LINUX.ORG.RU
ФорумAdmin

активизировался спам, postfix не справляется

 , , ,


0

1

Добрый день! Помогите, пожалуйста, решить проблему фильтрации спама. Ночью последние дни зачастил спам. Стоит Exchange 2010 + Forefront, отдельно стоит postfix + spamassassin + amavis Тестировал на сайте emailsecuritycheck - все ок, все письма BLOCKED BANNED либо BLOCKED SPAM, ничего не проходит. Но ночью идет какая-то рассылка и в логах PASSED SPAM.

Для отслеживания пробую отправить html код спам-письма через сервис putsmail

<html><head>
</head>
<body bgcolor="#ffffff">
<div align="center"><font color="#008282" size="4" face="Arial"><strong>Профилактика и 
лечение заболеваний предстательной железы</strong></font></div>
<div align="center"><font size="4" face="Calibri">Оздоровительные сеансы Надежды 
Колесниковой</font></div>
<div align="center"><font color="#0000ff" size="4" face="Calibri"><a href="http://www.tromba.co.ua/poleznietovari/index.html">Смотреть 
подробно...</a></font></div>
<div align="center"><a href="http://www.tromba.co.ua/poleznietovari/index.html"><font face="Calibri"><img border="0" hspace="0" alt="" src="cid:1d21701d1525209252a260516f24cd@avmunxh" width="600" height="385"></font></a></div>
<div align="center"><font size="4" face="Calibri"><strong>Доставка по Беларуси, 
&nbsp;Казахстану и России.</strong></font></div>
<div align="center"><font color="#0000ff" size="4" face="Calibri"><strong><a href="http://www.tromba.co.ua/poleznietovari/index.html">ЗАПОЛНИТЬ ФОРМУ ЗАЯВКИ 
СО СКИДКОЙ -50%&nbsp;НА САЙТЕ 
&gt;&gt;&gt;</a></strong></font></div></body></html>

В логах Passed CLEAN и письмо спокойно приходит.

Мой настройки

  • /etc/postfix/master.cf

  • /etc/postfix/main.cf

  • /etc/amavis/conf.d/15-content_filter_mode

  • /etc/amavis/conf.d/05-domain_id

  • /etc/amavis/conf.d/20-debian_defaults

  • /etc/amavis/conf.d/50-user

Перемещено beastie из linux-org-ru

cpufreq intel_pstate Повысить частоту
HP LaserJet 400 color M451dw сброс пароля.
Ответ на: комментарий от postama

P.S. конечно можно добавить Exchange receiver, но от спама не спасает это. Я пробовал и оставлял только 127.* и спам проходит

postama
() автор топика
Ответ на: комментарий от postama

спам все ровно идет

Надо применить более жесткие методы борьбы со спамом. Блокировать на уровне ip-адреса , а затем и на уровне подсетей некоторых провайдеров.После нескольких месяцев наблюдения и добавления в blacklist определенных ip-адресов, была обнаружена большая cпамерская сеть одного хостера.

vlb ★★★
()
Ответ на: комментарий от masq

в main.cf что связано с получателями последние строки 

  reject_invalid_hostname,
  reject_rbl_client zen.spamhaus.org,
#  reject_rbl_client bl.spamcop.net,
#  reject_rbl_client sbl-xbl.spamhaus.org,
#  reject_rbl_client dul.dnsbl.sorbs.net
закомментированы, так как давно был затуп и в доках написано, что возникает проблема, если сайт висит. Как мне объяснили. Т.е. до меня другие настраивали, я только последние дня 2-3 стал разбираться. Просто если бы это влияло, тогда не логично, почему пропускает html-код с сервиса putsmail

Сейчас стал анализировать, у нас давно уже спам этот пропускал postfix, просто с января Forefront перестали поддерживать :( Теперь все ложится на postfix. Анализировал по баллам, что-то непонятно, некоторые письма получают 5-10 баллов, а подобные письма всего 2 балла.

postama
() автор топика
Ответ на: комментарий от postama

тут вот какое дело

«dnsbl» не смотрит код электрического письма, жи ес. их сервисы смотрят есть ли ip отправителя в своих черных списках. поэтому отправляя письмо с путсмейл, проверка в dnsbl не даёт результата (путсмейл ведь не спамеры, ага ??). Это просто еще один рубеж в борьбе со спамом. По своему опыту - dnsbl отсеивает процентов 70-80 шлака, остальное - должно фильтроваться, и фильтруется локально(!). imo

masq
()
Ответ на: тут вот какое дело от masq

вот именно. Я про это и писал. Потому что хочется научить фильтровать правильно контент. Но непонятно расстановка баллов амависа. Когда почти 2 одинаковых письма получают разные баллы (10 и 2). Не хочется резать все подряд, так как клиенты иногда шлют письмо попадающие немного под такие критерии.

А dnsbl я добавлю обязательно, просто теперь хочу по контенту фильтровать эти письма.

Можно у вас попросить конфиги глянуть? Хочу подробнее разобраться с фильтрацией писем, наиболее оптимальные связки. Спасибо!

postama
() автор топика
Ответ на: комментарий от postama

З.Ы. добавил сразу себе

  reject_rbl_client zen.spamhaus.org,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client sbl-xbl.spamhaus.org,
  reject_rbl_client dul.dnsbl.sorbs.net,
  reject_rbl_client sbl.spamhaus.org,
  reject_rbl_client cbl.abuseat.org
postama
() автор топика
Ответ на: комментарий от postama

З.Ы. добавил сразу себе

ССЗБ... rbl можно использовать только в балльной системе. В тот же bl.spamcop.net запросто могут временно влетать почтовики провайдеров.

AS ★★★★★
()
Ответ на: комментарий от AS

Ну вообще да, реджектить по черным спискам плохая практика. Лучше пропускать через антиспам-фильтр, снижая оценку. А то бывает попадет домен в SBL и несколько дней не очистить. Попробую пока оставить через rbl, гляну в логах. А завтра надо попробовать правильно расстановку баллов настроить.

postama
() автор топика
Ответ на: комментарий от vlb

Почтовый пользователь в PostFix через Putty

Можешь показать через TeamViewer как создаст нового пользователя (почту)? Тямы не хватает...)) Не бесплатно конечно. Оплата QIWI

P\s Всё уже установлено, пароли есть

bta-almaty
()

Добрый день! я посмотрел твои конфиги. У тебя в файле main.cf есть строка:

main.cf

relay_domains = 192.168.90.124

Это ошибка. Параметр relay_domains должен содержать имя домена из твоего списка mydestination, письма на который нужно релеить. Например, у тебя п/ящики почтового домена (МойДомен).by находяться на другом внутреннем сервере 192.168.90.124 . Тогда у тебя долно быть указано: 

mydestination = (МойДомен).com, mail.(МойДомен).com, localhost, localhost.localdomain, (МойДомен).by
relay_domains = (МойДомен).by
или, если предполагается релеить все твои домены, то так: 
mydestination = (МойДомен).com, mail.(МойДомен).com, localhost, localhost.localdomain, (МойДомен).by
relay_domains = $mydestination

mabius
()
Ответ на: комментарий от AS

ССЗБ... rbl можно использовать только в балльной системе. В тот же bl.spamcop.net запросто могут временно влетать почтовики провайдеров.

Поддержу этого господина. Иногда в этих листах оказываются ипшники давно сменившие владельца. Иногда в списки попадает целая страна по причине невменяемых политических заморочек составителей списков. За 20 лет админства видел много чудес и обрёл уйму попаболи с ними, сейчас использую их только как один из критериев для изменения веса письма, но никак не как основные фильтры.

Jameson ★★★★★
()

Перенастроил почти все. Сначала понизил до 2 баллов спам-фильтрацию amavis, правда фильтровало и нужные письма. Пришлось поднять до 4.8 Убрал проверку локальных ящиков. Ночью все ровно приходит спам. Спам вида Спам шел с адресов name@name.co.ua либо подставных, а в письме была картинка с ссылкой на адрес name@name.co.ua.

Добавил блокировку по хедеру и боди

main.cf 

header_checks = regexp:/etc/postfix/header_checks
body_checks = regexp:/etc/postfix/body_checks

header_checks

pastebin

body_checks 

/[A-Za-z0-9_]+@[A-Za-z0-9_]+\.+co\.ua/ REJECT Spam Body Rule

Проверка 

postmap -fq "test@test.co.ua" regexp:/etc/postfix/body_checks
REJECT Spam Body Rule
Работает.

Но теперь основная проблема. Пробую послать письмо с gmail.com, а в теле письма пишу sfkljd@dkjdf.co.ua и ответ 

Feb  2 19:47:43 postfixer postfix/cleanup[6537]: BEDCC5FE75: reject: body test@test.co.ua from mail-wm0-f52.google.com[74.125.82.52]; from=<email@gmail.com> to=<email@domain.by> proto=ESMTP helo=<mail-wm0-f52.google.com>: 5.7.1 Spam Body Rule

Аналогично и с других почтовиков. Кроме mail.ru. Тоже самое письмо и ответ 

Feb  2 19:49:43 postfixer amavis[6131]: (06131-19) Passed CLEAN {RelayedOpenRelay}, [185.5.136.180]:44021 [178.120.216.255] <ewqweqwqwe@mail.ru> -> <email@domain.by>, Queue-ID: EE79E5FE75, Message-ID: <1454432298.189463388@f326.i.mail.ru>, mail_id: iXpnW26XAyps, Hits: -1.02, size: 1865, queued_as: D0EF45FE8E, 831 ms
Feb  2 19:49:43 postfixer postfix/smtp[6538]: EE79E5FE75: to=<email@domain.by>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.9, delays=0.06/0/0/0.83, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as D0EF45FE8E)
Feb  2 19:49:44 postfixer postfix/smtp[6566]: D0EF45FE8E: to=<email@domain.by>, relay=192.168.90.124[192.168.90.124]:25, delay=0.46, delays=0.01/0/0/0.45, dsn=2.6.0, status=sent (250 2.6.0 <1454432298.189463388@f326.i.mail.ru> [InternalId=5771990] Queued mail for delivery)
Нигде не добавлен почтовик в белый лист, да и по логам не видно.

Вот подробный лог 

Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) ESMTP< RCPT TO:<email@domain.by> ORCPT=rfc822;email@domain.by\r\n
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup => undef, "email@domain.by", no lookup tables
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) ESMTP> 250 2.1.5 Recipient <email@domain.by> OK
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) ESMTP::10024 /var/lib/amavis/tmp/amavis-20160202T195310-06629-rxDfhKDg: <ewqweqwqwe@mail.ru> -> <email@domain.by> SIZE=1897 Received: from mail.domain.by ([127.0.0.1]) by localhost (postfixer.mail.domain.by [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <email@domain.by>; Tue,  2 Feb 2016 19:53:10 +0300 (MSK)
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) Checking: YBhJCkbvFXPf [217.69.141.18] <ewqweqwqwe@mail.ru> -> <email@domain.by>
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup_acl(email@domain.by), no match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [local_domains] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [bypass_virus_checks] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [bypass_banned_checks] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [bypass_spam_checks] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) Open relay? Nonlocal recips but not originating: email@domain.by
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [bypass_header_checks] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [bypass_header_checks] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [banned_filename], 1 matches for "email@domain.by", results: "(constant:DEFAULT)"=>"DEFAULT"
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) collect banned table[0]: email@domain.by, tables: DEFAULT=>Amavis::Lookup::RE=ARRAY(0xa8382c8)
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) doing banned check for email@domain.by on multipart/alternative | text/plain,.asc
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [check_bann:email@domain.by] => undef, ["multipart/alternative","text/plain",".asc"] does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) p.path email@domain.by: "P=p003,L=1,M=multipart/alternative | P=p001,L=1/1,M=text/plain,T=asc"
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) doing banned check for email@domain.by on multipart/alternative | text/html,.asc
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [check_bann:email@domain.by] => undef, ["multipart/alternative","text/html",".asc"] does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) p.path email@domain.by: "P=p003,L=1,M=multipart/alternative | P=p002,L=1/2,M=text/html,T=asc"
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [blacklist_recip<email@domain.by>] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [whitelist_recip<email@domain.by>] => undef, "email@domain.by" does not match
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) query_keys: email@domain.by, email@, domain.by, .domain.by, .by, .
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup_hash(email@domain.by) matches keys: "."=>ARRAY(0xa837828)
Feb  2 19:53:10 postfixer amavis[6629]: (06629-01) lookup [score_recip<email@domain.by>,score_sender], 1 matches for "email@domain.by", results: "."=>[Amavis::Lookup::RE=ARRAY(0xa837a94),{.balets.ru=>"1000",beloil.by=>"-10",.infostorem.ru=>"1000",.co.ua=>"1000"}]
Feb  2 19:53:11 postfixer postfix/smtp[6808]: 736EF5FE8E: to=<email@domain.by>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.1, delays=0.21/0/0.01/0.88, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 59D7E5FE91)
Feb  2 19:53:11 postfixer postfix/smtp[6817]: 59D7E5FE91: to=<email@domain.by>, relay=192.168.90.124[192.168.90.124]:25, delay=0.33, delays=0.01/0.02/0/0.3, dsn=2.6.0, status=sent (250 2.6.0 <1454432505.917908866@f376.i.mail.ru> [InternalId=5771997] Queued mail for delivery)

Почему для mail.ru правило не работает? Даже делал полный поиск по всем файлам с содержанием mail.ru - только в default файлах спамассассина(freedomains)

postama
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
cpufreq intel_pstate Повысить частоту
Admin
HP LaserJet 400 color M451dw сброс пароля.