LINUX.ORG.RU

Спам с внутренних адресов (Zimbra)

 , ,


0

1

добрый день, с недавнего времени стал приходить спам от рассылки, на ту же рассылку.

----- Пересланное сообщение ----- 
От: "Офис Ду" <du@pochta.ru> 
Кому: "Офис Ду" <du@pochta.ru> 
Отправленные: Пятница, 27 Апрель 2018 г 14:19:37 
Тема: Cecill 

my nipples are like a stone

Вот подробней.

Return-Path: du@pochta.ru 
Received: from mail.pochta.ru (LHLO mail.pochta.ru) (192.168.0.5) by 
 mail.pochta.ru with LMTP; Fri, 27 Apr 2018 12:35:49 +0300 (MSK) 
Received: from localhost (localhost [127.0.0.1]) 
   by mail.pochta.ru (Postfix) with ESMTP id 9AC971820341; 
   Fri, 27 Apr 2018 12:35:48 +0300 (MSK) 
X-Virus-Scanned: amavisd-new at mail.pochta.ru 
X-Spam-Flag: NO 
X-Spam-Score: -86.909 
X-Spam-Level: 
X-Spam-Status: No, score=-86.909 required=4 tests=[BAYES_50=0.8, 
   DOS_OUTLOOK_TO_MX=2.845, HTML_MESSAGE=0.001, 
   RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_BRBL_LASTEXT=1.449, 
   RCVD_IN_MSPIKE_BL=0.01, RCVD_IN_MSPIKE_L5=0.001, RCVD_IN_PSBL=2.7, 
   RCVD_IN_SORBS_WEB=0.77, RCVD_IN_XBL=0.375, RDNS_NONE=0.793, 
   URIBL_DBL_ABUSE_SPAM=2, USER_IN_WHITELIST=-100] 
   autolearn=no autolearn_force=no 
Received: from mail.pochta.ru ([127.0.0.1]) 
   by localhost (mail.pochta.ru [127.0.0.1]) (amavisd-new, port 10024) 
   with ESMTP id siLcSgBoLbbZ; Fri, 27 Apr 2018 12:35:47 +0300 (MSK) 
Received: from rev.193.68.50.10.euroweb.hu (unknown [193.68.50.10]) 
   by mail.pochta.ru (Postfix) with ESMTP id A4221182013F 
   for <du@pochta.ru>; Fri, 27 Apr 2018 12:35:47 +0300 (MSK) 
From: <du@pochta.ru> 
To: <du@pochta.ru> 
Subject: Cecill 
Date: 27 Apr 2018 12:19:37 +0100 
Message-ID: <004401d3de1b$01e216a9$e8ee52be$@pochta.ru> 
MIME-Version: 1.0 
Content-Type: multipart/alternative; 
   boundary="----=_NextPart_000_0041_01D3DE1B.01E0D66B" 
X-Mailer: Microsoft Office Outlook 11 
Thread-Index: Act43sppmrvv037kt43sppmrvv037k== 
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514 
X-Zimbra-DL: du@pochta.ru 

This is a multi-part message in MIME format. 

------=_NextPart_000_0041_01D3DE1B.01E0D66B 
Content-Type: text/plain; 
   charset="ibm852" 
Content-Transfer-Encoding: quoted-printable 


my nipples are like a stone 
------=_NextPart_000_0041_01D3DE1B.01E0D66B 
Content-Type: text/html; 
   charset="ibm852" 
Content-Transfer-Encoding: quoted-printable 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<HTML><HEAD> 
<META content=3D"text/html; charset=3Dus-ascii" = 
http-equiv=3DContent-Type> 
<META name=3DGENERATOR content=3D"MSHTML 8.00.7601.17514"></HEAD> 
<BODY> 
<DIV><SPAN class=3D816084865-27042018><FONT size=3D2=20 
face=3DArial></br> 
<a href=3D"http://skvostudio.ru/assets/templates/new/css/fonts/"><b>my = 
nipples are like a stone</b></a></FONT></SPAN></DIV></BODY></HTML> 
------=_NextPart_000_0041_01D3DE1B.01E0D66B-- 

Подскажите как остановить спам?

Ответ на: комментарий от fbiagent

Подскажите но к примеру если я пишу на гугл акканут. Он показывает что у меня все это есть.

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@doamin.ru header.s=D35BEC90-A233-11E5-BF4B-D8EE2E8E5F0D header.b=OPAEvoK0;
       spf=pass (google.com: domain of hudyakov_s@domain.ru designates xx.xx.xx.xx as permitted sender) smtp.mailfrom=hudyakov_s@domain.ru;
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=domain.ru
madcry ()
Ответ на: комментарий от madcry

Есть вот такого рода инфа в сети.

Включить

zmprov mcf +zimbraMtaRestriction reject_unauth_destination

reject_unlisted_recipient reject_unverified_sender

Если я включу, как мне потом отключить это если что-то не так пойдет? )

madcry ()
Ответ на: комментарий от madcry

это ты смотришь настройки отправки.
но и у других то же самое нужно проверять, иначе кто угодно тебе писем накидает от твоего имени.

Deleted ()
Ответ на: комментарий от fbiagent

Проблема в том что данный сервис смотрит в интернет, для возможности входа из любой точки. Если я настрою этот список, то я так понимаю отправить можно будет только с локалки, так как многие пользуются почтой с телефона(мобильного интернета)

madcry ()
Ответ на: комментарий от madcry

есть ли возможность включить функцию отправки писем только авторизованных пользователей и не принимать письма с подменными отправителями.

Не силен в этом все. Могу писать глупости)

madcry ()

Похоже, что у тебя ошибка в настройкам amavisd + Spamassassin

Как видно у тебя Spamassassin начислил достаточно штрафных баллов, чтобы заблокировать письмо.

BAYES_50=0.8,    DOS_OUTLOOK_TO_MX=2.845, HTML_MESSAGE=0.001, 
   RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_BRBL_LASTEXT=1.449, 
   RCVD_IN_MSPIKE_BL=0.01, RCVD_IN_MSPIKE_L5=0.001, RCVD_IN_PSBL=2.7, 
   RCVD_IN_SORBS_WEB=0.77, RCVD_IN_XBL=0.375, RDNS_NONE=0.793, 
   URIBL_DBL_ABUSE_SPAM=2,... 
Но каким-то образом сработало еще одно правило USER_IN_WHITELIST=-100 , которое перекрыло все остальные. Оно не должно было сработать при правильной настройке.

Проверь конфиг amavisd. Должно быть примерно так:

$mydomain = 'pochta.ru';
@mynetworks = qw( 127.0.0.0/8 [::1] 192.168.0.0/16  172.16.0.0/12 );
. . . 
. . .
$policy_bank{'MYNETS'} = {   # mail originating from @mynetworks
  originating => 1,  # is true in MYNETS by default, but let's make it explicit
  os_fingerprint_method => undef,  # don't query p0f for internal clients
  bypass_spam_checks_maps   => [1],  # don't spam-check internal mail
  bypass_header_checks_maps => [1],  # don't header-check internal mail
  bypass_virus_checks_maps => [1],  # don't virus check internal mail
};

Если используешь белые списки отправителей (%whitelist_sender), то возможно у тебя там указан твой домен pochta.ru. Исключи оттуда всех своих пользователей (весь домен pochta.ru). Вот так примерно может выглядеть ошибочное указание своих пользователей в белом списке. Так делать не надо!!!!!!!

# Это БЕЛЫЙ список доменов наших партнеров. Их на спам не проверяем.
@whitelist_sender_maps = (\%whitelist_sender, \@whitelist_sender_acl, \$whitelist_sender_re);

# Все, которые в белом списке %whitelist_sender, - это хорошие отправители
read_hash(\%whitelist_sender, '/var/amavis/whitelist_sender');

$whitelist_sender_re = new_RE(
    qr'@(pochta\.ru)'i, 
);

@whitelist_sender_acl = ( 'du@pochta.ru', 'other@pochta.ru', )

Amavisd и так знает, что все пользователи , которые твои, описаны в переменных: $mydomain, @mynetworks.

mabius ()

спасибо за ответ. amavis.conf вот такое в нём

$policy_bank{'ORIGINATING'} = {  # mail supposedly originating from our users
  originating => 1,  # declare that mail was submitted by our smtp client
  allow_disclaimers => 0,  # enables disclaimer insertion if available
  # notify administrator of locally originating malware
  virus_admin_maps => ['admin@pochta.ru'],
  spam_admin_maps  => ['admin@pochta.ru'],
  warnbadhsender   => 0,
  bypass_spam_checks_maps   => [1], # don't spam-check internal mail
  # forward to a smtpd service providing DKIM signing service
  forward_method => 'smtp:[127.0.0.1]:10030',
  # force MTA conversion to 7-bit (e.g. before DKIM signing)
  smtpd_discard_ehlo_keywords => ['8BITMIME'],
  bypass_banned_checks_maps => [0],  # allow sending any file names and types
  terminate_dsn_on_notify_success => 0,  # don't remove NOTIFY=SUCCESS option
};

madcry ()
Ответ на: комментарий от madcry

Систему настраивал не я... Нашел файлик в директории /opt/zimbra/conf/whitelist

в нём был домен. Я его удалил из файла, перезагрузил zmamavisdctl restart. Но письма внутри домена всё равно помечаются как из белого списка, или так и должно?

Спасам имеет рейтинг -76.107 или рассылка из 1С имеет -99.1

А так же где найти файл в котором рейтинг назначается?

madcry ()
Ответ на: комментарий от madcry
X-Spam-Status: No, score=-76.107 required=4 tests=[BAYES_99=3.5,
	CK_HELO_GENERIC=0.249, DATE_IN_PAST_03_06=1.592,
	DOS_OUTLOOK_TO_MX=2.845, HELO_DYNAMIC_IPADDR=1.951,
	HTML_EXTRA_CLOSE=0.001, HTML_MESSAGE=0.001,
	RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_BRBL_LASTEXT=1.449,
	RCVD_IN_MSPIKE_BL=0.01, RCVD_IN_MSPIKE_L5=0.001, RCVD_IN_PSBL=2.7,
	RCVD_IN_RP_RNBL=1.31, RCVD_IN_SORBS_WEB=0.77, RCVD_IN_XBL=0.375,
	RDNS_NONE=0.793, URIBL_DBL_ABUSE_SPAM=2, URI_WP_DIRINDEX=2.999,
	USER_IN_WHITELIST=-100] autolearn=no autolearn_force=no
madcry ()
Ответ на: комментарий от madcry

/opt/zimbra/conf/salocal.cf.in

нашел тут

whitelist_from *@pochta.ru

Убрал, теперь не подставляется -100 очков. А порог очков до помещения в спам, настраивается через консоль администратора ? В поле процент удаления, сейчас стоит 50. Или это не то?

madcry ()
Ответ на: комментарий от madcry

А вот нашёл - Значение 100% соответствует X-Spam-Score=20 (75%=15, 50%=10, 25%=5 и т.д. делением на 5)

madcry ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.