The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"help. Спам с моего сервера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"help. Спам с моего сервера"  
Сообщение от admin (??) on 11-Дек-06, 15:11 
Подскажите пожалуйста! Думаю, что кто-то рассылает спам с моего сервера Тк приходят отлупы от исходящей почты
Например


Тема:
Returned mail: see the transcript [FAILED(1)]
От:
The Post Office <postmaster@millic.com.ar>
Дата:
Mon, 11 Dec 2006 05:48:06 -0300
Кому:
leitmotifqueerer@mydomain.ru

This is a collection of reports about email delivery
process concerning a message you originated.

Some explanations/translations for these reports
can be found at:
      http://zmailer.org/delivery-report-decoding.html

If you are our customer, further help is available
at email address: postmaster@millic.com.ar
Reporting-MTA: dns; fe0.millic.com.ar
Return-Path: <leitmotifqueerer@mydomain.ru>
Arrival-Date: Mon, 11 Dec 2006 05:48:02 -0300
Local-Spool-ID: S1638450AbWLKIsC


FAILED:
  Arrived Recipient:
      rfc822;gianast@interlobos.com.ar
  Original Recipient:
      rfc822;gianast@interlobos.com.ar
  Final Recipient:
      RFC822;gianast@interlobos.com.ar
  Status:
      2.5.0
  Last Attempt Date:
      Mon, 11 Dec 2006 05:48:06 -0300
  Diagnostic Code:
      smtp;250 (Delivered)
  Control data:
      maildrop interlobos.com.ar gianast@interlobos.com.ar 99
  Diagnostic texts:
      Unknown sysexits error code 122! maildrop: maildir over quota.[exit status 122/122]

Following is a copy of MESSAGE/DELIVERY-STATUS format section below.
It is copied here in case your email client is unable to show it to you.
The information here below is in  Internet Standard  format designed to
assist automatic, and accurate presentation and usage of said information.
In case you need human assistance from the Postmaster(s) of the system which
sent you this report, please include this information in your question!

    Virtually Yours,
        Automatic Email Delivery Software

Reporting-MTA: dns; fe0.millic.com.ar
Arrival-Date: Mon, 11 Dec 2006 05:48:02 -0300
Local-Spool-ID: S1638450AbWLKIsC

Original-Recipient: rfc822;gianast@interlobos.com.ar
Final-Recipient: RFC822;gianast@interlobos.com.ar
Action: failed
Status: 2.5.0
Last-Attempt-Date: Mon, 11 Dec 2006 05:48:06 -0300
Diagnostic-Code: smtp;250 (Delivered)


Following is copy of the message headers. Original message content may
be in subsequent parts of this MESSAGE/DELIVERY-STATUS structure.

Received: from dsl-ap-dynamic-036.115.22.125.airtelbroadband.in ([125.22.115.36]:11627
    "EHLO dsl-ap-dynamic-036.115.22.125.airtelbroadband.in")
    by mx0.millic.com.ar with ESMTP id S1638450AbWLKIsC;
    Mon, 11 Dec 2006 05:48:02 -0300
Received: from dsl-ap-dynamic-036.115.22.125.airtelbroadband.in (HELO dsl-ap-dynamic-036.115.22.125.airtelbroadband.in) (125.22.115.36)
    by mx0.millic.com.ar (qpsmtpd/0.33-dev) with ESMTP; Mon, 11 Dec 2006 05:47:59 -0300
Received: from 89.108.81.xxx (HELO relay.mydomain.ru)
     by interlobos.com.ar with esmtp (,62P<BG33*O '-0@)
     id 6.175/-'3U4KA-L0
     for gianast@interlobos.com.ar; Mon, 11 Dec 2006 08:48:07 -0330
From:    "Lionel Hart" <leitmotifqueerer@mydomain.ru>
To:    <gianast@interlobos.com.ar>
Subject: Hart advice
Date:    Mon, 11 Dec 2006 08:48:07 -0330
Message-ID: <01c71d01$140c1f20$6c822ecf@leitmotifqueerer>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2741.2600
Thread-Index: Aca6QJ*-.NH10=@=<,F,846CZ;);@5==
X-Millicom-Alerce-Info:    Alerce - Proteccion contra spam y virus en e-mail
X-Millicom-Alerce-MXId:    c5f403e89299356966ac66a628a47117
X-Millicom-Alerce: No fue revisado por el AntiVirus
X-Millicom-Alerce-SpamAnalisis:    


Строчку Received: from 89.108.81.xxx (HELO relay.mydomain.ru) ведь нельзя подделать?


Самое интересное, что в maillog все чисто - такой исходящей почты не было!!
Во всех отлупах есть X-Mailer: Microsoft Office Outlook


В процессах ничего лишнего, sockstat показывает что только почтовик коннектится к 25м портам...
Нашел интересные логи у Апача

httpd-error.log

[Wed Nov 29 07:56:09 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 61.19.121.101) (OpenSSL library error follows)
[Wed Nov 29 07:56:09 2006] [error] OpenSSL: error:1408E0F4:SSL routines:SSL3_GET_MESSAGE:unexpected message
[Fri Dec  1 23:51:30 2006] [error] [client 217.35.75.67] File does not exist: /usr/local/www/data/test/
[Mon Dec  4 15:19:18 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 82.200.22.129) (OpenSSL library error follows)
[Mon Dec  4 15:19:18 2006] [error] OpenSSL: error:1408E0F4:SSL routines:SSL3_GET_MESSAGE:unexpected message
[Tue Dec  5 03:50:31 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 82.200.22.129) (OpenSSL library error follows)
[Tue Dec  5 03:50:31 2006] [error] OpenSSL: error:1408E0F4:SSL routines:SSL3_GET_MESSAGE:unexpected message
[Tue Dec  5 04:19:26 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 204.11.227.220) (OpenSSL library error follows)
[Tue Dec  5 04:19:26 2006] [error] OpenSSL: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:27 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:27 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:27 2006] [error] [client 204.11.227.220] request failed: error reading the headers
[Tue Dec  5 04:19:27 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:27 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:27 2006] [error] [client 204.11.227.220] Client sent malformed Host header
[Tue Dec  5 04:19:27 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:27 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:27 2006] [error] [client 204.11.227.220] Client sent malformed Host header
[Tue Dec  5 04:19:28 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 204.11.227.220) (OpenSSL library error follows)
[Tue Dec  5 04:19:28 2006] [error] OpenSSL: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:28 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:28 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:28 2006] [error] [client 204.11.227.220] request failed: error reading the headers
[Tue Dec  5 04:19:29 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:29 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:29 2006] [error] [client 204.11.227.220] Client sent malformed Host header
[Tue Dec  5 04:19:29 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Tue Dec  5 04:19:29 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Tue Dec  5 04:19:29 2006] [error] [client 204.11.227.220] Client sent malformed Host header
[Wed Dec  6 06:39:58 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 213.239.206.209) (OpenSSL library error follows)
[Wed Dec  6 06:39:58 2006] [error] OpenSSL: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:58 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:58 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:58 2006] [error] [client 213.239.206.209] request failed: error reading the headers
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] [client 213.239.206.209] Client sent malformed Host header
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] [client 213.239.206.209] Client sent malformed Host header
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed (server new.host.name:443, client 213.239.206.209) (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609B:SSL routines:SSL23_GET_CLIENT_HELLO:https proxy request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] [client 213.239.206.209] request failed: error reading the headers
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] [client 213.239.206.209] Client sent malformed Host header
[Wed Dec  6 06:39:59 2006] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Wed Dec  6 06:39:59 2006] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Wed Dec  6 06:39:59 2006] [error] [client 213.239.206.209] Client sent malformed Host header


httpd-access.log

213.239.206.209 - - [06/Dec/2006:06:39:58 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 375
213.239.206.209 - - [06/Dec/2006:06:39:59 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 323
213.239.206.209 - - [06/Dec/2006:06:39:59 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 323
213.239.206.209 - - [06/Dec/2006:06:39:59 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 375
213.239.206.209 - - [06/Dec/2006:06:39:59 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 323
213.239.206.209 - - [06/Dec/2006:06:39:59 +0300] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 400 323


Неужели все из-за openssl?
Подскажите плз - уже несколько дней безрезультатно пытаюсь отыскать откуда же отправляются письма
os Freebsd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "help. Спам с моего сервера"  
Сообщение от universite email(ok) on 12-Дек-06, 01:20 
>Подскажите пожалуйста! Думаю, что кто-то рассылает спам с моего сервера Тк приходят
>отлупы от исходящей почты
>Например

>
>Строчку Received: from 89.108.81.xxx (HELO relay.mydomain.ru) ведь нельзя подделать?
>
>
>Самое интересное, что в maillog все чисто - такой исходящей почты не
>было!!
>Во всех отлупах есть X-Mailer: Microsoft Office Outlook
>
>
>В процессах ничего лишнего, sockstat показывает что только почтовик коннектится к 25м
>портам...
>Нашел интересные логи у Апача
>
>
>Неужели все из-за openssl?
>Подскажите плз - уже несколько дней безрезультатно пытаюсь отыскать откуда же отправляются
>письма
>os Freebsd.

Много букв, в основном юзеры рассылают почту через NAT.
Закрой им 25 порт, оставь только 25 порт своего почтовика.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "help. Спам с моего сервера"  
Сообщение от fa email(??) on 12-Дек-06, 11:08 
>Много букв, в основном юзеры рассылают почту через NAT.
>Закрой им 25 порт, оставь только 25 порт своего почтовика
У меня та же проблема. Но пользователей, которые могли бы слать спам нет. Да и "отлупы" приходят раза 2 в месяц. Может кто-то (спамер) подставлятет в хедеры писем мои обратные адреса?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "help. Спам с моего сервера"  
Сообщение от _KAV_ (ok) on 12-Дек-06, 11:20 
>У меня та же проблема. Но пользователей, которые могли бы слать спам
>нет. Да и "отлупы" приходят раза 2 в месяц. Может кто-то
>(спамер) подставлятет в хедеры писем мои обратные адреса?

Так оно чаще всего и есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "help. Спам с моего сервера"  
Сообщение от zeiter email(ok) on 12-Дек-06, 11:45 
>>У меня та же проблема. Но пользователей, которые могли бы слать спам
>>нет. Да и "отлупы" приходят раза 2 в месяц. Может кто-то
>>(спамер) подставлятет в хедеры писем мои обратные адреса?
>
>Так оно чаще всего и есть.


У нас та же проблема.
За последнюю неделю-две обострились как-то.
За день валится куча подобных сообщений.

Насколько понимаю, от этого никак не защититься. Так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "help. Спам с моего сервера"  
Сообщение от admin (??) on 12-Дек-06, 12:57 
>У нас та же проблема.
>За последнюю неделю-две обострились как-то.
>За день валится куча подобных сообщений.
>
>Насколько понимаю, от этого никак не защититься. Так?


нашел какой-то левый html код, залитый по ftp на один из наших сайтов c америкосовского ip
собственно, он вызывает какой-то javascript
http://ns-server.biz/java/myspace.js
http://ns-server.biz/java/dating.js

и тд
в фаерволе закрыл исходящий на эту подсеть - посмотрим..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "help. Спам с моего сервера"  
Сообщение от _KAV_ (ok) on 12-Дек-06, 19:01 
>Насколько понимаю, от этого никак не защититься. Так?
Увы, никак - только в том случае, когда отказ приходит с исходным письмом или как минимум с хидерами, можно судить, кто и как слал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "help. Спам с моего сервера"  
Сообщение от zeiter email(ok) on 15-Дек-06, 10:43 
>Увы, никак - только в том случае, когда отказ приходит с исходным
>письмом или как минимум с хидерами, можно судить, кто и как
>слал.

А если, скажем ко всем письмам, отправляемым через наш сервер добавлять какую-либо подпись. А через наш сервер могут отправлять только пользователи, имеющие доступ на это.

И если пришло письмо, мол недоставлено, а подписи нет, тогда такие письма удалять или складывать в отдельный ящик (директорию)?

Можно такое как-нибудь реализовать на Exim'е?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "help. Спам с моего сервера"  
Сообщение от _KAV_ (ok) on 15-Дек-06, 13:30 
Блажен, кто верует, что вирусы/спам с его сети могут уйти только через его почтовый сервер...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "help. Спам с моего сервера"  
Сообщение от zeiter email(ok) on 15-Дек-06, 13:49 
>Блажен, кто верует, что вирусы/спам с его сети могут уйти только через
>его почтовый сервер...

да при чему тут это?
Я имел в виду, если я отправляю письмо, но оно не дошло, мне важно получить уведомление.

Но если кто-то отправляет письмо от моего имени. И такое письмо не доходит до получателя.
Мне эти аутлупы не нужны.

Вопрос, как их разграничить?

З.Ы. Сегодня получил предложение о рассылке.
Причем в адресе отправителя был мой адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "help. Спам с моего сервера"  
Сообщение от _KAV_ (ok) on 15-Дек-06, 13:55 
>Я имел в виду, если я отправляю письмо, но оно не дошло,
>мне важно получить уведомление.
>
>Но если кто-то отправляет письмо от моего имени. И такое письмо не
>доходит до получателя.
>Мне эти аутлупы не нужны.
>
>Вопрос, как их разграничить?
>
>З.Ы. Сегодня получил предложение о рассылке.
>Причем в адресе отправителя был мой адрес.

А в уведомлении о недоставке может содержаться все недоставленное письмо, все хидеры, хидеры трассировки или вообще - только сообщение о возврате.
Как разделить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "help. Спам с моего сервера"  
Сообщение от Skif (??) on 15-Дек-06, 13:57 
>Блажен, кто верует, что вирусы/спам с его сети могут уйти только через
>его почтовый сервер...


Могут. Например сам недавно наступил на старые грабли. Делал новое подключение на филиал. интерфейс tun0. Исторически сложилось так, что есть конфиг в которм надо прописать только ip и интерфейсы и все. не глядя прописал. Потом поимел гемор. Одно из правил было на запрет входящих соединений на порт 3128 по внешнему ip через внешний интерфейс. Интерфейс ессно не создавался на момент создания правила.
Итог. Метод CONNECT + мой почтовик + чужие почтовики. ТОлько у меня очередь за один день была порядка 800 отлупов, а боты продолжали висеть и слать далее. Пришлось экстренно глушить почтовик и проксю. Запрещать CONNECT не из своих подсетей переписывать правила фаера.
Вывод. Надеятся, что подключиться могут с 127.0.0.1 только свои - тоже не стоит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "help. Спам с моего сервера"  
Сообщение от _KAV_ (ok) on 15-Дек-06, 14:16 
Так и я о том же...
Вирь/спам могут идти из локалки в обход почтовика на гейте, и бороться с этим на почтовике - глупо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру