambler.ru>, relay=incoming.rambler.ru[81.19.66.57]:25, delay=0.37, delays=0.01/0.01/0.17/0.18, dsn=2.0.0, status=sent (250 2.0.0 n6H9moY16808 Message accepted for delivery)

проверил адреса - все старые проверенные.
Есть 2 хост на котором форум. Подключается ТОЛЬКО па логин и пароль к почте. отправляет регистрацию на форум и т.д.
в логе все равно должен быть я так понимаю.
потому что

тоже скрипт отправляет и тоже по логину.
локалка вся через логин.

По сути:
при чем здесь spamTrap не понял, в список я попал, потому что не туда отправил.
System has sent mail to SpamCop spam traps in the past week

»

Привет, опять пересеклись

Автор Avari, дата создания 22 июля, 2009 - 19:34.

Привет, опять пересеклись ;)
Нормальный пользователь не может написать письмо на адрес спамтрапа - эти адреса выкладываются в расчете на попадание в списки, формируемые спамерскими автоматическими сборщиками адресов.
Следовательно, скорее всего это у тебя хулиганит бот из спамерского ботнета.
Бот практически со стопроцентной вероятностью сидит на одном из Windows-компов пользователей.
Вопрос: IP, с которого у тебя работает почтовый сервер, также используется и для SNAT пользователей из внутренней сети?
Если да - можешь сразу начинать искать, к кому бот подсел из тех, кому NAT разрешен.
А вообще по-хорошему SNAT на 25 порт во внешней сети для простых пользователей не должен осуществляться. Пусть пользуются локальным SMTP-сервером, что им еще надо? Это только для спамботов нужно...

»

Avari написал(а):Привет,

Автор andribas, дата создания 23 июля, 2009 - 09:30.
Avari написал(а):
Привет, опять пересеклись ;)
Нормальный пользователь не может написать письмо на адрес спамтрапа - эти адреса выкладываются в расчете на попадание в списки, формируемые спамерскими автоматическими сборщиками адресов.
Следовательно, скорее всего это у тебя хулиганит бот из спамерского ботнета.
Бот практически со стопроцентной вероятностью сидит на одном из Windows-компов пользователей.
Вопрос: IP, с которого у тебя работает почтовый сервер, также используется и для SNAT пользователей из внутренней сети?
Если да - можешь сразу начинать искать, к кому бот подсел из тех, кому NAT разрешен.
А вообще по-хорошему SNAT на 25 порт во внешней сети для простых пользователей не должен осуществляться. Пусть пользуются локальным SMTP-сервером, что им еще надо? Это только для спамботов нужно...

Привет!
спасибо за подсказку.
проблему устранил - в локалке сидел бот на одном из компов.
теперь в спамхаус отправил запрос на удаление, - только по запросу
а спамкоп пишет сам удалит в течение суток.
25 порт не хочется всем закрывать, чтобы был доступ майл.ру и т.д.
пока думаю как с этим быть. Наверное все-таки закрою.

Почувствовал на себе "ЗЛО" черных списков :)

»

/

Автор Anarchist, дата создания 23 июля, 2009 - 12:02.
andribas написал(а):
25 порт не хочется всем закрывать, чтобы был доступ майл.ру и т.д.
пока думаю как с этим быть. Наверное все-таки закрою.

А надо. :)

У мыл.ру (не говоря о том, что сим сервисом пользоваться не стоит) есть вьеб-морда. А кроме того предусмотрена возможность подключения клиента на отличный от 25-го порт.

:wq
--
Live free or die

»

а

Автор leryc, дата создания 23 июля, 2009 - 17:07.
Цитата:
25 порт не хочется всем закрывать, чтобы был доступ майл.ру и т.д.
пока думаю как с этим быть. Наверное все-таки закрою.

Почувствовал на себе "ЗЛО" черных списков :)

а в чём проблема-то ?
если человеков до 20-30 - пробросить порты portmap'ом
плюсы - всё под контролем, включая трафик, никуда из колеи - и всякие боты не страшны
минус - на каждого клиента уходит 2-3 порта (smtp,pop,imap)

25-й надо закрывать, иначе из блеклистов не выберешься и постоянно надо быть начеку

на крайний случай айпитаблом закрыть исходящие по 25-му навсюду, кроме доверенных (майл.ру, яндекс и иже с ними)

если человеков более 50 - один раз поднять exim и навсегда забыть о проблемах

что-то добрый я сегодня ....

»

andribas написал(а):25 порт

Автор Avari, дата создания 26 июля, 2009 - 17:42.
andribas написал(а):
25 порт не хочется всем закрывать, чтобы был доступ майл.ру и т.д.
пока думаю как с этим быть. Наверное все-таки закрою.

У меня вообще запущенный случай - идиотская диджейская прога, если падает, отправляет автору отчет на предмет "почему упала"... причем сама, зараза такая, ищет smtp-сервер для того адреса, которому отчет надо сбросить, и коннектится напрямую...
Для тех машин, на которых этот мастдай стоит, приходится разрешать 25 порт. А прочим - реально НЕ НУЖНО!!!
Пользуются они в основном местными почтовыми адресами. Но местный SMTP-сервер вполне замечательно отправит и письмо от имени любого

- да хоть и от

;) ;) ;) с диапазона адресов местной локалки - есс-но, что угодно пропускает...
Другое дело, что такое письмо может нарваться на почтовый сервер, настроенный таким же параноиком ;) - я теперь не пускаю письма с SPF-статусом softfail. Ибо нефиг (C). Мэйлрушная (и джимэйловская, и практически всех бесплатных почтовиков) SPF-запись ставит softfail при отправке письма от имени

через любые SMTP, кроме собственных мэйлрушных.
Но вероятность очень мала :( Бардак-с :( Хорошо хоть народ отучили open relays поднимать... Условнорефлекторным методом...

»

И большое спасибо за помощь в

Автор andribas, дата создания 23 июля, 2009 - 09:56.

И большое спасибо за помощь в настройках!
После того, как мы их обсудили в феврале вот так стал выглядеть график:

Писать спам стали меньше в 2-3 раза :)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".