Блокировка спаса по client_name= (postfix)

0

1

ребята, как блокировать спам сервера по client_name? Я тут в логах вижу один спам сервис http://www.diacid.com

Aug  3 20:30:16 mail postgrey[2915]: action=pass, reason=triplet found, client_name=www.diacid.com, client_address=111.67.207.113, sender=nastya.mmuiyop@mail.ru, recipient=####@zet.com.ua
Aug  3 20:30:29 mail postfix/qmgr[21532]: B34CB20B88: from=<nastya.mmuiyop@mail.ru>, size=7737, nrcpt=1 (queue active)

Я уже один диапазон IP на iptables закрыл, 111.67.206.0/24 Но они уже лезут с 111.67.207.0/24, я просто боюсь еще и этот закрывать, можно как то по client_name? А то dspam вообще не хавает эти письма!

Ссылка

←	Пробросить порт внутри локалки

Использовать ли вирт машины? Роутер для офиса в вирт. машине..

→

По идее вам нужно в smtpd_helo_restrictions прописать check_helo_access и создать соответствующую таблицу (файл).

А так, ИМХО, проще по ip-адресам весь китай и юго-восточную азию по ip-адресам заблокировать, пока у вас не на найдётся желающий вести с ними переписку.

mky ★★★★★
(04.08.14 00:36:26 MSK)

Ответ на: комментарий от mky 04.08.14 00:36:26 MSK

Ну получается что по этим IP выдает Китай. А как весь китай рубануть? на iptables, ило добавлять еще и 111.67.207.0/24 ? и не париться!

macik ★
(04.08.14 00:49:26 MSK) автор топика

Ответ на: комментарий от macik 04.08.14 00:49:26 MSK

Можно ручками добавлять, можно поставить ″geoip″ и тогда в правилах iptables указывать страны.

mky ★★★★★
(04.08.14 04:23:17 MSK)

Как насчёт какого-нибудь DNSBL?

frozen_twilight ★★
(04.08.14 04:35:55 MSK)

Ответ на: комментарий от frozen_twilight 04.08.14 04:35:55 MSK

да стоит у меня и вроде работает ....

        reject_rbl_client dnsbl.ahbl.org,
        reject_rbl_client dnsbl.inps.de,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl.spamhaus.org,

anonymous
(04.08.14 10:52:30 MSK)

Ссылка

Ответ на: комментарий от frozen_twilight 04.08.14 04:35:55 MSK

Да и вот что в логах у меня. IPtables я поставил чтобы в лог кидал мне данные

Aug  4 09:30:09 mail kernel: [6020135.785876] IP REJECT SPOOF A:IN=eth0 OUT= MAC=94:de:80:ad:40:0c:00:1e:8c:53:c3:92:08:00 SRC=111.67.207.114 DST=192.168.22.204 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=29751 DF PROTO=TCP SPT=57836 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0

вот это MAC=94:de:80:ad:40:0c:00:1e:8c:53:c3:92:08:00

Эта часть 94:de:80:ad:40:0c это мой MAC, а что это 00:1e:8c:53:c3:92:08:00

macik ★
(04.08.14 10:58:33 MSK) автор топика

Ответ на: комментарий от macik 04.08.14 10:58:33 MSK

Вот что я выяснил. Заморачиваться с «client_name» не стал. Поставил второе правело на подсеть 111.67.207.0/24 в iptables. Но поставил не DROP, а REJECT.

iptables -A INPUT -s 111.67.207.0/24 -j LOG --log-prefix "IP REJECT SPOOF A:"

iptables -A INPUT -s 111.67.207.0/24 -j REJECT

Первая строка записывает в лог, потом можно посмотреть откуда лезут

Вторая, уже футболист.

Как я понял, REJECT, это оналог «я занят». Вот они и меняют только IP но не всю подсеть и уже вторые сутки пытаются отправить мне почту. Благодаря логам вычислил, что лезут с нескольких IP адресов, потом соберу и заблокирую именно их.

macik ★
(05.08.14 11:08:23 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 04.08.14 04:23:17 MSK

geoip может не поддерживаться в старых версиях iptables, и тогда на помощь приходит ipset. Если ТСу надо заблокировать много отдельных адресов или подсетей, то так будет даже предпочтительней, т. к. придётся вносить всего одно правило.

xfilx ★★
(05.08.14 11:24:04 MSK)

Ответ на: комментарий от xfilx 05.08.14 11:24:04 MSK

ну вижу что по логам теперь ребята увеличивают IP адрес раз в сутки.

Идут с двух IP и сутки долбят.

вот спамеры назойливые ублюдки!

macik ★
(05.08.14 15:44:33 MSK) автор топика

Ответ на: комментарий от macik 05.08.14 15:44:33 MSK

я делаю так:

ipset -N blacknet nethash
for i in `cat /root/blocked_ip`; do ipset -A blacknet $i; done
iptables -I INPUT 1 -m set --match-set blacknet src -j DROP

в /root/blocked_ip — всякие китайские адреса, я их брал отсюда: http://www.okean.com/sinokoreacidr.txt

xfilx ★★
(06.08.14 00:29:49 MSK)

Ответ на: комментарий от xfilx 06.08.14 00:29:49 MSK

Ну моих IP нет в этом списке

macik ★
(08.08.14 10:50:17 MSK) автор топика

Ответ на: комментарий от macik 08.08.14 10:50:17 MSK

Вот сволочи, пробили. Зашли суки с 203 подсети ....

macik ★
(08.08.14 15:49:39 MSK) автор топика

Ссылка

Ну вот и все. недельный мониторинг показал. Ребята успокоились, с 8-го числа молчат и не пытаются долбить.

Закрыл три подсети:

111.67.206.0/24 
111.67.207.0/24 
111.67.203.0/24

Теперь спама у меня вообще нет.

macik ★
(11.08.14 17:22:59 MSK) автор топика

Ответ на: комментарий от macik 11.08.14 17:22:59 MSK

Чем парсил логи postfix-а ?

Infra_HDC ★★★★★
(11.08.14 18:00:10 MSK)

Ответ на: комментарий от Infra_HDC 11.08.14 18:00:10 MSK

а зачем ?

вообще через grep

macik ★
(17.08.14 23:55:24 MSK) автор топика

Ссылка

Открой для себя маску /23.

ei-grad ★★★★★
(17.08.14 23:59:02 MSK)

Ответ на: комментарий от ei-grad 17.08.14 23:59:02 MSK

я по очереде добавлял эти сетки. По мере обнаружения нового спама.

У меня подозрение можно все 111.67.*.* закрыть, это китай и его можно закрыть нахрен.

Подскажите все ip с 111.67.0.1 по 111.67.254.254 маска 111.67.254.254/32 ?

macik ★
(18.08.14 00:12:18 MSK) автор топика

Ответ на: комментарий от macik 18.08.14 00:12:18 MSK

111.67.0.0/16, https://en.wikipedia.org/wiki/IPv4_subnetting_reference

ei-grad ★★★★★
(18.08.14 02:27:12 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Пробросить порт внутри локалки

Admin

Использовать ли вирт машины? Роутер для офиса в вирт. машине..

→

Похожие темы