LINUX.ORG.RU
ФорумGeneral

exim левые письма

 , , ,


0

1

есть сервер, на нем стоит vestacp, настроен exim, недавно началась забиваться очередь странными письмами, например 

1dVGhm-0007Yc-UQ-D
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  user19@gmail.com
    (ultimately generated from user@example.com)
    SMTP error from remote mail server after end of data:
    host gmail-smtp-in.l.google.com [64.233.191.27]:
    550-5.7.1 [1.2.3.4       7] Our system has detected that this message is
    550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
    550-5.7.1 this message has been blocked. Please visit
    550-5.7.1  https://support.google.com/mail/?p=UnsolicitedMessageError
    550 5.7.1  for more information. q7si2227627itc.102 - gsmtp

------ This is a copy of the message, including all the headers. ------

Return-path: <pouxaihfzuwgh@isokanet.com>
Received: from static.232.158.46.78.clients.your-server.de ([78.46.158.232] helo=mailer-daemon)
        by domain.com with esmtps (TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128)
        (Exim 4.82)
        (envelope-from <pouxaihfzuwgh@isokanet.com>)
        id 1dVGhX-0007Uq-OB
        for user@example.com; Wed, 12 Jul 2017 15:25:16 +0300
Received: from [179.211.85.36] (helo=b3d35524.virtua.com.br)
        by mailer-daemon with smtp (Exim 4.80)
        (envelope-from <pouxaihfzuwgh@isokanet.com>)
        id 1dVGhU-0004IJ-RH
        for support@s.com; Wed, 12 Jul 2017 14:25:06 +0200
Message-ID: <7565294537-HYJPYVXJPRMVAHLQIQAJE@plorusujv.gogan.us>
From: "Trudy Kent" <Kent04@gogan.us>
Subject: Don't slow your life down! Use Viagra Capsules.
To: support@s.com
Date: Wed, 12 Jul 2017 12:17:03 -0100
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="_av-2096603544953141"
X-Spam-Score: 76
X-Spam-Bar: +++++++
X-Spam-Report: Spam detection software, running on the system "domain.com",
 has identified this incoming email as possible spam.  The original
 message has been attached to this so you can view it or label
 similar future email.  If you have any questions, see
 @@CONTACT_ADDRESS@@ for details.

 Content preview:  Don't slow your life down! Use Viagra Capsules. = A man can
    do more when he uses Viagra Super Active. Buy it in our online store and
   become Super Active! = The best price here! *SALE2017 *Use this code and get
    ADDITIONAL discount 5% for all our product.* [...]

 Content analysis details:   (7.6 points, 5.0 required)

  pts rule name              description
 ---- ---------------------- --------------------------------------------------
  0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was blocked.
                             See
                             http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                              for more information.
                             [URIs: uploadhouse.com]
  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
                [Blocked - see <http://www.spamcop.net/bl.shtml?179.211.85.36>]
  0.8 RCVD_IN_SORBS_WEB      RBL: SORBS: sender is an abusable web server
                             [179.211.85.36 listed in dnsbl.sorbs.net]
  3.5 BAYES_99               BODY: Bayes spam probability is 99 to 100%
                             [score: 1.0000]
  0.0 FSL_HELO_NON_FQDN_1    No description available.
  0.0 T_HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
                             domains are different
  0.0 HTML_MESSAGE           BODY: HTML included in message
  0.0 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars
  2.0 DRUGS_ERECTILE         Refers to an erectile drug
X-Spam-Status: Yes
X-ACL-Warn: SpamAssassin detected spam (from pouxaihfzuwgh@isokanet.com to user@example.com).

--_av-2096603544953141
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

в vestacp заведена почта user@example.com, которая перенаправляет письма на user19@gmail.com, это просто спам или с моего сервера рассылают спам?


Что-то случилось с сайтами астралиункса...
Нет доступа к сайтам

Посмотрите по логам, принмал ли ваш exim в ″Wed, 12 Jul 2017 15:25:16″ письмо от 78.46.158.232.

mky ★★★★★
()
Ответ на: комментарий от mky

в логах по 1dVGhm-0007Yc-UQ 

2017-07-12 15:25:23 1dVGhm-0007Yc-UQ <= <> R=1dVGhX-0007Uq-OB U=Debian-exim P=local S=45642
2017-07-12 15:25:26 1dVGhm-0007Yc-UQ ** pouxaihfzuwgh@isokanet.com R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<pouxaihfzuwgh@isokanet.com>: host isokanet.com [59.106.13.132]: 553 5.3.0 <pouxaihfzuwgh@isokanet.com>... User unknown, not local address
2017-07-12 15:25:26 1dVGhm-0007Yc-UQ Frozen (delivery error message)
по 78.46.158.232 
2017-07-12 15:25:16 1dVGhX-0007Uq-OB <= pouxaihfzuwgh@isokanet.com H=static.232.158.46.78.clients.your-server.de (mailer-daemon) [78.46.158.232] P=esmtps X=TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128 S=44321 id=7565294537-HYJPYVXJPRMVAHLQIQAJE@plorusujv.gogan.us

Garcia
() автор топика
Ответ на: комментарий от mky

спасибо за ответ, т.е. это просто спам рассылают с pouxaihfzuwgh@isokanet.com? может вы подскажете как бороться с таким спамом?

Garcia
() автор топика
Ответ на: комментарий от Garcia

Спам рассылают с 179.211.85.36 через открытый релей 78.46.158.232, адрес отправителя у спама как правило фиктивный.

Как бороться со спамом я не знаю, но ведь у вас там, судя по заголовку, стоит spamassassin. Почему письмо пошло в пересылку на gmail?

mky ★★★★★
()
Ответ на: комментарий от mky

может abuse написать на эти ip или это бессмысленная трата времени? да стоит spamassassin, почему пошла перессылка на gmail, в первом посте я написал

в vestacp заведена почта user@example.com, которая перенаправляет письма на user19@gmail.com

Garcia
() автор топика
Ответ на: комментарий от Garcia

Писать абузы смысла не вижу, ip-адресов на которых сидят спамботы и открытых релеев очень много, времени не хватит.

А по поводу пересылки я хотел сказать, что по хорошему нужно настраивать пресылку с учётом ″X-Spam-Score″, да ещё бы и SRS прикрутить, чтобы gmail по spf письма не отбрасывал. Но это уже вне этой темы, да и vestacp этого не умеет.

mky ★★★★★
()
Ответ на: комментарий от Garcia

Посмотреть лог, получал ли почтовый сервер это письмо или оно отправлено в обход exim, потому что строка:

Received: from [179.211.85.36]

для меня выглядит подозрительной, в не не указано значение PTR-записи для 179.211.85.36, хотя у меня этот ip резолвится.

mky ★★★★★
()
Ответ на: комментарий от mky

вот взял новое письмо, на сервере там где веста 

1dY6b3-0001Tj-Ve-D
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  user19@gmail.com
    (ultimately generated from user@example.com)
    SMTP error from remote mail server after end of data:
    host gmail-smtp-in.l.google.com [209.85.145.27]:
    550-5.7.1 [138.201.16.74       7] Our system has detected that this message is
    550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail,
    550-5.7.1 this message has been blocked. Please visit
    550-5.7.1  https://support.google.com/mail/?p=UnsolicitedMessageError
    550 5.7.1  for more information. v64si1608915itf.8 - gsmtp

------ This is a copy of the message, including all the headers. ------

Return-path: <swxuq@goro.hel.com>
Received: from static.232.158.46.78.clients.your-server.de ([78.46.158.232] helo=mailer-daemon)
        by h1.zztest.com with esmtps (TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128)
        (Exim 4.82)
        (envelope-from <swxuq@goro.hel.com>)
        id 1dY6b1-0001Sr-7L
        for user@example.com; Thu, 20 Jul 2017 11:14:08 +0300
Received: from [179.234.186.218] (helo=b3eabada.virtua.com.br)
        by mailer-daemon with smtp (Exim 4.80)
        (envelope-from <swxuq@goro.hel.com>)
        id 1dY6at-00012X-BM
        for support@s.com; Thu, 20 Jul 2017 10:14:05 +0200
Message-ID: <335090370680929-LAHUBZZGSGBGBZXLWJVU@foxmb5.killswitch.us>
From: "Cherie Chu" <Cherie3Chu@killswitch.us>
Subject: More bright feelings. Viagra Brand enables.
To: support@s.com
Date: Thu, 20 Jul 2017 12:12:55 +0300
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="_av-59192602622247898492"
X-Spam-Score: 171
X-Spam-Bar: +++++++++++++++++
X-Spam-Report: Spam detection software, running on the system "h1.zztest.com",
 has identified this incoming email as possible spam.  The original
 message has been attached to this so you can view it or label
 similar future email.  If you have any questions, see
 the administrator of that system for details.

 Content preview:  More bright feelings. Viagra Brand enables. = No need of
   doctors with Viagra Capsules. This miracle is for you. Only in our online
   shop! = NEW ARRIVALS *SALE2017 *Use this code and get ADDITIONAL discount
   5% for all our product.* [...]

 Content analysis details:   (17.1 points, 5.0 required)

  pts rule name              description
 ---- ---------------------- --------------------------------------------------
  1.2 URIBL_ABUSE_SURBL      Contains an URL listed in the ABUSE SURBL blocklist
                             [URIs: scalabrinianos.org.ar]
  0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was blocked.
                             See
                             http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                              for more information.
                             [URIs: scalabrinianos.org.ar]
  2.0 URIBL_DBL_ABUSE_SPAM   Contains an abused spamvertized URL listed in
                             the DBL blocklist
                             [URIs: scalabrinianos.org.ar]
  0.6 URIBL_PH_SURBL         Contains an URL listed in the PH SURBL blocklist
                             [URIs: pracowniastilo.pl]
  1.3 URIBL_CR_SURBL         Contains an URL listed in the CR SURBL blocklist
                             [URIs: pracowniastilo.pl]
  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
              [Blocked - see <http://www.spamcop.net/bl.shtml?179.234.186.218>]
  0.5 RCVD_IN_SORBS_SPAM     RBL: SORBS: sender is a spam source
                             [179.234.186.218 listed in dnsbl.sorbs.net]
  3.5 BAYES_99               BODY: Bayes spam probability is 99 to 100%
                             [score: 1.0000]
  0.0 FSL_HELO_NON_FQDN_1    No description available.
  0.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
                             domains are different
  1.1 HTTP_ESCAPED_HOST      URI: Uses %-escapes inside a URL's hostname
0.0 HTML_MESSAGE           BODY: HTML included in message
  0.2 BAYES_999              BODY: Bayes spam probability is 99.9 to 100%
                             [score: 1.0000]
  0.0 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars
  0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
                             [cf: 100]
  0.9 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
  1.9 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
                             above 50%
                             [cf: 100]
  2.0 DRUGS_ERECTILE         Refers to an erectile drug
X-Spam-Status: Yes
X-ACL-Warn: SpamAssassin detected spam (from swxuq@goro.hel.com to user@example.com).
в логе exim 
2017-07-20 11:14:10 1dY6b3-0001Tj-Ve <= <> R=1dY6b1-0001Sr-7L U=Debian-exim P=local S=46574
2017-07-20 11:16:17 1dY6b3-0001Tj-Ve goro.hel.com [69.172.201.153] Connection timed out
2017-07-20 11:16:17 1dY6b3-0001Tj-Ve == swxuq@goro.hel.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2017-07-20 11:45:48 1dY6b3-0001Tj-Ve goro.hel.com [69.172.201.153] Connection timed out
2017-07-20 11:45:48 1dY6b3-0001Tj-Ve == swxuq@goro.hel.com R=dnslookup T=remote_smtp defer (110): Connection timed out

на сервере 78.46.158.232 

2017-07-20 10:14:05 1dY6at-00012X-BM <= swxuq@goro.hel.com H=(b3eabada.virtua.com.br) [179.234.186.218] P=smtp S=41867 id=335090370680929-LAHUBZZGSGBGBZXLWJVU@foxmb5.killswitch.us
2017-07-20 10:15:12 1dY6b3-00012l-O4 goro.hel.com [69.172.201.153] Connection timed out
2017-07-20 10:15:12 1dY6b3-00012l-O4 == swxuq@goro.hel.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2017-07-20 10:45:58 1dY6b3-00012l-O4 goro.hel.com [69.172.201.153] Connection timed out
2017-07-20 10:45:58 1dY6b3-00012l-O4 == swxuq@goro.hel.com R=dnslookup T=remote_smtp defer (110): Connection timed out

Garcia
() автор топика

by domain.com with esmtps

Поломали у вас ящик на вашем сервере и через него шлют письма на gmail. Поменяйте пароль для ящика.

int13h ★★★★★
()
Ответ на: комментарий от int13h

пароль для ящика user@example.com был поменян сразу, но письма со спамом в почтовой очереди продолжают собираться на сервере

Garcia
() автор топика
Ответ на: комментарий от mky

не было времени дальше смотреть, но сейчас появилось время и я немного разобрался, но не до конца

есть почта 

To: support@s.com
которая перенаправляется на user@example.com, а почта user@example.com перенаправляется на user19@gmail.com

почта support@s.com на одном сервере, почта user@example.com на сервере там где веста, как-то надо настроить SpamAssassin на сервере веста, что бы не пропускал этот спам или надо на сервере, где почта support@s.com поставить SpamAssassin, что бы он откидывал эти письма? или подскажите что еще можно сделать?

Garcia
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Что-то случилось с сайтами астралиункса...
General
Нет доступа к сайтам