LINUX.ORG.RU
ФорумGeneral

Почта zimbra postfix спам

 ,


0

2

Добрый день подскажите как защититься от непонятных подключений, в общем я ещё сам толком не определил что это и как с этим бороться. Постараюсь объяснить.

Пользователям часто приходят письмо написанные с их же почтового адреса о том что устройство взломано и т.д. просят денег иначе будут блокировать устройство, но это понятно развод, ничего не происходит, но письма отправляются. Вот заголовоки письма:

Return-Path: <pr@DOMAIN.ru>
Received: from mail.DOMAIN.ru (LHLO mail.DOMAIN.ru) (192.168.0.8) by
 mail.DOMAIN.ru with LMTP; Fri, 6 Dec 2019 09:58:25 +0300 (MSK)
Received: from localhost (localhost [127.0.0.1])
	by mail.DOMAIN.ru (Postfix) with ESMTP id ED56018C4B15
	for <pr@DOMAIN.ru>; Fri,  6 Dec 2019 09:58:24 +0300 (MSK)
X-Virus-Scanned: amavisd-new at DOMAIN.ru
X-Spam-Flag: NO
X-Spam-Score: 0
X-Spam-Level:
X-Spam-Status: No, score=x required=2 WHITELISTED tests=[]
	autolearn=unavailable
Received: from mail.DOMAIN.ru ([127.0.0.1])
	by localhost (mail.DOMAIN.ru [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id ypVvEsznJDIt for <pr@DOMAIN.ru>;
	Fri,  6 Dec 2019 09:58:24 +0300 (MSK)
Received: from r167-62-178-220.dialup.adsl.anteldata.net.uy (r167-62-178-220.dialup.adsl.anteldata.net.uy [167.62.178.220])
	by mail.DOMAIN.ru (Postfix) with ESMTP id DB37918C1694
	for <pr@DOMAIN.ru>; Fri,  6 Dec 2019 09:58:23 +0300 (MSK)
From: <pr@DOMAIN.ru>
To: <pr@DOMAIN.ru>
Subject: =?utf-8?B?0JLQsNGI0LUg0YPRgdGC0YDQvtC50YHRgtCy0L4g0LLQt9C70L7QvNCw0L3QviDQt9C70L7Rg9C80Ys=?= =?utf-8?B?0YjQu9C10L3QvdC40LrQsNC80LguINCd0LXQvNC10LTQu9C10L3QvdC+INGB0LzQtdC90LjRgtC1INC/?= =?utf-8?B?0LDRgNC+0LvRjCE=?=
Date: 5 Dec 2019 23:53:15 -0400
Message-ID: <003901d5abe9$0592ea2f$3ffe9d97$@DOMAIN.ru>
MIME-Version: 1.0
Content-Type: text/plain;
	charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Mailer: Microsoft Outlook 15.0
Thread-Index: Acpwei9w0pwei9w0pwei9w0pwei9w0==
Content-Language: en-us@

В логе такая запись


Dec  6 09:58:16 mail postfix/postscreen[30684]: CONNECT from [167.62.178.220]:18339 to [192.168.0.8]:25
Dec  6 09:58:22 mail postfix/postscreen[30684]: PASS NEW [167.62.178.220]:18339
Dec  6 09:58:23 mail postfix/postscreen[30684]: warning: psc_cache_update: lmdb:/opt/zimbra/data/postfix/data/postscreen_cache update average delay is 100 ms
Dec  6 09:58:23 mail postfix/smtpd[4940]: connect from r167-62-178-220.dialup.adsl.anteldata.net.uy[167.62.178.220]
Dec  6 09:58:23 mail postfix/smtpd[4940]: NOQUEUE: filter: RCPT from r167-62-178-220.dialup.adsl.anteldata.net.uy[167.62.178.220]: <pr@DOMAIN.ru>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<pr@DOMAIN.ru> to=<pr@DOMAIN.ru> proto=ESMTP helo=<r167-62-178-220.dialup.adsl.anteldata.net.uy>
Dec  6 09:58:23 mail postfix/smtpd[4940]: NOQUEUE: filter: RCPT from r167-62-178-220.dialup.adsl.anteldata.net.uy[167.62.178.220]: <pr@DOMAIN.ru>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from=<pr@DOMAIN.ru> to=<pr@DOMAIN.ru> proto=ESMTP helo=<r167-62-178-220.dialup.adsl.anteldata.net.uy>
Dec  6 09:58:23 mail postfix/smtpd[4940]: DB37918C1694: client=r167-62-178-220.dialup.adsl.anteldata.net.uy[167.62.178.220]
Dec  6 09:58:24 mail postfix/cleanup[5145]: DB37918C1694: message-id=<003901d5abe9$0592ea2f$3ffe9d97$@DOMAIN.ru>
Dec  6 09:58:24 mail postfix/qmgr[19967]: DB37918C1694: from=<pr@DOMAIN.ru>, size=2769, nrcpt=1 (queue active)
Dec  6 09:58:24 mail postfix/amavisd/smtpd[31611]: connect from localhost[127.0.0.1]
Dec  6 09:58:24 mail postfix/amavisd/smtpd[31611]: ED56018C4B15: client=localhost[127.0.0.1]
Dec  6 09:58:24 mail postfix/cleanup[2000]: ED56018C4B15: message-id=<003901d5abe9$0592ea2f$3ffe9d97$@DOMAIN.ru>
Dec  6 09:58:25 mail postfix/amavisd/smtpd[31611]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Dec  6 09:58:25 mail postfix/qmgr[19967]: ED56018C4B15: from=<pr@DOMAIN.ru>, size=3288, nrcpt=1 (queue active)
Dec  6 09:58:25 mail postfix/smtp[4306]: DB37918C1694: to=<pr@DOMAIN.ru>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.3, delays=1.1/0/0/0.22, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as ED56018C4B15)
Dec  6 09:58:25 mail postfix/qmgr[19967]: DB37918C1694: removed
Dec  6 09:58:25 mail postfix/smtpd[4940]: disconnect from r167-62-178-220.dialup.adsl.anteldata.net.uy[167.62.178.220] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Dec  6 09:58:25 mail postfix/lmtp[5148]: ED56018C4B15: to=<pr@DOMAIN.ru>, relay=mail.DOMAIN.ru[192.168.0.8]:7025, delay=0.33, delays=0.14/0/0.09/0.1, dsn=2.1.5, status=sent (250 2.1.5 Delivery OK)
Dec  6 09:58:25 mail postfix/qmgr[19967]: ED56018C4B15: removed

Что всё это может значить. что за PASS NEW в логе?


smtpd_recipient_restrictions читается по строчно, поэтому сначала даешь доступ mynetworks , затем авторизованным пользователям , и теперь, когда все кто имеет право, отправили свои письма, у нас идут внешние сервера, вот им мы запрещаем отправлять нам почту с нашего же домена

выглядит примерно так

main.cf

smtpd_recipient_restrictions = 
        permit_mynetworks,
        permit_sasl_authenticated,
        .....
        hash:/etc/postfix/sender_access

/etc/postfix/sender_access

@твой_domain.com REJECT

postmap /etc/postfix/sender_access
constin ★★★★
()
Последнее исправление: constin (всего исправлений: 1)

http://www.postfix.org/POSTSCREEN_README.html - там поищи про PASS NEW написано. (вкратце там не о пароле новом идет речь) . А так насколько знаю можно програмно отправить письмо и указать любого отправителя. Google/Yandex/Yahoo почтовики автоматом такое в спам кладут.

xionovermazes
()
Последнее исправление: xionovermazes (всего исправлений: 1)

что за PASS NEW в логе?

не имеет отношения к теме, но всегда рад помочь осветлить голову зимброводика новыми нормальными знаниями. Может это поможет сойти с этой кривой и тяжелой , убитой ямами, дороги под названием «..бусь с земброй»

http://www.postfix.org/POSTSCREEN_README.html

When a new SMTP client passes all tests (i.e. it is not whitelisted via some mechanism), postscreen(8) logs this as:

PASS NEW [address]:port

Where [address]:port are the client IP address and port. Then, postscreen(8) creates a temporary whitelist entry that excludes the client IP address from further tests until the temporary whitelist entry expires, as controlled with the postscreen_*_ttl parameters.

When no «deep protocol tests» are configured, postscreen(8) hands off the «live» connection to a Postfix SMTP server process. The client can then continue as if postscreen(8) never even existed (except for the short postscreen_greet_wait delay).

When any «deep protocol tests» are configured, postscreen(8) cannot hand off the «live» connection to a Postfix SMTP server process in the middle of the session. Instead, postscreen(8) defers mail delivery attempts with a 4XX status, logs the helo/sender/recipient information, and waits for the client to disconnect. The next time the client connects it will be allowed to talk to a Postfix SMTP server process to deliver its mail. postscreen(8) mitigates the impact of this limitation by giving deep protocol tests a long expiration time.

constin ★★★★
()
Ответ на: комментарий от xionovermazes

А так насколько знаю можно програмно отправить письмо и указать любого отправителя.

Спросили, не о том, можно ли отправить, а о том, как пресечь такие входящие на своем сервере.

constin ★★★★
()
Ответ на: комментарий от constin

[code] smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_mynetworks, permit_sasl_authenticated, hash:/opt/zimbra/conf/sender_access reject_unlisted_recipient, reject_invalid_helo_hostname, reject_non_fqdn_helo reject_rbl_client b.barracudacentral.org, permit [/code]

/opt/zimbra/common/conf/sender_access @твой_domain.com REJECT

/opt/zimbra/common/sbin/postmap /opt/zimbra/common/conf/sender_access

Правильно я понял?

madcry
() автор топика
Последнее исправление: madcry (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General