https://ns.opennet.dev/openforum/vsluhforumID1/94239.html На сервере установлен postfix, судя по логам, кто-то отправляет письма на несуществующие аккаунты нашего почтового сервера и сервер отвергает их по обратному адресу (?). Из-за этого наш IP занесли в черные списки со всеми отсюда вытекающими. Что не так в настройках Postfix ?<br><br>Кусок лога (имя домена заменено на "mysite"):<br><br>Jan 10 04:37:38 mysite postfix/smtpd[1216]: connect from bubble.netsource.ie[212.17.32.27]<br>Jan 10 04:37:38 mysite postfix/smtpd[1216]: NOQUEUE: reject: RCPT from bubble.netsource.ie[212.17.32.27]: 550 5.1.1 &lt;gelpteob_1974@mysite.com&gt;: Recipient address rejected: User unknown in virtual alias table; from=&lt;&gt; to=&lt;gelpteob_1974@mysite.com&gt; proto=SMTP helo=&lt;bubble.netsource.ie&gt;<br>Jan 10 04:37:38 mysite postfix/smtpd[1216]: disconnect from bubble.netsource.ie[212.17.32.27]<br>Jan 10 04:37:38 mysite postfix/smtpd[1053]: connect from unknown[212.17.32.21]<br>Jan 10 04:37:38 mysite postfix/smtpd[1053]: NOQUEUE: reject: RCPT from unknown[212.17.32.21]: 550 5.1.1 &lt;gelpteob_1974@mysite.com&gt;: Recipient https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#30 Thu, 21 Feb 2013 04:44:16 GMT &gt;&gt; Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею.<br>&gt; SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало <br>&gt; письма от чьего угодно имени.<br><br>НЕ ЛЕЧИТ<br><br>&gt; Если вы в своем домене пропишете SPF, а я у себя эту <br><br>Если бы у бабушки были усы, то она была бы дедушкой.<br><br>&gt; запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров <br>&gt; на письма, которых они не отправляли. А именно это описывается в <br>&gt; стартовом посте. И только поэтому я столько говорю об SPF. Не <br>&gt; о TLS, и не об аутентификации - потому что они тут <br>&gt; ни при чем.<br><br>Конечно не надо аутентификации и адрес отправителя проверять - это ни при чем. У другого такого же тоже "ни при чем". А потом вопрос про боунсы с фейковыми адресами. Откуда интересно рассылка происходит?<br> https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#29 Thu, 21 Feb 2013 04:25:07 GMT &gt;&gt; для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что <br>&gt;&gt; логин соответствует адресу отправителя.<br>&gt; Интересно, как я буду аутентифицировать отправителя из непонятно какого домена? В лучшем <br>&gt; случае - я могу включить релеинг для хостов, которые пройдут аутентификацию <br>&gt; у меня каким-то способом, но это внутри моего почтового домена, не <br>&gt; шире. Если ко мне обращается сторонний хост - я его аутентифицировать <br>&gt; не могу никак.<br><br>1) Локальными отправителями могут быть зловредные программызловредные программы.<br>2) Кто Вам мешат при получении почты со стороннего SMTP-сервера проверить адрес отправителя? Не особо приветствуемый метод, так как и сеть и сторониие сервера нагружает почем зря, но его тоже можно грамотно использовать.<br><br>&gt;[оверквотинг удален]<br>&gt; Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой <br>&gt; домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами <br>&gt; отправителей из указанного домена - это отсеет 99% попыток ботнет https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#28 Wed, 20 Feb 2013 08:57:42 GMT &gt; SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало <br>&gt; письма от чьего угодно имени.<br>&gt; Если вы в своем домене пропишете SPF, а я у себя эту <br>&gt; запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров <br><br>Я в своём домене spf прописал - из вежливости по отношению к тем, кто этим пользуется. Но проверять чужие даже не заморачиваюсь. Денек посидел над отчётом, прикинул приблизительно соотношение "сервера, имеющие spf"/"сервера, шлющие мне почту" - получилось значение, в статистическом смысле стремящееся к нулю.<br>А баунсы - это нормально, человек в блэклист попал не из-за самого факта наличия баунсов.<br><br><br> https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#27 Wed, 20 Feb 2013 08:27:13 GMT &gt; Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею. <br><br>SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало письма от чьего угодно имени.<br><br>Если вы в своем домене пропишете SPF, а я у себя эту запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров на письма, которых они не отправляли. А именно это описывается в стартовом посте. И только поэтому я столько говорю об SPF. Не о TLS, и не об аутентификации - потому что они тут ни при чем. <br> https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#26 Wed, 20 Feb 2013 04:18:49 GMT &gt; Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой <br>&gt; домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами <br><br>Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею.<br>Была бы эта хрень хотя бы обязательной без исключений - и то не защищала бы от спама. А так и вовсе толку с нее чуть. Полно законопослушных серверов без spf, мх и записей в обратной зоне, и полно спамеров, свято блюдущих все мыслимые и немыслимые стандарты и рекомендации...<br> https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#25 Tue, 19 Feb 2013 14:13:50 GMT &gt; для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что <br>&gt; логин соответствует адресу отправителя. <br><br>Интересно, как я буду аутентифицировать отправителя из непонятно какого домена? В лучшем случае - я могу включить релеинг для хостов, которые пройдут аутентификацию у меня каким-то способом, но это внутри моего почтового домена, не шире. Если ко мне обращается сторонний хост - я его аутентифицировать не могу никак. <br><br>&gt; А нахрена козе боян? Будете все домены с которых почта приходит пихать <br>&gt; в свой ДНС? <br><br>Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами отправителей из указанного домена - это отсеет 99% попыток ботнет-клиентов подставить адрес постороннего невинного человека. <br><br>&gt; Только зачем ручная работа тогда ("едва только заподозрив спам, <br>&gt; я начинаю волынить и придерживать отправителя"), когда готовое решение есть?<br><br>Ручная работа нужна затем, что мой почтовик пропу https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#24 Tue, 19 Feb 2013 11:56:25 GMT &gt;&gt; А я вижу систему, рассылающую спам.<br>&gt; Исключительно в силу дырявости СМТП. Нету верификации отправителя - нету средств НЕ <br>&gt; слать такой спам. <br><br>Вообще-то существует ряд механизмов, которые позволяют эту проблему обходить. В частности для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что логин соответствует адресу отправителя. Это конечно в протоколе SMTP не писано, но все нормальные почтовые сервера, лет уже так 1000 как-то закрывают обозначенную проблему.<br><br>&gt;Но это эффективно лечится настройкой SPF. Не нравится, <br>&gt; что на ваших юзеров валятся спамовые баунсы - настрой в ДНС <br>&gt; пропись нужную, и все.<br><br>А нахрена козе боян? Будете все домены с которых почта приходит пихать в свой ДНС? Проще тогда уж обратную проверку адреса на SMTP-сервере сделать (хотя это тоже не совсем хорошо).<br><br>&gt;&gt; Интересно, какие же метобы менее радикальны? Перерабатывать мегатонны спама?<br>&gt; Я перерабатываю 4-5 ГБ спама в месяц. Более того, едва только заподозрив <br>&gt; спам, я начинаю волынить и п https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#23 Fri, 15 Feb 2013 10:07:45 GMT &gt; Ну дык второй у первого обычно spam-filter'ом и настроен. + ClamAv ... <br><br>У меня СА висит отдельным сетевым сервисом, экзим к нему обращается самостоятельно. <br><br> https://ns.opennet.dev/openforum/vsluhforumID1/94239.html#22 Fri, 15 Feb 2013 08:30:49 GMT &gt; А я вижу систему, рассылающую спам.<br><br>Исключительно в силу дырявости СМТП. Нету верификации отправителя - нету средств НЕ слать такой спам. Но это эффективно лечится настройкой SPF. Не нравится, что на ваших юзеров валятся спамовые баунсы - настрой в ДНС пропись нужную, и все. <br><br>&gt; Интересно, какие же метобы менее радикальны? Перерабатывать мегатонны спама?<br><br>Я перерабатываю 4-5 ГБ спама в месяц. Более того, едва только заподозрив спам, я начинаю волынить и придерживать отправителя на 2-3 секунды на каждом этапе сессии. В результате на отправление каждого сообщения рассыльщик спама тратит до минуты вместо миллисекунд. Чем больше он морочится со мной, тем меньше шлет спама остальным. <br><br>&gt; Те же крупные публичные почтовые сервисы внутри себя очень активно используют блеклисты. <br><br>Внутри себя я ТОЖЕ использую черные списки. Но это мои личные черные списки, которыми я пользуюсь только внутри себя. <br><br>&gt; Да, эти методы радикальны. Идите, слейте десяток тысяч писем в яху. Мгновенно <br>&gt; блокируют, хотя МТА не де