форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Спам from=<> (postfix)"	+/–
Сообщение от andragen (ok) on 31-Авг-15, 11:11
Добрый день, сильно не пинайте postfix не пилил,достался готовый почтовик. Заметил в логах такие письма Aug 31 07:27:48 mail postfix/smtpd[91308]: E3A562EB8CA: client=mail.e-chel.ru[91.144.132.9] Aug 31 07:27:48 mail postfix/cleanup[91310]: E3A562EB8CA: message-id=<E1ZWGi0-000PxT-FT@mail.e-chel.ru> Aug 31 07:27:49 mail postfix/qmgr[11718]: E3A562EB8CA: from=<>, size=199914, nrcpt=1 (queue active) Aug 31 07:27:50 mail postfix/smtp[91187]: E3A562EB8CA: to=<user@moidomen.ru>, relay=172.16.1.235[172.16.1.235]:25, delay=1.6, delays=0.46/0/0/1.2, dsn=2.6.0, status=sent (250 2.6.0 <E1ZWGi0-000PxT-FT@mail.e-chel.ru> Queued mail for delivery) Aug 31 07:27:50 mail postfix/qmgr[11718]: E3A562EB8CA: removed Думаю from=<> это не правильно тем более пользователь получает письмо о якобы не доставке спамного письма на mail.ru от имени пользователя. postfix-2.6.5,1->Exshange 2007(kasper) Конфиг postfix(main.cf) smtpd_timeout=5m smtpd_starttls_timeout=5m smtp_mail_timeout=5m smtp_rcpt_timeout=5m smtp_data_init_timeout=7m smtp_data_xfer_timeout=8m smtp_data_done_timeout=10m maximal_queue_lifetime=5d bounce_queue_lifetime=3d queue_run_delay=30m minimal_backoff_time=3h maximal_backoff_time=5h command_directory = /usr/local/sbin daemon_directory = /usr/local/libexec/postfix data_directory = /var/db/postfix mail_owner = postfix myhostname = mail.moidomen.ru mydomain = moidomen.ru myorigin = $mydomain mydestination = bounce_queue_lifetime = 14d message_size_limit = 429496729 local_recipient_maps = local_transport = error: local mail delivery is disable mynetworks_style = subnet mynetworks = 172.16.1.235/32 relay_domains = $mydomain relay_recipient_maps = hash:/usr/local/etc/postfix/relay_recipients transport_maps = hash:/usr/local/etc/postfix/transport debug_peer_level = 2 debugger_command =          PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin          ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/local/sbin/sendmail newaliases_path = /usr/local/bin/newaliases mailq_path = /usr/local/bin/mailq setgid_group = maildrop manpage_directory = /usr/local/man sample_directory = /usr/local/etc/postfix syslog_facility = mail syslog_name = postfix readme_directory = /usr/local/share/doc/postfix html_directory = /usr/local/share/doc/postfix queue_directory = /var/spool/postfix disable_vrfy_command = yes smtpd_delay_reject = yes smtpd_helo_required = yes
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Спам from=<> (postfix)"	+/–
Сообщение от кегна on 31-Авг-15, 11:44
>[оверквотинг удален] > Aug 31 07:27:48 mail postfix/smtpd[91308]: E3A562EB8CA: client=mail.e-chel.ru[91.144.132.9] > Aug 31 07:27:48 mail postfix/cleanup[91310]: E3A562EB8CA: message-id=<E1ZWGi0-000PxT-FT@mail.e-chel.ru> > Aug 31 07:27:49 mail postfix/qmgr[11718]: E3A562EB8CA: from=<>, size=199914, nrcpt=1 > (queue active) > Aug 31 07:27:50 mail postfix/smtp[91187]: E3A562EB8CA: to=<user@moidomen.ru>, relay=172.16.1.235[172.16.1.235]:25, > delay=1.6, delays=0.46/0/0/1.2, dsn=2.6.0, status=sent (250 2.6.0 <E1ZWGi0-000PxT-FT@mail.e-chel.ru> > Queued mail for delivery) > Aug 31 07:27:50 mail postfix/qmgr[11718]: E3A562EB8CA: removed > Думаю from=<> это не правильно тем более пользователь получает письмо о якобы > не доставке спамного письма на mail.ru от имени пользователя. From=<> - это не правильно. Но всем пофик... mail.ru присылает fbl, с from=<>. По этому Вам лучше не париться) >[оверквотинг удален] > manpage_directory = /usr/local/man > sample_directory = /usr/local/etc/postfix > syslog_facility = mail > syslog_name = postfix > readme_directory = /usr/local/share/doc/postfix > html_directory = /usr/local/share/doc/postfix > queue_directory = /var/spool/postfix > disable_vrfy_command = yes > smtpd_delay_reject = yes > smtpd_helo_required = yes
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Спам from=<> (postfix)"	+/–
	Сообщение от andragen (ok) on 31-Авг-15, 13:21
	Можно все таки вырубить такие письма? Просто подобные письма часто приходят пользователю. О не доставке письма какому то домену хотя по логам он ни чего туда не слал. Посмотрел логи за месяц ни одного полезного письма от from=<>
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Спам from=<> (postfix)"	+/–
	Сообщение от Аноним (??) on 31-Авг-15, 14:02
	> Можно все таки вырубить такие письма? Просто подобные письма часто приходят пользователю. > О не доставке письма какому то домену хотя по логам он > ни чего туда не слал. Посмотрел логи за месяц ни одного > полезного письма от from=<> postgrey
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Спам from=<> (postfix)"	+/–
	Сообщение от andragen (ok) on 31-Авг-15, 16:58
	>> Можно все таки вырубить такие письма? Просто подобные письма часто приходят пользователю. >> О не доставке письма какому то домену хотя по логам он >> ни чего туда не слал. Посмотрел логи за месяц ни одного >> полезного письма от from=<> > postgrey есть недостатки https://ru.wikipedia.org/wiki/%D0%A1%D0%... для меня критичны нельзя просто отказать тем кто представляется как from=<> ?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Спам from=<> (postfix)"	+/–
	Сообщение от Дядя_Федор on 31-Авг-15, 17:21
	> есть недостатки https://ru.wikipedia.org/wiki/%D0%A1%D0%... > для меня критичны > нельзя просто отказать тем кто представляется как from=<> ? RFC821 ОБЯЗЫВАЕТ MTA принимать почту с пустым полем FROM. Для предотвращения петель и отправки notification message. ---------- This notification message must be from the server-SMTP at this host. Of course, server-SMTPs should not send notification messages about problems with notification messages. One way to prevent loops in error reporting is to specify a null reverse-path in the MAIL command of a notification message. When such a message is relayed it is permissible to leave the reverse-path null. A MAIL command with a null reverse-path appears as follows: MAIL FROM:<> ------------- А постгрей тут как ни пришей товарищем_выше_рукав. Спамеры вполне себе запросто могут отправить почту от имени одного из ваших пользователей. В том числе - и на несуществующие в почтовом домене эккаунте. В этом случае почтовый сервер (той стороны) пришлёт отлуп о том, что пользователя не существует. Пришлёт с пустым FROM и на адрес вашего (якобы отправлявшего) пользователя. Андэстэнд? Постгрей тут абсолютно не поможет. Потому что будет пройден с лёгкостью изумительной. Отправляет-то эту почту на член ботнета, а в полне себе нормальный почтовый сервер.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Спам from=<> (postfix)"	+1 +/–
	Сообщение от Дядя_Федор on 31-Авг-15, 19:07
	Ежли всё-таки решили наплевать на RFC, в качестве варианта. smtpd_sender_restrictions =     ...     check_sender_access hash:/etc/postfix/sender_access /etc/postfix/sender_access:     <>    REJECT (или DROP) postmap /etc/postfix/sender_access Но при этом Dы рискуете попасть в черный список dsn.rfc-ignorant.org http://rfc-ignorant.org/policy-dsn.php If the publicly listed MX record for domain refuses to accept mail with a originator given as <>, then the domain will be considered a viable candidate for inclusion in the zone. И попутно готовьтесь пытаться объяснять юзверям, отправившим почту с ошибкой в имени пользователя (а такое бывает), почему тот, кому они послали почту - его не получил. Так бы им обратно пришло уведомление, что пользователя нетути, а в данном случае оно уйдёт в /dev/null. оноФерштейн? :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Спам from=<> (postfix)"	+/–
	Сообщение от andragen (ok) on 01-Сен-15, 15:21
	Да пожалуй грубовато, а если хотя бы сделать smtpd_recipient_restrictions =    reject_unauth_pipelining,    reject_non_fqdn_recipient,    reject_unknown_recipient_domain,    permit_mynetworks,    reject_unauth_destination,    reject_rbl_client zen.spamhaus.org,    reject_rbl_client bl.spamcop.net,    permit
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Спам from=<> (postfix)"	+/–
	Сообщение от Дядя_Федор on 01-Сен-15, 16:18
	Ваще "хотя бы" в данном случае не поможет.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Спам from=<> (postfix)"	+/–
	Сообщение от andragen (ok) on 01-Сен-15, 18:05
	Как то отличить полезный отбойник (уведомление о доставке тоже в логах ходит от from=<>) и спамерский(они отсылают на другие сервера уведомления через меня) можно как то?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

6. "Спам from=<> (postfix)"	+/–
Сообщение от Etch on 31-Авг-15, 18:14
https://en.wikipedia.org/wiki/Bounce_Address_Tag_Validation
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Спам from=<> (postfix)"	+/–
Сообщение от andragen (ok) on 01-Сен-15, 11:33
Ок допустим я сделаю грей лист он остановит это? Пользователь сперва получает отбойник   от MAILER-DAEMON@proofpoint1.rfn.ru о том что письмо не дошло до oknoff.kmv@mail.ru потому что 550 spam message rejected Исходник письма на стороне пользователя Received: from mail.moidomen.ru (10.0.0.249) by Mail.moidomen.local (172.16.1.235) with Microsoft SMTP Server id 8.3.377.0; Tue, 1 Sep 2015 08:38:26 +0300 Received: from proofpoint1.rfn.ru (proofpoint1.rfn.ru [80.247.46.68])    by mail.moidomen.ru (Postfix) with ESMTP id B191E2EB840    for <user@moidomen.ru>; Tue,  1 Sep 2015 08:37:48 +0300 (MSK) Received: from pps.filterd (proofpoint1 [127.0.0.1])    by proofpoint1.rfn.ru (8.14.5/8.14.5) with SMTP id t814gPaX013974    for <user@moidomen.ru>; Tue, 1 Sep 2015 08:38:51 +0300 Received: from mqueue.dsn (localhost [127.0.0.1])    by proofpoint1.rfn.ru with ESMTP id 1wmh5808yd-9025    for <user@moidomen.ru>; Tue, 01 Sep 2015 08:38:51 +0300 Received: from localhost (localhost)    by proofpoint1.rfn.ru (8.14.5/8.14.5) id t7VAZ8C9030642;    Mon, 31 Aug 2015 23:44:31 +0300 Date: Mon, 31 Aug 2015 23:44:31 +0300 From: Mail Delivery Subsystem <MAILER-DAEMON@proofpoint1.rfn.ru> Message-ID: <201508312044.t7VAZ8C9030642@proofpoint1.rfn.ru> To: <user@moidomen.ru> MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status;     boundary="----=_NextPart_000_02DD_01D0E491.926F1A50" Subject: [Malicious object deleted]Returned mail: see transcript for details Auto-Submitted: auto-generated (failure) X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10432:5.14.151,1.0.33,0.0.0000 definitions=2015-08-31_02:2015-08-31,2015-08-31,1970-01-01 signatures=0 Return-Path: X-KSE-AntiSpam-Interceptor-Info: scan successful X-KSE-AntiSpam-Version: 5.5.3, Database issued on: 09/01/2015 05:14:09 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4913 X-KSE-AntiSpam-Status: KAS_STATUS_FORMAL X-KSE-AntiSpam-Method: none X-KSE-AntiSpam-Rate: 0 X-KSE-AntiSpam-Info: Lua profiles 83089 [Sep 01 2015] X-KSE-AntiSpam-Info: LuaCore: 263 263 4f49118830d428d351d8fb9d486a228258f3d0a4 X-KSE-AntiSpam-Info: Version: 5.5.3 X-KSE-AntiSpam-Info: Envelope from: <> X-KSE-AntiSpam-Info: {Formal} X-KSE-AntiSpam-Info: proofpoint1.rfn.ru:4.0.4;80.247.46.68:2.4.1,4.0.2,7.1.2,201.1.0;d41d8cd98f00b204e9800998ecf8427e.com:7.1.1;help.mail.ru:4.0.4,7.1.1;127.0.0.199:7.1.2;mail.moidomen.ru:7.1.1 X-KSE-AntiSpam-Info: {DNS response errors} X-KSE-AntiSpam-Info: Rate: 0 X-KSE-AntiSpam-Info: Status: formal X-KSE-AntiSpam-Info: Method: none X-KSE-AntiSpam-Info: Moebius-Timestamps: 3719247, 3719273, 3719233 X-KSE-Antiphishing-Info: Clean X-KSE-Antiphishing-Method: None X-KSE-Antiphishing-Bases: 09/01/2015 05:18:00 X-MS-Exchange-Organization-SCL: 2 X-MS-Exchange-Organization-PCL: 2 X-MS-Exchange-Organization-Antispam-Report: DV:3.3.15225.492;SV:3.3.4604.600;TIME:TimeBasedFeatures;OrigIP:80.247.46.68 X-KSE-Antivirus-Interceptor-Info: scan successful X-KSE-Antivirus-Info: Disinfected В логах сервера # cat /var/log/maillog | grep B191E2EB840 Sep  1 08:37:48 mail postfix/smtpd[3495]: input attribute value: B191E2EB840 Sep  1 08:37:48 mail postfix/smtpd[3495]: B191E2EB840: client=proofpoint1.rfn.ru[80.247.46.68] Sep  1 08:37:48 mail postfix/cleanup[3496]: B191E2EB840: message-id=<201508312044.t7VAZ8C9030642@proofpoint1.rfn.ru> Sep  1 08:37:48 mail postfix/smtpd[3495]: > proofpoint1.rfn.ru[80.247.46.68]: 250 2.0.0 Ok: queued as B191E2EB840 Sep  1 08:37:48 mail postfix/qmgr[94414]: B191E2EB840: from=<>, size=200442, nrcpt=1 (queue active) Sep  1 08:37:49 mail postfix/smtp[3479]: B191E2EB840: to=<user@moidomen.ru>, relay=172.16.1.235[172.16.1.235]:25, delay=0.83, delays=0.07/0/0/0.75, dsn=2.6.0, status=sent (250 2.6.0 <201508312044.t7VAZ8C9030642@proofpoint1.rfn.ru> Queued mail for delivery) Sep  1 08:37:49 mail postfix/qmgr[94414]: B191E2EB840: removed Не смотря на то что пришло от from=<> у пользователя в аутлуке он от MAILER-DAEMON@proofpoint1.rfn.ru выглядит так http://clip2net.com/s/3mSukW3 Ну или через час 13мин http://clip2net.com/s/3mSv34A о том что сервер будет пытаться доставить. Самое не приятное что сервер по сути становиться опенрелеем из этого лога # cat /var/log/maillog | grep BA34A2EB8BC Sep  1 11:33:12 mail postfix/cleanup[4588]: BA34A2EB8BC: message-id=<20150901083312.BA34A2EB8BC@mail.moidomen.ru> Sep  1 11:33:12 mail postfix/bounce[4649]: 4AD1C2EB858: sender non-delivery notification: BA34A2EB8BC Sep  1 11:33:12 mail postfix/qmgr[94414]: BA34A2EB8BC: from=<>, size=3570, nrcpt=1 (queue active) Sep  1 11:33:18 mail postfix/smtp[4607]: BA34A2EB8BC: to=<ruoczyrnv@kotioser.co.ua>, relay=mail.kotioser.co.ua[89.163.152.5]:25, delay=5.4, delays=0.02/0/5.2/0.18, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 6B86AC52F3A) Sep  1 11:33:18 mail postfix/qmgr[94414]: BA34A2EB8BC: removed
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема