LINUX.ORG.RU
ФорумAdmin

delivered-to: to: блокировка если разные домены?

 ,


1

1

Ребяна подскажите как настроить проверку? А то достало уже, спам проскакивает и у всех одна закономерность.

delivered-to: реально мой адреса, а вот to; чушь разная ... даже доменнов таких нет.

Как блокировать этих упырей. Я задолбался их в черный список руками вбивать.


chroot for SSH, что изменилось за 10 лет
Как изолировать виртуалку от локальной сети но пустить в интернет / kvm / host ubuntu 16 / guest win 7

а что делать с рассылками, алиасами, cc и bcc ?

anonymous
()

Как блокировать этих упырей. Я задолбался их в черный список руками вбивать.

Например, с помощью procmail.

Serge10 ★★★★★
()

Обнародуй «Исходный текст» упыревского письма. Заголовки и прочее. Свои данные в нем можешь затереть. Тогда присоветуем с чего начать.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

PS: полный текст (скрытый) можно получить

в моззиле нажав вид > исходный текст.

В оутглюке: правой кнопулей на сообщении > Свойства > Сведения > Исходное сообщение.

Bootmen ☆☆☆
()

Люто советую rspamd для антиспама. Самая базовая настройка - ну может минут 30-60, если совсем с нуля, работает отлично.

pod ★★
()
Ответ на: комментарий от pod

Автору может и стандартных рестрикшенов постфикса хватит. Причем они выбивают 90 процентов спама. Соответственно не загружая сервер дальнейшей обработкой всякого хлама.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

вот одно из ... 

Return-Path: <unvahhl@fizermo.biz.ua>
Delivered-To: myname@domen.ru
Received: from localhost (localhost [127.0.0.1])
	by mail.domen.ru (Postfix) with ESMTP id 9194242F6C
	for <myname@domen.ru>; Mon, 26 Mar 2018 14:08:11 +0300 (EEST)
X-Virus-Scanned: Debian amavisd-new at domen.ru
X-Spam-Flag: NO
X-Spam-Score: 0.911
X-Spam-Level:
X-Spam-Status: No, score=0.911 required=6.31
	tests=[HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,
	SPF_FAIL=0.919, T_RP_MATCHES_RCVD=-0.01]
	autolearn=no autolearn_force=no
Received: from mail.domen.ru ([127.0.0.1])
	by localhost (domen.ru [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id 0tsIRcuFBIrT for <myname@domen.ru>;
	Mon, 26 Mar 2018 14:08:06 +0300 (EEST)
Received: from mail.fizermo.biz.ua (s1.fizermo.biz.ua [5.9.35.139])
	by mail.domen.ru (Postfix) with ESMTP id 9D89D42ABC
	for <myname@domen.ru>; Mon, 26 Mar 2018 14:07:59 +0300 (EEST)
Received: from fizermo.biz.ua (unknown [5.188.63.104])
	by mail.fizermo.biz.ua (Postfix) with ESMTPA id 28C47280171A;
	Sun, 25 Mar 2018 18:58:28 +0300 (EEST)
Message-ID: <f29301d3c46b$43c7aae0$0de3ee25@unvahhl>
Reply-To: "=?windows-1251?B?0vDl7ejt4w==?=" <unvahhl@fizermo.biz.ua>
From: "=?windows-1251?B?0vDl7ejt4w==?=" <unvahhl@fizermo.biz.ua>
To: <yukon_charity@yukon.org.ua>
Subject: =?windows-1251?B?z9DOxNPK0sjCzdvFINXOy87EzdvFIMfCzs3KyA==?=
Date: Sun, 25 Mar 2018 18:58:30 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_000F_01D3C468.BCA13240"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

This is a multi-part message in MIME format.
Второе из 
Return-Path: <urrezzc@interstello.co.ua>
Delivered-To: myname@domen.ru
Received: from localhost (localhost [127.0.0.1])
	by mail.domen.ru (Postfix) with ESMTP id B74D040BEB
	for <myname@domen.ru>; Mon, 26 Mar 2018 16:46:12 +0300 (EEST)
X-Virus-Scanned: Debian amavisd-new at doemn.ru
X-Spam-Flag: NO
X-Spam-Score: -0.01
X-Spam-Level:
X-Spam-Status: No, score=-0.01 required=6.31 tests=[HTML_MESSAGE=0.001,
	SPF_PASS=-0.001, T_RP_MATCHES_RCVD=-0.01]
	autolearn=ham autolearn_force=no
Received: from mail.domen.ru ([127.0.0.1])
	by localhost (domen.ru [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id 7dhgyvQpqOHs for <myname@domen.ru>;
	Mon, 26 Mar 2018 16:46:07 +0300 (EEST)
Received: from mail.interstello.co.ua (mail.interstello.co.ua [5.9.60.19])
	by mail.domen.ru (Postfix) with ESMTP id D028E40858
	for <myname@domen.ru>; Mon, 26 Mar 2018 16:46:05 +0300 (EEST)
Received: from interstello.co.ua (unknown [185.173.179.157])
	by mail.interstello.co.ua (Postfix) with ESMTPA id 689F3144190D;
	Mon, 26 Mar 2018 11:18:44 +0300 (EEST)
Message-ID: <c52f01d3c4f4$370316d0$ea121f11@urrezzc>
Reply-To: "=?windows-1251?B?wujw7uHt6Oog6uDi6A==?=" <urrezzc@interstello.co.ua>
From: "=?windows-1251?B?wujw7uHt6Oog6uDi6A==?=" <urrezzc@interstello.co.ua>
To: <yukon_charity@yukon.org.ua>
Subject: =?windows-1251?B?yuDi4CDk6/8g8eXh5SDpIO3gIO/u5ODw8+3u6g==?=
Date: Mon, 26 Mar 2018 11:18:49 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_0018_01D3C4F3.F6103270"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

This is a multi-part message in MIME format.
часть кода срезал ...

macik
() автор топика
Ответ на: комментарий от macik

У меня эти поддомены лет пять как черном списке 

файл check_client_access hash:/etc/postfix/list/vip_ip
#
drug.co.ua OK
.co.ua	REJECT
drug.biz.ua OK
.biz.ua	REJECT
#
С них валит только спам. Обратите внимание на параметр $parent_domain_matches_subdomains. Если в его списке есть 'smtpd_access_maps', это означает, что ваш сервер будет искать ДРУГИЕ строчки, без точки вначале. И надо убрать этот параметр.Параметр можно посмотреть командой

postconf

Но. если сомневаетесь, то сделайте редирект на свой админский ящик и определите их полезность . 

файл check_client_access regexp:/etc/postfix/list/regexp_client
#
/\.co\.ua$/
	REDIRECT adm@mydomen.ru
/\.biz\.ua$/
	REDIRECT adm@mydomen.ru
#

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Спасибо большое за Ваш анализ и работу.

Но это не то. Я их мог блокировать в ручную. Мне бы автоматически сделать так, что бы и новые сообщения с других серверов блокировало. Есть четкая закономерность Delivered-To: и To: Как блокировать где «to» указан даже не мой сервер?

macik
() автор топика
Ответ на: комментарий от macik

Вообщето рестрикшены можно удачно настроить на поле клиента. Так как это самое настоЯщее поле в заголовках. Остальное спамерюга пишет от балды и фильтры плохо срабатывают. Но если сильно хочется делать отлупы по To: то используется header_checks Например:

header_checks = regexp:/etc/postfix/list/header_checks_To

#
/^To:.*@mydomen\.ru/	OK
/^To:.*@.*/	REJECT
#

НО!! Надо предварительно изменить параметры в master.cf. Чтобы header_checks различал входящие и исходящие сообщения. Иначе будет лупить по своим узерам. В Инете есть инфа как это сделать в master.cf Впрочем нормальную защиту в один присест нереально изготовить

Есть еще:

sieve

Он фильтрует письма после приема сообщения (без отлупа) перед тем как положить письмо в ящик пользователя.

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 2)
Ответ на: комментарий от Bootmen

Спасибо.

Поставил. Наши сообщения ходят и не блокируются. Жду спамеров.

Пока сработки нет ...

macik
() автор топика
Ответ на: Спасибо. от macik

Я себе тоже настроил. Но, отредактировал: 

IF !/(^Delivered-To)|(for )/
/(@mydomen)|(@mail\.mydomen)\.ru/     OK
ENDIF
/^To:.*@.*/
        REJECT SPAM_ unknown_user
header_check сравнивает шаблон только с одной строкой. Но, если в поле To: много получателей то может быть многострочная запись. И не факт, что шаблон сработает. Поэтому первое правило тупо ищет «@mydomen» по всем заголовкам ( кроме полей Delivered-To и for). Если не находит то следующее правило дает отлуп спамеру.

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Отлично. сейчас и мы подкорректируем.

Но блин, у меня как на зло спамеры замолкли. Нет обработок.

macik
() автор топика
Ответ на: комментарий от macik

Это глюк. Если применяется IF и ENDIF то после команды postmap выскакивает эта ошибка. Выход: Удалить header_checks.db. И не применять postmap к файлу c шаблонами.

Долго рылся в Инете. И понял, что header_checks тупой инструмент. Такие конструкции не прокатывают: 

#
/^From:.*@mydomen\.ru/	OK
/^To:.*@mydomen\.ru/	OK
/^To:.*@.*/	REJECT
#
После «OK» поиск прекращается только в ТЕКУЩЕМ заголовке. То бишь не полностью выходит из текста. Поэтому в последних версиях постфикса «OK» заменили на «DUNNO». Чтобы не сбивать с толку людей. Но, идея применять header_checks только для входящих работает.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

За ссылку спасибо.

Да, просто по «To» ловить не вариант. У меня не работает тогда почта на выход.

Есть у меня еще одна идея. Я обратил внимание, что у спама Message-ID: неправильный. Обычно это должно быть написание как email. Может по этому заворачивать спам.

Спам 

Message-ID: <f29301d3c46b$43c7aae0$0de3ee25@unvahhl>
Не спам 
Message-Id: <EDE0DC8F-724D-4FB3-BF08-C42CB723824C@mydome.ru>

macik
() автор топика
Ответ на: комментарий от macik

help

помогите не могу правельно правило сделать под мою идею.

/^Message-Id: .*@[a-zA-Z0-9]/    REJECT Invalid Message-ID: HELP

Надо чтобы не блокировало второй вариант 

Message-Id: <EDE0DC8F-724D-4FB3-BF08-C42CB723824C@mydome.ru>

Как написать, что бы реагировало только если нет точек после собаки?

macik
() автор топика
Ответ на: help от macik

Наверное так: 

/^Message-Id: .*@[a-zA-Z]*>$/    REJECT Invalid Message-ID: HELP
Но вариант плохой. Я это как то пробовал. Под отлуп попадали свои узеры. Особенно если это какаято автоматическая станция. И у них кривые клиенты. Я использую частично так: 
/Message-ID.*\.(dk|ee|nl|no|de|fr|si|sk|se|ch|lv|lt|eu|es|fi|be|bg|cz|fm|pl|r
o|co\.kr).$/
        REJECT SPAM_ee_
Многие письма приходят от клиентов .RU, но Message-Id кривое. Хотя тут надо самому смотреть-от каких доменов рубить. Все выше перечисленные домены в шаблоне не имеют интереса для наших узеров. Вам конечно надо подумать.

Bootmen ☆☆☆
()
Ответ на: комментарий от macik

Сначало протетистируйте. Иначе можно огрести от начальства Уже я огребал. Можно так: 

/^Message-Id: .*@[a-zA-Z]*>$/ WARN Bardak!
Отлупов не будет. Только пометка на срабатывание. Недельку парсить:

grep ./mail.log «Bardak»

Bootmen ☆☆☆
()
Ответ на: комментарий от macik

Вообще странно.

то не работало. А теперь все ок

macik
() автор топика
Ответ на: комментарий от Bootmen

Работает, первая жертва facebook 

<a7656d6338691de0ccfcf3a1b2309113@async>

Вторая фирма партнер с не понятной настройкой своего сервера.

macik
() автор топика
Ответ на: комментарий от macik

Мож вы успокоитесь уже ахинею разводить. Нигде не написано, что в мсг ид хостнейм должен быть с точкой. Все аутлук экспрессы и лив мейлы генерируют @имякомп без точки.

Так же как фильтровать по То. Половина менеджеров рассылает клиентам письма по bcc, чтобы не светить чужие емейлы, ставля в То себя, например.

anonymous
()
Ответ на: комментарий от anonymous

Насчет «Message-Id:» согласен. Про «To:» И «Сс:» изначально нет. Узерам под страхом расстрела запрещено открывать входящие писульки если ОНИ не предназначены им. А дела менеджерок кидающих рассылки кучами без подробного указания получателя мне пофик. Так как это спам примитивный по умолчанию.

Bootmen ☆☆☆
()
Ответ на: комментарий от anonymous

И не важно что не написано. Я сообщил о своих наблюдниях и теперь у меня не проходят гавно письма. Вот и все. Пока замечено что только у старых OS и спамерав пишут там фигню.

А по To: это дело каждого. Я считаю, что если письмо не тебе то его можно сразу в СПАМ! А Умников которые дают кучу адресов в одном письме то я убил бы.

macik
() автор топика
Ответ на: комментарий от macik

В версии 3.2 постфикса появилась таки нормальное прерывание поиска в header_checks 

[Feature 20161008] "PASS" and "STRIP" actions in header/body_checks.
"STRIP" is similar to "IGNORE" but also logs the action, and "PASS"
disables header, body, and Milter inspection for the remainder of
the message content.  Contributed by Hobbit.

Bootmen ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
chroot for SSH, что изменилось за 10 лет
Admin
Как изолировать виртуалку от локальной сети но пустить в интернет / kvm / host ubuntu 16 / guest win 7