LINUX.ORG.RU
ФорумAdmin

Помогите!!!Спам!!


0

0

Появилась большая проблема. Стали ежедневно в большом количестве приходить сообщения с разных серверов о невозможности доставки сообщения. В теле письма всякая реклама, а в качестве адреса отправителя стоят адреса несуществующих пользователей, но из моего домена. Какое есть решение?

anonymous

Ответ на: комментарий от vilfred

Relay точно закрыт. Я уже и исходящие сообщения проверял. От меня ничего подобного не уходило. Кто-то рассылкой занимается, подписываясь моими ящиками. И как с этим бороться? У меня оплата по траффику, а сообщений все больше и больше :-(

anonymous
()
Ответ на: комментарий от anonymous

Есть такое дело, спамеры просто оборзели, я тут под сендмаил модуль
делаю с использованием milter, который проверяет from и connect,
работать должен так, проверяет хост, т.е. функция connect, который
отсекает по маске типа *dsl*, *modem*, *cable*,
*[0-9]*-[0-9]*-[0-9]*-[0-9]*, список составляешь сам правилами regex,
потом from, который проверяет MX запись, т.е. ту часть, которая идет
после @, затем список твоих доменов со списком IPшников, которым
разрешено указывать эти домены. Почти сделал, только есть одна
проблема, я пока незнаю как делать принудительный дисконнект, т.е., что
бы сендмаил закрывал ссесию, в милтере нет такого механизма, и поэтому
спамеры висят как грузди и не хотят отсоединяться, видимо придеться
делать хак с передачей PID'а в милтер и рубить соединение обычным
kill'ом, т.е. убивать сендмейл по PID'у, ну или написать специальную
функцию, которая будет ловить флаг по return и говорить сендмайлу, что
бы он делал exit...

McMCC ★★★
()
Ответ на: комментарий от McMCC

Только что выяснил, что оказывается есть такой механизм в милтере,
как дисконнект, просто нужно при конфигурации для сборки указать
флаг - -D_FFR_MILTER_421, и появится статус SMFIR_SHUTDOWN,
делая return SMFIR_SHUTDOWN, можно рвать соединение, что
собственно и нужно, только эта возможность есть в версии 8.12.10...

McMCC ★★★
()
Ответ на: комментарий от anonymous

>Интересно, как эту проблему решить посредством posfix...
Читайте доку, она - рулез! Не дает он такого делать во вне.
Пользователям моего домена - пожалуйста, подделывайте from, но это - не так страшно :)

anonymous
()
Ответ на: комментарий от anonymous

А вообще - сильно не хватает хорошего почтового FAQ народу! (ИМХО)

anonymous
()
Ответ на: комментарий от McMCC

Хмм. У меня это уже работает, правде, только в той части, которая касается regexp на dns-hostname. Я бы не сказал, что прям панацея. 1) А что делать с теми, кто не резолвится? (Как правило -- какие-нибудь виндовозы, телнетом 25 обратно цепляешься -- говорит "MS Exchange...") 2) MX-хост очень даже не обязательно тот же самый, с которого уходят сообщения. Так штаааа...

Kasper
()
Ответ на: комментарий от Kasper

Ну а что ты реально можешь делать? Ничего. Смотри хидер. У меня было такое. Спамили от моего домена через открытые релеи. Я писал постмастерам этих релеев (не меньше 100 писем, наверное) с просьбой выслать ip спамера. Ни одна сволочь не отвечала, 1 раз ответили что разберутся и сообщат. Самое интересное, что релеи были открыты на порно-доменах %-) Само собой прошло. Пров попросил несколько писем на случай конфликта. Поматюгались втихую и успокоились, через месяц спам закончился.

anonymous
()
Ответ на: комментарий от Kasper

Вы меня немного не поняли, я не предлагаю проверять MX хосты на
соответствие с from, так как понятно, что многие посылают сообщения
через почтовые серверы с другим from, не соответствующего данному
MX этого сервера, да и проверять по ip MX с трудом представляется, суть
такова, что бы from был реальным адресом, а не абройкадаброй типа
spamer@2222222222.com, уже сразу ясно, что ничего хорошего от такого
from не будет, далее, если хост не резолвится, то пошел нафиг такой
хост, достаточно завести список в котором будут ip которым ты
доверяешь, это локальные сетки, ipшники друзей и т.д., но внешние хосты
обязаны резолвится, как бы там нибыло!

McMCC ★★★
()
Ответ на: комментарий от anonymous

Гораздо хуже... Конектясь на твой сервер, зная прекрасно какой
у него MX, можно в поле фром указать admin@твой_домен_по_MX,
кидать во внутрь спам и большенство фильтров, проверяющих
from, будут считать, что это сообщение вашего админа, хотя он
вообще ни каким боком к нему не причастен... Вот это я тоже
хочу пресечь, так как правильно было замечено, что локальные
сетки как правило в домене не светятся и придется делать проверку
по ip....

McMCC ★★★
()
Ответ на: комментарий от Kasper

>А, или свой список айпишников составлять на каждый домен? Блин, облезу
>неровно, ей-богусь...

Не понял, для чего? Поясни, что ты имеешь ввиду?

McMCC ★★★
()
Ответ на: комментарий от McMCC

> а не абройкадаброй типа spamer@2222222222.com
Ну, проверка валидности домена в сендмейле прикручивается http://www.sendmail.org/antispam.html (заметка с названием "Insist On Valid Host Name In MAIL FROM: Command"). Насчет остального -- это я просто невнимательно читал, так что забей :)

anonymous
()
Ответ на: комментарий от McMCC

Забыл подписаться. Предыдущее сообщение от меня.

Kasper
()
Ответ на: комментарий от McMCC

> Гораздо хуже... Конектясь на твой сервер, зная прекрасно какой
> у него MX, можно в поле фром указать admin@твой_домен_по_MX,
> кидать во внутрь спам и большенство фильтров, проверяющих
> from, будут считать, что это сообщение вашего админа, хотя он
> вообще ни каким боком к нему не причастен... Вот это я тоже
> хочу пресечь, так как правильно было замечено, что локальные
> сетки как правило в домене не светятся и придется делать проверку
> по ip....

Мои спамеры ( :) ) такими тонкостями не страдают. Адрес from выбирается от фонаря, домены -- один из целой горы известных типа mail.ru, mtu-net.ru, usa.net, а юзернейм -- вообще набор случайных букв и цифр.

В общем, я вижу только один выход -- банить по regexp'ам dns-имен. Вот была какая-то конторка типа ordb.org, она в своих бан-листах держала не только открытые релеи, но еще и адсл, дхцп, диалапчество итд, так ведь заDoSили, гады. Приходится теперь вручную собирать. (Опен релеев, имхо, по пальцам сосчитать -- их ведь искать надо, трудиться, а для спамеров это противоестественно по определению...)

(Фильтры, конечно, можно надрессировать сурово, но они [имхо опять же] все равно пропускают, да еще и нужное письмо могут прибить.)

Kasper
()
Ответ на: комментарий от Sun-ch

Поддерживаю последнего анонима. Я держу GREYLISTING + SpamAssassin + DNSBL и живется мне очень хорошо.

anonymous
()
Ответ на: комментарий от Sun-ch

Этот грамотный подход немного не по теме, речь идет не о проверке
полученных сообщений, а о том, что бы на этапе приема сообщение,
секции connect и from если так можно сказать, убивать спамеров в
зародыше... Сам подумай, что может быть хорошего с хоста
123-64-57-89.adsl.pupkin.com? Хотя убивать pupkin.com нельзя, так
как mail.pupkin.com есть правильный сервер, средства сендмайла
какраз предлагают банить pupkin.com или прямое указывание
полного названия хоста, я же хочу сделать милтеровское приложение,
демон, который будет перечитывать конфиги с каждым вызовом сендмайла,
и работать через regex...

McMCC ★★★
()
Ответ на: комментарий от McMCC

Полностью поддерживаю McMCC. У меня лично проблема не так в сортировке почты, а именно в большом траффике. И вообще, спамеры оборзели. Хрен с ней с этой рекламой, но подписываться моими адресами, это уже сверх наглость. Прибил бы!

anonymous
()
Ответ на: комментарий от McMCC

Вообщем, я закончил программу, вроде все работает как хочется,
однако пришлось еще править и сам сендмаил, по части милтера,
оказалось, что дисконнект всетаки не делался, патч не большой
вышел, но всеравно, что то они не доделали в этой части...
Если кому интересно, могу выложить прогу с патчем и небольшим
описанием на пробу, если все будет ОК, тогда можно будет выложить
для всеобщего использования... Желающие есть?

McMCC ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.