LINUX.ORG.RU
решено ФорумAdmin

Блокировка спаса по client_name= (postfix)

 ,


0

1

ребята, как блокировать спам сервера по client_name? Я тут в логах вижу один спам сервис http://www.diacid.com

Aug  3 20:30:16 mail postgrey[2915]: action=pass, reason=triplet found, client_name=www.diacid.com, client_address=111.67.207.113, sender=nastya.mmuiyop@mail.ru, recipient=####@zet.com.ua
Aug  3 20:30:29 mail postfix/qmgr[21532]: B34CB20B88: from=<nastya.mmuiyop@mail.ru>, size=7737, nrcpt=1 (queue active)
Я уже один диапазон IP на iptables закрыл, 111.67.206.0/24 Но они уже лезут с 111.67.207.0/24, я просто боюсь еще и этот закрывать, можно как то по client_name? А то dspam вообще не хавает эти письма!



Последнее исправление: cetjs2 (всего исправлений: 1)

По идее вам нужно в smtpd_helo_restrictions прописать check_helo_access и создать соответствующую таблицу (файл).

А так, ИМХО, проще по ip-адресам весь китай и юго-восточную азию по ip-адресам заблокировать, пока у вас не на найдётся желающий вести с ними переписку.

mky ★★★★★
()
Ответ на: комментарий от mky

Ну получается что по этим IP выдает Китай. А как весь китай рубануть? на iptables, ило добавлять еще и 111.67.207.0/24 ? и не париться!

macik
() автор топика
Ответ на: комментарий от frozen_twilight

да стоит у меня и вроде работает ....

        reject_rbl_client dnsbl.ahbl.org,
        reject_rbl_client dnsbl.inps.de,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl.spamhaus.org,

anonymous
()
Ответ на: комментарий от frozen_twilight

Да и вот что в логах у меня. IPtables я поставил чтобы в лог кидал мне данные

Aug  4 09:30:09 mail kernel: [6020135.785876] IP REJECT SPOOF A:IN=eth0 OUT= MAC=94:de:80:ad:40:0c:00:1e:8c:53:c3:92:08:00 SRC=111.67.207.114 DST=192.168.22.204 LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=29751 DF PROTO=TCP SPT=57836 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0

вот это MAC=94:de:80:ad:40:0c:00:1e:8c:53:c3:92:08:00

Эта часть 94:de:80:ad:40:0c это мой MAC, а что это 00:1e:8c:53:c3:92:08:00

macik
() автор топика
Ответ на: комментарий от macik

Вот что я выяснил. Заморачиваться с «client_name» не стал. Поставил второе правело на подсеть 111.67.207.0/24 в iptables. Но поставил не DROP, а REJECT.

iptables -A INPUT -s 111.67.207.0/24 -j LOG --log-prefix "IP REJECT SPOOF A:"

iptables -A INPUT -s 111.67.207.0/24 -j REJECT
Первая строка записывает в лог, потом можно посмотреть откуда лезут

Вторая, уже футболист.

Как я понял, REJECT, это оналог «я занят». Вот они и меняют только IP но не всю подсеть и уже вторые сутки пытаются отправить мне почту. Благодаря логам вычислил, что лезут с нескольких IP адресов, потом соберу и заблокирую именно их.

macik
() автор топика
Ответ на: комментарий от mky

geoip может не поддерживаться в старых версиях iptables, и тогда на помощь приходит ipset. Если ТСу надо заблокировать много отдельных адресов или подсетей, то так будет даже предпочтительней, т. к. придётся вносить всего одно правило.

xfilx ★★
()
Ответ на: комментарий от xfilx

ну вижу что по логам теперь ребята увеличивают IP адрес раз в сутки.

Идут с двух IP и сутки долбят.

PS

вот спамеры назойливые ублюдки!

macik
() автор топика
Ответ на: комментарий от macik

Вот сволочи, пробили. Зашли суки с 203 подсети ....

macik
() автор топика

Ну вот и все. недельный мониторинг показал. Ребята успокоились, с 8-го числа молчат и не пытаются долбить.

Закрыл три подсети:

111.67.206.0/24 
111.67.207.0/24 
111.67.203.0/24

Теперь спама у меня вообще нет.

macik
() автор топика
Ответ на: комментарий от ei-grad

я по очереде добавлял эти сетки. По мере обнаружения нового спама.

У меня подозрение можно все 111.67.*.* закрыть, это китай и его можно закрыть нахрен.

Подскажите все ip с 111.67.0.1 по 111.67.254.254 маска 111.67.254.254/32 ?

macik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.