- Помогите проанализировать лог exim,
 Нубос, 16:56 , 05-Авг-11 (1)>[оверквотинг удален]
> У меня вопрос - что это за попытки? - это на прием
> или отправку писем? Как с этим бороться?
> В exim.conf
> прописал
> deny message = We don't allow domain literals, sorry - many
> spam...
> hosts = !+relay_from_hosts:*
> !senders = :
> condition = ${if isip{$sender_helo_name}{yes}{no}}
> Но это явно не помогает. Логи ростут как дрожжах.Судя по всему у тебя кто-то стучится с неправильно сформированным телом письма, об этом и говорит лог.
Как временная мера можешь дропать этого отправителя. Убивать IP адрес файерволом можно при 99% уверенности, что никакой важной почты с него не придет. В принципе, если ты не являешься провом - то можешь смело закрывать 180.244.221.145. http://www.senderbase.org/senderbase_queries/detailip?search...
И кстати HELO - это этап приветствия, а утебя на этапе DATA идет ошибка.
Для борьбы со СПАМ как один из возможных инструментов можешь использовать все тот-же DSBL.
Например
acl_check_rcpt:
deny !senders = список_исключений_для_проверки_DSBL
dnslists = cbl.abuseat.org : multi.surbl.org : zen.spamhaus.org
message = Block_by_DSBL: $dnslist_text
delay = 30s
Можно очень хорошо заточить почтовик, если он не является релеем для клиентов. Как пример - ограничить кол-во коннектов с 1 IP, кол-во писем с домена и прочее
- Помогите проанализировать лог exim, dmitry_sairus, 18:46 , 05-Авг-11 (2)
>то можешь смело закрывать 180.244.221.145. http://www.senderbase.org/senderbase_queries/detailip?search... Этот IP это один из многочисленных... Каждый раз разные IP и попытки отправить от другого email. Забанить IP конечно можно,но у меня за час файрволом блокируется 500 новых с такими же действиями. То что это не мой клиент пытается отправить я уверен на 100%, просто мне уже надоела та резвость с которой эти IP стучаться...
> И кстати HELO - это этап приветствия, а утебя на этапе DATA
> идет ошибка. А почему даннное правило не обламало отправителя еще на этапе приветствия? Он пропустил его?
> Для борьбы со СПАМ как один из возможных инструментов можешь использовать все
> тот-же DSBL.
DSBL подключен, некоторых отбивает, но вот такое вот движение, как в моем случае - не помогает. что можно предпринять еще, чтобы отсеивать подобных ботов еще на этапе подключения?
- Помогите проанализировать лог exim, DeadLoco, 06:53 , 06-Авг-11 (3)
> H=([180.244.221.145]) [180.244.221.145] Отправитель в качестве хело подсовывает свой ИП-адрес. За одно это можете смело его фачить ацлем на стадии RCPT. У хоста нету доменного имени, и, по установившимся правилам, он должен всю свою почту слать через соответственно настроенный релей провайдера. Если отправитель в хело указывает имя, которое не резолвится в ИП, или резолвится, но этот ИП не бекрезолвится в то же самое имя - фачить нещадно. С некоторой малой вероятностью это может быть результатом криворучия админа на той стороне, но с гораздо большей вероятностью это будет попытка спамбота прикрыться чужим именем. Поадресные фейл2баны и днсблы - бестолковые и громоздкие инструменты. Фильтрацией на RCPT можно отсеять гораздо больше и точнее.
- Помогите проанализировать лог exim, dmitry_sairus, 10:13 , 06-Авг-11 (4)
> Фильтрацией на RCPT можно отсеять гораздо больше и точнее.Спасибо, DeadLoco. Именно это я и хочу сделать: acl_check_rcpt: deny message = Bad HELO: $sender_helo_name is not your address ($sender_host_address)
condition = ${if and { \
{isip {$sender_helo_name} } \
{ !match_ip{$sender_helo_name}{$sender_host_address} } \
} \
{1}{0}} deny condition = ${if and { \
{ !isip{$sender_helo_name} } \
{ !match{${lc:$sender_helo_name}}{^([a-z0-9][a-z0-9-]*\\.)+[a-z]\{2,6\}\$}} \
}}
message = malformed HELO ($sender_helo_name) И ничего не отсеивается. Что не так?
- Помогите проанализировать лог exim, DeadLoco, 00:23 , 07-Авг-11 (5)
> И ничего не отсеивается. Что не так?Не так то, что отправитель в хело отправляет ИП в квадратных скобках - [xxx.xxx.xxx.xxx], поэтому парсить через сендер_хост_адресс не получается, нужно регекспом
${if or{isip{$sender_helo_name}}{match_ip{$sender_helo_name}{[$sender_host_address}]}}{1}{0}}
- Помогите проанализировать лог exim, dmitry_sairus, 18:20 , 07-Авг-11 (6)
> ${if or{isip{$sender_helo_name}}{match_ip{$sender_helo_name}{[$sender_host_address}]}}{1}{0}} К сожалению не помогло... Уже пробовал и просто match и ставить слеши перед [], в разных местах ставил данное условие. Может еще что-нибудь посоветуете?
- Помогите проанализировать лог exim, Golub Mikhail, 13:19 , 08-Авг-11 (7)
>> ${if or{isip{$sender_helo_name}}{match_ip{$sender_helo_name}{[$sender_host_address}]}}{1}{0}}
> К сожалению не помогло... Уже пробовал и просто match и ставить слеши
> перед [], в разных местах ставил данное условие. Может еще что-нибудь
> посоветуете?${if match{$sender_helo_name}{\N^\[[0-9]\.[0-9]\.[0-9]\.[0-9]\]\N} {yes}{no} }
- Помогите проанализировать лог exim, Golub Mikhail, 14:33 , 08-Авг-11 (8)
>>> ${if or{isip{$sender_helo_name}}{match_ip{$sender_helo_name}{[$sender_host_address}]}}{1}{0}}
>> К сожалению не помогло... Уже пробовал и просто match и ставить слеши
>> перед [], в разных местах ставил данное условие. Может еще что-нибудь
>> посоветуете?
> ${if match{$sender_helo_name}{\N^\[[0-9]\.[0-9]\.[0-9]\.[0-9]\]\N} {yes}{no} } Правильно:
condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N} {yes}{no} }
- Помогите проанализировать лог exim, dmitry_sairus, 00:29 , 11-Авг-11 (10)
> Правильно:
> condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N}
> {yes}{no} } Не помогает ((( Ставлю сразу же после acl_check_rcpt: и ничего. Может что не так делаю?
- Помогите проанализировать лог exim, Golub Mikhail, 12:34 , 11-Авг-11 (11)
>> Правильно:
>> condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N}
>> {yes}{no} }
> Не помогает (((
> Ставлю сразу же после acl_check_rcpt: и ничего. Может что не так
> делаю?Включайте debug и смотрите.
Работает.
Блокирует довольно много спама. Вот, например:
2011-08-11 11:21:33 H=([59.98.162.13]) [59.98.162.13] F=<reviewingiaj04@qip.ru> rejected RCPT
- Помогите проанализировать лог exim, Нубос, 17:09 , 08-Авг-11 (9)
> Поадресные фейл2баны и днсблы - бестолковые и громоздкие инструменты. Фильтрацией на RCPT
> можно отсеять гораздо больше и точнее.Только RCPT TO уже сожрет твои ресурсы, прежде чем будет отправлено письмо. Ненужное время простоя.
Чем РАНЬШЕ можно отсеять спам тем лучше. Самая эффективная и универсальная настройка - сочетание отсеивания по разным критериям на разных этапах SMTP соединения. Взять хотя бы IronPort. Кто использовал, полностью согласится, что у них комплексная система фильтрации и защиты.
- Помогите проанализировать лог exim, artemrts, 22:42 , 12-Авг-11 (12)
>> Поадресные фейл2баны и днсблы - бестолковые и громоздкие инструменты. Фильтрацией на RCPT
>> можно отсеять гораздо больше и точнее.
> Только RCPT TO уже сожрет твои ресурсы, прежде чем будет отправлено письмо.
> Ненужное время простоя.
> Чем РАНЬШЕ можно отсеять спам тем лучше. Самая эффективная и универсальная настройка
> - сочетание отсеивания по разным критериям на разных этапах SMTP соединения.
> Взять хотя бы IronPort. Кто использовал, полностью согласится, что у них
> комплексная система фильтрации и защиты.Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые они присваивают благодаря т.н. "ловушкам" по всему миру.
- Помогите проанализировать лог exim, Нубос, 10:30 , 23-Авг-11 (15)
> Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые
> они присваивают благодаря т.н. "ловушкам" по всему миру.)) я так понимаю ты работал с IronPort?)) Или это просто - пальцем в небо?))
- Помогите проанализировать лог exim, artemrts, 16:44 , 23-Авг-11 (16)
>> Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые
>> они присваивают благодаря т.н. "ловушкам" по всему миру.
> )) я так понимаю ты работал с IronPort?)) Или это просто -
> пальцем в небо?)) Какая-то барыжная конторка давала нам на пробное использование на 1 месяц. Весчь клевая, но дорогая...
А что ты прочитал что-то не то в моем посте?...
- Помогите проанализировать лог exim, ALex_hha, 13:22 , 14-Авг-11 (13)
> Не так то, что отправитель в хело отправляет ИП в квадратных скобках - [xxx.xxx.xxx.xxx]согласно rfc это допустимая форма, хоть и устаревшая
- Помогите проанализировать лог exim, DeadLoco, 18:12 , 15-Авг-11 (14)
> согласно rfc это допустимая форма, хоть и устаревшая Я лишь имел в виду, что регексп не учитывал наличия скобок. А форма - допустимая и корректная формально, но недопустимая фактически. Каждый СМТП-отправитель из сторонних сетей должен иметь резолвящееся имя.
|
Версия для распечатки
Помогите проанализировать лог exim, 
