forum.opennet.ru

Составление сообщения

Исходное сообщение

"Хитрый спам и Postfix"
Отправлено Aivanzipper, 05-Окт-10 23:05

Господа, позвольте продолжить разбор темы спама :)
С постфиксом разобрался, там все норм. Дело вот в чем: начал опять попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр спама который рассылается с моего хоста:
Received: from <мой_хост> ([мой_ip])
    by pascal.junkemailfilter.com with smtp (Exim 4.72)
    id 1P2nMJ-0005et-Pj on interface=65.49.42.60
    for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700
From: otherwise@netfunny.com
To: otherwise@netfunny.com
Subject: otherwise@netfunny.com V|AGRA � Official Site -74%
Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам рассылает кто-то из локальной сети (да, этот же хост еще и шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт всем! Без исключений! А спам продолжает просачиваться. Чего я уже только не придумывал:
05030   2974332    142779893 deny tcp from any to any dst-port 25,465
05033         0            0 deny udp from any to any dst-port 25
05035         0            0 deny ip from any to any dst-port 25
После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания спама у меня в сети активизируется сильно завирусованый юзер. А именно я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует около 1500 запросов за 5 мин, а он сам до 8000). И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту со спамом результата не принесло. Очень похоже это тем что пролазит очень немного писем, буквально 2-3. Но даже их хватает чтобы мой хост заблеклистили..

Исходное сообщение
"Хитрый спам и Postfix" Отправлено Aivanzipper, 05-Окт-10 23:05
Господа, позвольте продолжить разбор темы спама :) С постфиксом разобрался, там все норм. Дело вот в чем: начал опять попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр спама который рассылается с моего хоста: Received: from <мой_хост> ([мой_ip]) by pascal.junkemailfilter.com with smtp (Exim 4.72) id 1P2nMJ-0005et-Pj on interface=65.49.42.60 for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700 From: otherwise@netfunny.com To: otherwise@netfunny.com Subject: otherwise@netfunny.com V\|AGRA � Official Site -74% Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам рассылает кто-то из локальной сети (да, этот же хост еще и шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт всем! Без исключений! А спам продолжает просачиваться. Чего я уже только не придумывал: 05030 2974332 142779893 deny tcp from any to any dst-port 25,465 05033 0 0 deny udp from any to any dst-port 25 05035 0 0 deny ip from any to any dst-port 25 После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания спама у меня в сети активизируется сильно завирусованый юзер. А именно я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует около 1500 запросов за 5 мин, а он сам до 8000). И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту со спамом результата не принесло. Очень похоже это тем что пролазит очень немного писем, буквально 2-3. Но даже их хватает чтобы мой хост заблеклистили..

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Господа, позвольте продолжить разбор темы спама :) > С постфиксом разобрался, там все норм. Дело вот в чем: начал опять > попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр > спама который рассылается с моего хоста: > Received: from <мой_хост> ([мой_ip]) > by pascal.junkemailfilter.com with smtp (Exim 4.72) > id 1P2nMJ-0005et-Pj on interface=65.49.42.60 > for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700 > From: otherwise@netfunny.com > To: otherwise@netfunny.com > Subject: otherwise@netfunny.com V\|AGRA � Official Site -74% > Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам > рассылает кто-то из локальной сети (да, этот же хост еще и > шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт > всем! Без исключений! А спам продолжает просачиваться. Чего я уже только > не придумывал: > 05030 2974332 142779893 deny tcp from any > to any dst-port 25,465 > 05033 0 > 0 deny > udp from any to any dst-port 25 > 05035 0 > 0 deny > ip from any to any dst-port 25 > После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за > отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания > спама у меня в сети активизируется сильно завирусованый юзер. А именно > я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует > около 1500 запросов за 5 мин, а он сам до 8000). > И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту > со спамом результата не принесло. Очень похоже это тем что пролазит > очень немного писем, буквально 2-3. Но даже их хватает чтобы мой > хост заблеклистили..
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру