The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Sendmail - No such user here's + Fail2ban - CentOs 6"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"Sendmail - No such user here's + Fail2ban - CentOs 6"  +1 +/
Сообщение от TESTOVIK email(ok) on 25-Сен-13, 14:09 
Всем привет.

- Сервер CentOs 6;

- Почтовый демон sendmail;

- Установлен Fail2ban для решения вопроса;

Причина вопроса: В почтовый лог /var/log/maillog сыпятся сообщения. Таких сообщений довольно много. Так как на сервере всего два почтовых ящика, понять не трудно что это спамер.

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buh@mobi-buy.ru>... No such user here's

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buhg@mobi-buy.ru>... No such user here's

Sep 25 06:08:58 mobi-buy sendmail[31580]: r8P28wmM031580: <buhgalter@mobi-buy.ru>... No such user here's

Sep 25 06:08:59 mobi-buy sendmail[31580]: r8P28wmM031580: from=<aligncpql32@mail.ru>, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74]

Сам вопрос: Интересует как можно записать ип адрес спамера в конце сообщения No such user here's - ип адрес спамера.

Возможно это можно осуществить в файле /etc/mail/virtusertable. Откуда собственно и выводится это сообщение - No such user here's. Ниже вырезка из файла.

# All the host names on the left hand side (foo.com, bar.com, and baz.org)
# must be in class {w} or class {VirtHost}. The latter can be defined by the
# macros VIRTUSER_DOMAIN or VIRTUSER_DOMAIN_FILE (analogously to
# MASQUERADE_DOMAIN and MASQUERADE_DOMAIN_FILE). If VIRTUSER_DOMAIN or
# VIRTUSER_DOMAIN_FILE is used, then the entries of class {VirtHost} are
# added to class {R}, i.e., relaying is allowed to (and from) those domains.
@domain<-->error:nouser No such user here's - ип адрес спамера

Записать ип адрес спамера, чтобы fail2ban потом цеплял эти ип адреса и банил. Возможно у кого то уже настроен бан, такого рода сообщений.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Sendmail - No such user here's + Fail2ban - CentOs 6"  +1 +/
Сообщение от Z0termaNN (ok) on 27-Сен-13, 10:48 
как подцепить ip адрес к сообщению, кроме как изменить код в исходниках, я не представляю.
в качестве решения можно использовать самописного lda, передавая ему в качестве агрумента
${client_address}, а уж он будет сам разбираться есть получатель или нет и писать соотв.
информацию в syslog.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Sendmail - No such user here's + Fail2ban - CentOs 6"  +1 +/
Сообщение от Анонимный аноним on 30-Сен-13, 14:50 

> это сообщение - No such user here's. Ниже вырезка из файла.
> Записать ип адрес спамера, чтобы fail2ban потом цеплял эти ип адреса и
> банил. Возможно у кого то уже настроен бан, такого рода сообщений.

Готовых фильтров нет, подобную задачу можно решать склеивая обработку писем по uid, либо пробегая по логу с помощью крона, либо настроив правильно фильтр rsyslog -а. На выходе мы получим длинную строку вида:

r8P28wmM031580: from=<aligncpql32@mail.ru>, size=0, class=0, nrcpts=0, bodytype=8BITMIME, proto=ESMTP, daemon=MTA, relay=[202.179.18.74] r8P28wmM031580: <buh@mobi-buy.ru>... No such user here's r8P28wmM031580: <buhg@mobi-buy.ru>... No such user here's
Откуда можно выщемить айпишник и непотребства им творимые, что позволит натравить на это fail2ban

подобным образом отваживал спамеров от postfix-а

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Sendmail - No such user here's + Fail2ban - CentOs 6"  +/
Сообщение от TESTOVIK email(ok) on 06-Ноя-13, 13:24 
Это снова я. Тестовик ))

Данную задачу пока так и не решил. Времени особо не было. Написал на почту в fail2ban - безответно. Но кое-что все таки есть. Может кому интересно. Я задал вопрос разработчикам sendmail, и вроде Andrzej Adam Filip, предложил какое-то решение. Но у меня пока оно не пашет :(

Кому интересно, вот ссылка на диалог: https://groups.google.com/forum/#!topic/comp.mail.sendmail/A...

Еще собираюсь написать на форум fail2ban, может там что-то подскажут.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Sendmail - No such user here's + Fail2ban - CentOs 6"  +/
Сообщение от TESTOVIK email(ok) on 09-Ноя-13, 06:18 
Создал тему на гитхабе, в разделе issues программы Fail2ban. Насколько я понял фильтры программы Fail2ban пока еще не поддерживают регулярные выражения в несколько строк (multiline match - dotall). Cейчас они разрабатывают версию 0.9 в которой данная функция будет поддерживатся и вроде как они собираются включить туда такой фильтр для sendmail.

Если будут новости отпишусь тут.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру