LINUX.ORG.RU
ФорумAdmin

exim спам без отправителя

 


0

1

Здравствуйте. Ситуация такая был взломан ящик и с него улетело куча спама, после сменил пароль и вроде как спам перестал сыпаться. Но на сервер на ящик который был взломан теперь прилетает частями по несколько сотен сообщений о недоставки сообщений с моего адреса, хотя прошло уже как 2 дня, ещё что странно в очереди эти сообщения висят без отправителя, а получатель мой недавно взломанный ящик. Я не могу понять, кто-то отсылает спам с подменой на имя моего ящика и я получаю отчеты о недоставке, или это тупо спам?

Очередь exim забита такими сообщениями, меняется только id сообщения:

7m  2.9K 1kQ7Sb-0006eK-T7 <>
          slog@giri.ru
exigrep 1kQ7Sb-0006eK-T7 /var/log/exim/main.log
+++ 1kQ7Sb-0006eK-T7 not completed +++
2020-10-07 14:18:20 1kQ7Sb-0006eK-T7 <= <> H=smtp.g5.co.za (G5DMZ-EG02) [196.38.184.101] I=[31.70.228.12]:25 P=esmtp S=3018 id=G10Gai4om000002ca@G5DMZ-EG02 from <> for slog@giri.ru
2020-10-07 14:18:20 1kQ7Sb-0006eK-T7 no immediate delivery: more than 10 messages received in one connection
2020-10-07 14:40:54 1kQ7Sb-0006eK-T7 == slog@giri.ru routing defer (-51): retry time not reached

при получении письма отправитель написан: postmaster@G5DMZ-EG02 тема: Delivery Status Notification (Failure) далее письмо: This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

[email]salime@gmail.com[/email]

Reporting-MTA: dns;G5DMZ-EG02 Received-From-MTA: dns;[94.102.51.202] Arrival-Date: Tue, 6 Oct 2020 09:34:35 +0200

Final-Recipient: rfc822;salime@gmail.com Action: failed Status: 5.7.1 Diagnostic-Code: smtp;550 5.7.1 Unable to relay

хотя прошло уже как 2 дня

Вообще говоря, это зависит от настроек конкретных MTA. Sendmail, например, по умолчанию в течение 5 суток пытается отправить почту, при этом периодически (первый день каждые 4 часа, далее ежедневно) отправляя отправителю сообщения о проблемах с доставкой. И только через 5 суток письмо удаляется из очереди.

Так что не исключено, что это все еще следы Вашей рассылки.

Я не могу понять, кто-то отсылает спам с подменой на имя моего ящика и я получаю отчеты о недоставке, или это тупо спам

Обычно это можно понять из текста самого отчета. Посмотрите внимательнее, там должно быть написано, откуда исходно пришло письмо.

Serge10 ★★★★★ ()

ещё что странно в очереди эти сообщения висят без отправителя

А, и «MAIL FROM:<>» это тоже RFC. Точнее даже STD. Время непуганных постмастеров...

AS ★★★★★ ()
Ответ на: комментарий от AS

Судя вот по этой строчке:

Received-From-MTA: dns;[94.102.51.202] Arrival-Date: Tue, 6 Oct 2020 09:34:35 +0200
похоже, все-таки, имеет место подмена. Данный IP принадлежит какому-то восточному хостингу и вряд ли имеет отношение к серверу автора темы.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Данный IP принадлежит какому-то восточному хостингу и вряд ли имеет отношение к серверу автора темы.

Может быть такая ситуация, что туда улетел спам, а там не очень хороший сервер, который сначала принимает, а потом пытается доставить в локальный ящик. Доставить по какой-то причине не получается, и сервер генерит боунс.

AS ★★★★★ ()

Судя по talosintelligence.com и тому что репутация домена перешла в нейтральное положение и доме удалился из спам базы, я думаю что рассылка закончилась. Я так понимаю что отголоски могут еще несколько дней приходить. Меня только смущает только то что нет адреса отправителя <>

supp0rtmail2019 ()
Ответ на: комментарий от AS

и сервер генерит боунс.

В этом случае должна была бы быть прямая передача по esmtp на MTA автора темы. А вместо этого идет соединение с каким-то сервером в ЮАР. Так что на боунс не похоже.

Serge10 ★★★★★ ()

появилась новая проблема, так как отчеты о недоставке идут очень часто лог забивается мгновенно и fail2ban перестает вообще отрабатывать по нему, както можно настроить exim так чтобы он хотя бы какаето время автоматом их отбрасывал и не не писал в лог

supp0rtmail2019 ()
Ответ на: комментарий от Bootmen

Я тут разобрался в проблеме, после изменения ip адресов в локалке которым нужен полный доступ из отдельного файла приходится перезапускать iptables скрипт, а он в свою очередь цепочку правил чистит, что приводило к проблемам в работе fail2ban так как там вроде как внешний ip был заблокирован, а в цепочке iptables его уже не было, сделал в конце скрипта iptables перезапуск fail2ban чтобы он начинал вновь заполнять правило блокировки.

supp0rtmail2019 ()