DA Exim Spam z mojego konta na moje - jak zablokować?

[dan 2]

Witam,

 

korzystam z DA i Exima i od dwóch dni mam napad spamu w postaci wysyłanego z konta mailowego (istniejącego na serwerze) w polu nadawcy i z takim samym odbiorcą. Czyli wygląda jakby użytkownik sam sobie wysyłał wiadomości...

 

Return-path: <0-jw@cancer.org>
Envelope-to: propozycje@szczescie.pl
Delivery-date: Wed, 31 Aug 2011 03:00:33 +0200
Received: from mail by server.aktywne24.pl with spam-scanned (Exim 4.76)
(envelope-from <0-jw@cancer.org>)
id 1QyZAK-00047z-1x
for propozycje@szczescie.pl; Wed, 31 Aug 2011 03:00:33 +0200
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on server.aktywne24.pl
X-Spam-Level: 
X-Spam-Status: No, score=-0.6 required=4.5 tests=BAYES_00,
RCVD_IN_BL_SPAMCOP_NET,UNPARSEABLE_RELAY autolearn=no version=3.2.5
Received: from cc38x175.sels.ru ([83.172.38.175])
by server.aktywne24.pl with esmtp (Exim 4.76)
(envelope-from <0-jw@cancer.org>)
id 1QyZAJ-00047w-OH
for propozycje@szczescie.pl; Wed, 31 Aug 2011 03:00:27 +0200
Received: from  83.172.38.175 (account <propozycje@szczescie.pl> HELO szczescie.pl)
by szczescie.pl (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 254955728 for <propozycje@szczescie.pl>; Wed, 31 Aug 2011 07:00:52 +0600
From: <propozycje@szczescie.pl>
To: <propozycje@szczescie.pl>
Subject: Administrative Assistant Vacancy
Date: Wed, 31 Aug 2011 07:00:52 +0600
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Mailer: wwrmqt.05
Message-ID: <0139944668.58KS74OW365463@hrgrj.wcvpvyovngfak.org>

 

Coś można zaktualizować w konfiguracji aby nie dopuścić do tego typu wysyłek?

Edytowano Sierpień 31, 2011 przez dan (zobacz historię edycji)

[dan 2]

Aż tak skopaną konfigurację mam, że taki spam przechodzi i nie warto podpowiadać ;-) czy problem jest bardziej złożony?

 

Jakiekolwiek wskazówki jak do tego podejść?

Edytowano Wrzesień 2, 2011 przez dan (zobacz historię edycji)

[dan 2]

No dobra - idę pewnym tropem. Ten serwer wysyłający w HALO podaje domenę z mojego serwera. Czy da się (jak?) automatycznie odrzucać maile wysyłane przez serwery identyfikujące się w halo jako jakiekolwiek domeny istniejące na moim serwerze? Ewentualnie może w takim przypadku dowalić punkty do spamassassina?

Edytowano Wrzesień 2, 2011 przez dan (zobacz historię edycji)

[frido 0]

No dobra - idę pewnym tropem. Ten serwer wysyłający w HALO podaje domenę z mojego serwera. Czy da się (jak?) automatycznie odrzucać maile wysyłane przez serwery identyfikujące się w halo jako jakiekolwiek domeny istniejące na moim serwerze? Ewentualnie może w takim przypadku dowalić punkty do spamassassina?

kwestia wygląda tak - jeżeli wysyłasz maila z tego samego maila na tego samego exim nie wymaga autoryzacji gdy komunikacja odbywa się na porcie 25 - taki jest konfig z DA. Dzięki temu jesteś w stanie wsyłać telnetem maila bez najmniejszego problemu. Na porcie 587 wszystko działa jak trzeba. Sprawcą jest ten fragment:

 

accept hosts = +auth_relay_hosts

condition = ${if eq {$interface_port}{587} {yes}{no}}

endpass

message = relay not permitted, authentication required

authenticated = *

 

 

zmien to na:

 

accept hosts = +auth_relay_hosts

endpass

message = relay not permitted, authentication required

authenticated = *

 

 

 

 

Powinno zadziałać.

 

 

 

[frido 0]

kwestia wygląda tak - jeżeli wysyłasz maila z tego samego maila na tego samego exim nie wymaga autoryzacji gdy komunikacja odbywa się na porcie 25 - taki jest konfig z DA. Dzięki temu jesteś w stanie wsyłać telnetem maila bez najmniejszego problemu. Na porcie 587 wszystko działa jak trzeba. Sprawcą jest ten fragment:

 

accept hosts = +auth_relay_hosts

condition = ${if eq {$interface_port}{587} {yes}{no}}

endpass

message = relay not permitted, authentication required

authenticated = *

 

 

zmien to na:

 

accept hosts = +auth_relay_hosts

endpass

message = relay not permitted, authentication required

authenticated = *

 

 

 

 

Powinno zadziałać.

 

 

 

 

 

 

 

czasem tak nie róbcie ... chyba mnie zaćmiło ... a jak z autoryzacją będą dostarczać inne serwery pocztę? ... Czasem szybciej zrobie jak pomyślę. Dobra też z tym walcze - na postfixie nie mam takiego problemu. Zgłebiam dalej exima.

 

 

 

[kafi 2425]

Jakoś ten temat przeoczyłem, a ostatnio dosyć ciekawy i modny jest.

 

(...)

Sposób, który opisałeś jest znakomity i ukróci jakikolwiek spam.

Bo tym sposobem wyrżnąłeś możliwość jakiegokolwiek relayu bez autoryzacji.

Także z jakichkolwiek zewnętrznych MTA. Bo ten kod, który poprawiłeś, zapewniał, że user nie wyśle przez port 587/submission żadnej wiadomości bez autoryzacji.

 

Wystarczy zdefiniować regułkę acl, że jeśli nadawca znajduje się na liście lokalnych domen, to wymagana jest autoryzacja. Ot zmiana dwóch keywordów w twojej poprawionej regułce

Tylko, że to w niczym nie pomoże w tym przypadku

 

A odnośnie meritum - to tych cudaków wcale nie tak łatwo jest wyciąć.

Fałszowane są jedynie nagłówki From: i To: w treści wiadomości.

Natomiast kopertkowe mail from: jest jak najbardziej poprawne, helo wbrew pozorom też (jedno - pierwsze od dołu jest zazwyczaj spoofowane), nawet i revdns takich delikwentów przenosi domenę odwrotną.

Jedynym ratunkiem jest albo filtrowanie po tematach (w większości jest kilka magic words w nich), albo wprowadzenie weryfikacji, czy MAIL FROM: równe jest nagłówkowi From: wiadomości. Co jest dosyć trudnawe jak na chwilę obecną.

Edytowano Wrzesień 9, 2011 przez kafi (zobacz historię edycji)

[regdos 1848]

Ostatnio na tony tego przychodzi.

Można to ścierwo filtrować po treści bo w każdym tym mailu jest podany adres kontaktowy w domenie @newweb-career.com.

[frido 0]

w dużym skrócie. Od długiego czasu adminitruje postfixem, jednak od niedawna walcze z DA i eximem. Wczoraj po testach stwierdziłem że przyczyną tego że na postfixie nie dostaje takiego spamu jest fakt że na postfixie odpaliłem sobie greyliste, która załatwia problem w 90%. Więc odpada grzebanie w konfiguracji exima. Narazie uczę komendą sa-learn spamassasina ... zobaczymy co z tego będzie. W DA masz domyślnie na imapie tworzony katalog spam. Warto przekonywać klietnów do korzystania z niego i żeby przenosili tam niechciacne wiadomości. Raz w nocy w cronie możesz odpalić potem taką kombinację:

 

sa-learn --no-sync --spam /home/*/imap/*/*/Maildir/.INBOX.spam/{new,cur}

 

sa-learn --no-sync --ham /home/*/imap/*/*/Maildir/{new,cur}

 

sa-learn --sync

 

najlepiej wrzucić te 3 linijki do jakiegoś skryptu bashowego i odpalać go w cronie. Jak mnie wpieni to odpale greyliste ... niestety osoba której opiekuję się serwerem za bardzo ten pomysł się nie podoba. Dostaje argument ... bo na interii . W sumie sam wiem że długo przyzywczajałem klientów że mogą dostać wiadomość z opóźnieniem. Może dspam ... zobaczę.

Edytowano Wrzesień 9, 2011 przez frido (zobacz historię edycji)

[lazy 33]

Witam,

 

korzystam z DA i Exima i od dwóch dni mam napad spamu w postaci wysyłanego z konta mailowego (istniejącego na serwerze) w polu nadawcy i z takim samym odbiorcą. Czyli wygląda jakby użytkownik sam sobie wysyłał wiadomości...

 

Return-path: <0-jw@cancer.org>
Envelope-to: propozycje@szczescie.pl
Delivery-date: Wed, 31 Aug 2011 03:00:33 +0200
Received: from mail by server.aktywne24.pl with spam-scanned (Exim 4.76)
(envelope-from <0-jw@cancer.org>)
id 1QyZAK-00047z-1x
for propozycje@szczescie.pl; Wed, 31 Aug 2011 03:00:33 +0200
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on server.aktywne24.pl
X-Spam-Level: 
X-Spam-Status: No, score=-0.6 required=4.5 tests=BAYES_00,
RCVD_IN_BL_SPAMCOP_NET,UNPARSEABLE_RELAY autolearn=no version=3.2.5
Received: from cc38x175.sels.ru ([83.172.38.175])
by server.aktywne24.pl with esmtp (Exim 4.76)
(envelope-from <0-jw@cancer.org>)
id 1QyZAJ-00047w-OH
for propozycje@szczescie.pl; Wed, 31 Aug 2011 03:00:27 +0200
Received: from  83.172.38.175 (account <propozycje@szczescie.pl> HELO szczescie.pl)
by szczescie.pl (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 254955728 for <propozycje@szczescie.pl>; Wed, 31 Aug 2011 07:00:52 +0600
From: <propozycje@szczescie.pl>
To: <propozycje@szczescie.pl>
Subject: Administrative Assistant Vacancy
Date: Wed, 31 Aug 2011 07:00:52 +0600
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Mailer: wwrmqt.05
Message-ID: <0139944668.58KS74OW365463@hrgrj.wcvpvyovngfak.org>

 

Coś można zaktualizować w konfiguracji aby nie dopuścić do tego typu wysyłek?

 

 

acl_check_data:

 

deny message = Wymagana autoryzacja przy FROM

condition = ${if match{$h_from:}{.+@szczescie.pl}{1}{0}}

!authenticated = *

hosts = ! +relay_from_hosts

 

bedzie wymagalo autoryzacji jesli we from bedzie twoja domena, malo eleganckie i moze powodowac problemy jesli wysylasz sam do siebie maile bez autoryzacji z jakis pudelek,

ale dosc proste i skuteczne

 

--

Lazy

[ksk 67]

@lazy

a co jeśli mamy dużo domen na serwerze ?

[lazy 33]

@lazy

a co jeśli mamy dużo domen na serwerze ?

hmm, chyba cos takiego choc nie testowalem

 

condition = ${lookup{$h_from:}wildlsearch{/etc/exim/domeny_re}{1}{0}}

 

a w pliku *@domena

 

--

Lazy

[przemon 35]

w dużym skrócie. Od długiego czasu adminitruje postfixem, jednak od niedawna walcze z DA i eximem. Wczoraj po testach stwierdziłem że przyczyną tego że na postfixie nie dostaje takiego spamu jest fakt że na postfixie odpaliłem sobie greyliste, która załatwia problem w 90%. Więc odpada grzebanie w konfiguracji exima. Narazie uczę komendą sa-learn spamassasina ... zobaczymy co z tego będzie. W DA masz domyślnie na imapie tworzony katalog spam. Warto przekonywać klietnów do korzystania z niego i żeby przenosili tam niechciacne wiadomości. Raz w nocy w cronie możesz odpalić potem taką kombinację:

 

sa-learn --no-sync --spam /home/*/imap/*/*/Maildir/.INBOX.spam/{new,cur}

 

sa-learn --no-sync --ham /home/*/imap/*/*/Maildir/{new,cur}

 

sa-learn --sync

 

najlepiej wrzucić te 3 linijki do jakiegoś skryptu bashowego i odpalać go w cronie. Jak mnie wpieni to odpale greyliste ... niestety osoba której opiekuję się serwerem za bardzo ten pomysł się nie podoba. Dostaje argument ... bo na interii . W sumie sam wiem że długo przyzywczajałem klientów że mogą dostać wiadomość z opóźnieniem. Może dspam ... zobaczę.

 

 

 

To co napisałeś, jest pozbawione logiki.

W nocy uruchomi się skrypt, a jak się okaże, że w new i cur jest nieotagowany spam który nie jest przeniesiony do folderu (bo user np. śpi) to go zakwalifikuje jako dobrą pocztę.

Tworzysz katalog spam i ham, to co nie otaguje jako spam wrzucasz do spamu ręcznie. To co otaguje jako spam a spamem nie jest, wrzucasz do ham. Spamassassin ma autolearning, to też weź pod uwagę. A kwestie automatycznego przenoszenia otagowanego spamu do folderu spam - niech to będzie osobny folder, bo spamassassin nie musi się uczyć tych wiadomości, skoro wie i taguje je jako spam.

 

Druga część pozbawiona logiki w twoim poście to odnośnie samych reguł nauki.

Jak chcesz, żeby było skuteczne, musi być to wykonywane osobno dla każdego użytkownika, bo każdy użytkownik ma osobną bazę Spamassassin.

Czyli skrypt pod użytkownika, i odpalany z crona na jego prawach.

 

Tu sobie poczytaj: http://help.directad...item.php?id=188

 

 

przemon

 

//edit/

 

Poprawiony link, bo tamten jest do mbox: http://help.directadmin.com/item.php?id=358

 

//edit/

Edytowano Wrzesień 10, 2011 przez przemon (zobacz historię edycji)

[frido 0]

To co napisałeś, jest pozbawione logiki.

 

 

Nie nazwałbym tego pozbawionym logiki a błędnym rozumowaniem. Znalazłem już później po moim poście dokument na stronie directadmina. Nie wiedziałem że magazynuje on osobno informacje dla każdego użytkownika. Wiem że spamassasin sam się uczy. Suma sumarum zrobiłem tak że przegrepowałem sobie wiadamosci w poszukiwaniu tych co dostały 5.x punktów (standardowe ustawienie sa w DA oznacza jako spam to co dostaje 6 punktów) i te co były spamem zebrałem do jednego katalogu i je przejechałem sa-learn. Zrezygnowałem ze skanowania katalogów użytkownika, bo jeżeli oni nie będą poprawnie przerzucać to SA będzie się błędnie uczył. Instaluje Greyliste ... to dobre rozwiązanie.

 

 

 

[szakamafa 0]

Panowie walczę z takim spamem i nie wiem jak to najlepiej rozwiązać, dostaję spam ze swojej domeny na to samo konto, czyli np.:

 

ze spoofowanego adresu kontakt@costam.pl na kontakt@costam.pl:

 

pole From i To jest to kontakt@costam.pl ale Return-path już jest inne np entrapxq@axsone.com

 

SPF jest ustawiony jak domyślnie w DirectAdmin:

 

costam.pl. 100 IN TXT "v=spf1 a mx ip4:111.222.333.444 ~all"

 

dodałem do /etc/mail/spamassassin/local.cf:

 

score SPF_HELO_FAIL 10.0

score SPF_FAIL 10.0

score AMAZING_STUFF 10

score NO_DNS_FOR_FROM 10.0

 

i wycięło większą część spamu, ale jeszcze zdarza się, że przychodzi. Może powinienem włączyć autoryzację dla lokalnych domen w exim'ie? Czy to przypadkiem wtedy zablokuje możliwość wysyłania wiadomości przez funkcję mail(); w PHP?

 

Serwer to DirectAdmin, czyli MTA - exim i spamassassin.

 

Może dopisać trzeba jakąś regułę do exim'a lub jakoś go przekonfigurować, może ktoś pomóc?

[mediaweb 0]

A ja, może dlatego iż początkujący w serwerach, podszedłem do tematu zupełnie inaczej.

 

na skrzynce np serwis@24h.pl zblokowałem możliwość otrzymywania maili od serwis@24h.pl. Wszakże raczej mało kto wysyła do siebie maile, więc mam spokój od 3 dni