URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94239
[ Назад ]

Исходное сообщение
"Рассылка спама через postfix ?"

Отправлено Serg2000 , 12-Янв-13 11:27 
На сервере установлен postfix, судя по логам, кто-то отправляет письма на несуществующие аккаунты нашего почтового сервера и сервер отвергает их по обратному адресу (?). Из-за этого наш IP  занесли в черные списки со всеми отсюда вытекающими. Что не так в настройках Postfix ?

Кусок лога (имя домена заменено на "mysite"):

Jan 10 04:37:38 mysite postfix/smtpd[1216]: connect from bubble.netsource.ie[212.17.32.27]
Jan 10 04:37:38 mysite postfix/smtpd[1216]: NOQUEUE: reject: RCPT from bubble.netsource.ie[212.17.32.27]: 550 5.1.1 <gelpteob_1974@mysite.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<gelpteob_1974@mysite.com> proto=SMTP helo=<bubble.netsource.ie>
Jan 10 04:37:38 mysite postfix/smtpd[1216]: disconnect from bubble.netsource.ie[212.17.32.27]
Jan 10 04:37:38 mysite postfix/smtpd[1053]: connect from unknown[212.17.32.21]
Jan 10 04:37:38 mysite postfix/smtpd[1053]: NOQUEUE: reject: RCPT from unknown[212.17.32.21]: 550 5.1.1 <gelpteob_1974@mysite.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<gelpteob_1974@mysite.com> proto=ESMTP helo=<prechk.spamtrap.netsource.ie>
Jan 10 04:37:38 mysite postfix/smtpd[1053]: disconnect from unknown[212.17.32.21]
Jan 10 04:37:39 mysite postfix/smtpd[1488]: connect from mx3.avg.power.net.uk[195.60.31.1]
Jan 10 04:37:39 mysite postfix/smtpd[1488]: NOQUEUE: reject: RCPT from mx3.avg.power.net.uk[195.60.31.1]: 550 5.1.1 <04nh@mysite.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<04nh@mysite.com> proto=ESMTP helo=<mx2.avg.power.net.uk>
Jan 10 04:37:39 mysite postfix/smtpd[1488]: disconnect from mx3.avg.power.net.uk[195.60.31.1]
Jan 10 04:37:43 mysite postfix/smtpd[32748]: connect from localhost.localdomain[127.0.0.1]
Jan 10 04:37:43 mysite postfix/smtpd[32748]: 23CE019E0E2C: client=localhost.localdomain[127.0.0.1]
Jan 10 04:37:43 mysite postfix/cleanup[1666]: 23CE019E0E2C: message-id=<dd57-88d7c7eee.76f1a3534@mysite.com>
Jan 10 04:37:43 mysite postfix/qmgr[2030]: 23CE019E0E2C: from=<apsleder1999@mysite.com>, size=1987, nrcpt=1 (queue active)
Jan 10 04:37:43 mysite postfix/smtpd[32748]: disconnect from localhost.localdomain[127.0.0.1]
Jan 10 04:37:43 mysite postfix/smtp[1822]: 23CE019E0E2C: to=<mtemkin@blackplanet.com>, relay=none, delay=0.22, delays=0.21/0/0.01/0, dsn=5.4.6, status=bounced (mail for blackplanet.com loops back to myself)
Jan 10 04:37:43 mysite postfix/cleanup[1717]: 63C521A1801C: message-id=<20130110013743.63C521A1801C@testnrgdebian5.ru>
Jan 10 04:37:43 mysite postfix/qmgr[2030]: 63C521A1801C: from=<>, size=3815, nrcpt=1 (queue active)
Jan 10 04:37:43 mysite postfix/bounce[1669]: 23CE019E0E2C: sender non-delivery notification: 63C521A1801C
Jan 10 04:37:43 mysite postfix/qmgr[2030]: 23CE019E0E2C: removed
Jan 10 04:37:43 mysite postfix/error[1880]: 63C521A1801C: to=<apsleder1999@mysite.com>, relay=none, delay=0.06, delays=0.03/0/0/0.03, dsn=5.0.0, status=bounced (User unknown in virtual alias table)
Jan 10 04:37:43 mysite postfix/qmgr[2030]: 63C521A1801C: removed
Jan 10 04:37:45 mysite postfix/smtpd[1216]: connect from localhost.localdomain[127.0.0.1]
Jan 10 04:37:45 mysite postfix/smtpd[1216]: 433CB19E0E2C: client=localhost.localdomain[127.0.0.1]
Jan 10 04:37:45 mysite postfix/cleanup[1666]: 433CB19E0E2C: message-id=<ccef7c539ca7ad3b594b0f73adbd0208@www.digital-heaven.co.uk>
Jan 10 04:37:45 mysite postfix/qmgr[2030]: 433CB19E0E2C: from=<albertoamp@info.com.ph>, size=802, nrcpt=1 (queue active)
Jan 10 04:37:45 mysite postfix/smtpd[1216]: disconnect from localhost.localdomain[127.0.0.1]
Jan 10 04:37:45 mysite postfix/smtp[1695]: 433CB19E0E2C: to=<cjofo@aias.com>, relay=none, delay=0.35, delays=0.17/0/0.18/0, dsn=5.4.6, status=bounced (mail for aias.com loops back to myself)
Jan 10 04:37:45 mysite postfix/cleanup[1717]: A2A131A1801C: message-id=<20130110013745.A2A131A1801C@testnrgdebian5.ru>
Jan 10 04:37:45 mysite postfix/qmgr[2030]: A2A131A1801C: from=<>, size=2653, nrcpt=1 (queue active)
Jan 10 04:37:45 mysite postfix/bounce[1718]: 433CB19E0E2C: sender non-delivery notification: A2A131A1801C
Jan 10 04:37:45 mysite postfix/qmgr[2030]: 433CB19E0E2C: removed
Jan 10 04:37:47 mysite postfix/smtpd[1053]: connect from mail.ballantyne.it[91.81.53.86]
Jan 10 04:37:47 mysite postfix/smtpd[1053]: NOQUEUE: reject: RCPT from mail.ballantyne.it[91.81.53.86]: 550 5.1.1 <04nh@mysite.com>: Recipient address rejected: User unknown in virtual alias table; from=<> to=<04nh@mysite.com> proto=ESMTP helo=<mail.ballantyne.it>
Jan 10 04:37:47 mysite postfix/smtpd[1053]: disconnect from mail.ballantyne.it[91.81.53.86]
Jan 10 04:37:47 mysite postfix/smtp[1823]: A2A131A1801C: host mx1.info.com.ph[125.5.125.98] refused to talk to me: 554-mailhost7.vitro.epldt.net 554 Your access
to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.

Настройки postfix в mail.cf:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = testnrgdebian5.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mydomain = localdomain
local_recipient_maps = unix:passwd.byname $alias_maps
virtual_alias_domains = /etc/mail/local-host-names
virtual_alias_maps = hash:/etc/mail/virtusertable
smtp_generic_maps = hash:/etc/mail/generic
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_unverified_recipient


Содержание

Сообщения в этом обсуждении
"Рассылка спама через postfix ?"
Отправлено PavelR , 13-Янв-13 23:07 
> На сервере установлен postfix, судя по логам, кто-то отправляет письма на несуществующие
> аккаунты нашего почтового сервера и сервер отвергает их по обратному адресу
> (?). Из-за этого наш IP  занесли в черные списки со
> всеми отсюда вытекающими. Что не так в настройках Postfix ?
> Кусок лога (имя домена заменено на "mysite"):

Выключите сервер. Это слишком сложная для вас штука.


"Рассылка спама через postfix ?"
Отправлено SHRDLU , 14-Янв-13 11:28 
> На сервере установлен postfix, судя по логам, кто-то отправляет письма на несуществующие
> аккаунты нашего почтового сервера и сервер отвергает их по обратному адресу
> (?). Из-за этого наш IP  занесли в черные списки со
> всеми отсюда вытекающими. Что не так в настройках Postfix ?

В настройках ваших не разбирался, но однозначно, причина вашего попадания в блэклисты никоим образом не связана с тем, что ваш сервер отвергает почту на несуществующие адреса.
Вообще, наличие вашего IP в каких-то dnsbl - это проблема исключительно тех, кто этими dnsbl пользуется.


"Рассылка спама через postfix ?"
Отправлено PavelR , 14-Янв-13 11:55 

> В настройках ваших не разбирался,

Да, я вот тоже не разбирался в настройках ТС

> но однозначно, причина вашего попадания в блэклисты
> никоим образом не связана с тем, что ваш сервер отвергает почту
> на несуществующие адреса.

Да, это верно.

> Вообще, наличие вашего IP в каких-то dnsbl - это проблема исключительно тех,
> кто этими dnsbl пользуется.

А вот это не верно, в данном случае ТС попал в DNSBL не на ровном месте,

Чтобы понять это, и ему и вам нужно смотреть в логи. Приведенных логов - достаточно.



"Рассылка спама через postfix ?"
Отправлено SHRDLU , 14-Янв-13 12:19 
>> Вообще, наличие вашего IP в каких-то dnsbl - это проблема исключительно тех,
>> кто этими dnsbl пользуется.
> А вот это не верно,

Ну для меня это, скорее, религиозный вопрос...

> в данном случае ТС попал в DNSBL не на ровном месте
> Чтобы понять это, и ему и вам нужно смотреть в логи. Приведенных
> логов - достаточно.

Jan 10 04:37:45 mysite postfix/smtpd[1216]: connect from localhost.localdomain[127.0.0.1]
Jan 10 04:37:45 mysite postfix/smtpd[1216]: 433CB19E0E2C: client=localhost.localdomain[127.0.0.1]
Jan 10 04:37:45 mysite postfix/cleanup[1666]: 433CB19E0E2C: message-id=<ccef7c539ca7ad3b594b0f73adbd0208@www.digital-heaven.co.uk>
Jan 10 04:37:45 mysite postfix/qmgr[2030]: 433CB19E0E2C: from=<albertoamp@info.com.ph>, size=802, nrcpt=1 (queue active)
Jan 10 04:37:45 mysite postfix/smtpd[1216]: disconnect from localhost.localdomain[127.0.0.1]

Да, такое впечатление, кто-то у него гадит изнутри, на openrelay, вроде, не похоже...
relayhost пустой, на relay_domains еще бы глянуть, что у него "по умолчанию" прописано...

Еще криминал - "mail for domain.ltd loops back to myself", но это в сторону его DNS надо еще посмотреть...


"Рассылка спама через postfix ?"
Отправлено PavelR , 14-Янв-13 16:49 
>>> Вообще, наличие вашего IP в каких-то dnsbl - это проблема исключительно тех,
>>> кто этими dnsbl пользуется.
>> А вот это не верно,
> Ну для меня это, скорее, религиозный вопрос...

ну так-то да, в каких-то dnsbl  - "это проблема исключительно тех...", а в каких-то стоит позаморачиваться да нажать пару кнопок =).


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 13-Фев-13 10:27 
> А вот это не верно, в данном случае ТС попал в DNSBL не на ровном месте

Ну да. Он туда попал потому, что _кто-то_ решил, что подобное поведение - основание для внесения в днсбл. Иди потом, доказывай, что ты - не верблюд...


"Рассылка спама через postfix ?"
Отправлено LSTemp , 14-Фев-13 02:47 
> Чтобы понять это, и ему и вам нужно смотреть в логи. Приведенных
> логов - достаточно.

ИМХО недостаточно.



"Рассылка спама через postfix ?"
Отправлено DeadLoco , 14-Фев-13 14:42 
> А вот это не верно, в данном случае ТС попал в DNSBL не на ровном месте

В данном конкретном случае он попал в черный список потому, что вел себя согласно РФЦ, а не согласно тому, как кто-то третий хотел бы, чтобы он себя вел. У человека НЕ открытый релей, и он НЕ окучивает сети со спаморассыльщиками. Он в строгом соответствии с протоколом отвечает на указанный обратный адрес: такие тут не живут.

Это, конечно, еще одна из бесчисленных дыр СМТП, но, тем не менее, это не повод вносить хост в черный список. Но, конечно, повод задуматься об контент-анализе.


"Рассылка спама через postfix ?"
Отправлено PavelR , 14-Фев-13 18:38 
>> А вот это не верно, в данном случае ТС попал в DNSBL не на ровном месте
> В данном конкретном случае он попал в черный список потому, что вел
> себя согласно РФЦ, а не согласно тому, как кто-то третий хотел
> бы, чтобы он себя вел. У человека НЕ открытый релей

Чушь. Письма были приняты? Были. Так что он попал в DNSBL не потому что он вел себя согласно RFC, и не потому, что он вел себя не так, как кто-то третий бы хотел, а только потому, что он принял эти письма, попытался доставить, не получилось - отправил bounce.

Ну не повезло ему, что скрипты веб-сервера подломили и начали через них спам слать.
Почтовый сервер не виноват, но вот вся система в целом - виновата, и именно поэтому он(она) в блеклистах. Дыры SMTP тут нет. Повод вносить хост в блеклист - есть.


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 14-Фев-13 18:48 
> только потому, что он принял эти письма, попытался доставить, не получилось
> - отправил bounce.

И в каком именно месте он был неправ? Что именно можно инкриминировать отправителю баунса?

Что он принял с левого хоста письмо с обратным адресом в домене, админ которого не удосужился настроить SPF?
Что он не дропнул письмо на шатких косвенных основаниях контент-анализа?
Что он поступил в строгом соответствии со спеком СМТП-протокола?

За чьто это муму было утоплено в днсбл?


"Рассылка спама через postfix ?"
Отправлено PavelR , 14-Фев-13 20:53 
>> только потому, что он принял эти письма, попытался доставить, не получилось
>> - отправил bounce.
> И в каком именно месте он был неправ? Что именно можно инкриминировать
> отправителю баунса?

Ну ладно. допустим, не за баунсы. Я так думаю, что если посмотреть логи не за пять последних минут (а нам вообще одну минуту от силы показали), то можно увидеть много интересного, например, как принятые от завирусованного скрипта сообщения были успешно отправлены на соответствующие почтовые системы.

Гадит сервер? Гадит. Нужен такой сервер общественности? нет, не нужен.


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 14-Фев-13 21:38 
> Ну ладно. допустим, не за баунсы. Я так думаю, что если посмотреть
> логи не за пять последних минут (а нам вообще одну минуту
> от силы показали), то можно увидеть много интересного, например, как принятые
> от завирусованного скрипта сообщения были успешно отправлены на соответствующие почтовые
> системы.

Это уже область догадок и предположений. ТС написал о баунсах на чужие адреса, и нет оснований полагать, что его внесли в блеклист за что-то иное.

Вообще, главный концептуальный косяк всяких коллективных блеклистов в том, что третьи лица вносят в них хосты, исходя из своих, нередко весьма вычурных, представлений о принципах действия смтп-сетей. Мне регулярно приходится доставать свои домены и хосты из блеклистов, потому что, видите ли, кто-то считает это правомерным, раз уж адреса из моих доменов указываются в качестве отправителей. При этом элементарно проверить SPF - ума не хватает, зато внести в блеклист - всегда пожалуйста.


"Рассылка спама через postfix ?"
Отправлено PavelR , 14-Фев-13 23:13 
>> Ну ладно. допустим, не за баунсы. Я так думаю, что если посмотреть
>> логи не за пять последних минут (а нам вообще одну минуту
>> от силы показали), то можно увидеть много интересного, например, как принятые
>> от завирусованного скрипта сообщения были успешно отправлены на соответствующие почтовые
>> системы.
>Это уже область догадок и предположений. ТС написал о баунсах на чужие адреса, и нет
>оснований полагать, что его внесли в блеклист за что-то иное.

Да вот как раз таки очень даже есть.

> раз уж адреса из моих доменов указываются в качестве отправителей.

ну это конечно бред, да и те, кто пользуются _такими_ блек-листами далеко не ушли от тех, кто их составляет. Они нашли друг друга.


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 15-Фев-13 00:41 
>>нет оснований полагать, что его внесли в блеклист за что-то иное.
> Да вот как раз таки очень даже есть.

Извините, но в приведенном куске логов я вижу ТОЛЬКО легальное поведение МТА. У меня нет оснований полагать кривость настроек МТА.

>> раз уж адреса из моих доменов указываются в качестве отправителей.
> ну это конечно бред, да и те, кто пользуются _такими_ блек-листами далеко
> не ушли от тех, кто их составляет. Они нашли друг друга.

Других нет. Все коллективные блеклисты есть безусловное и однозначное зло. Вдобавок ко всему бессмысленное, ибо эффект, ожидаемый от блеклистов, легко достигается гораздо более другими, менее радикальными методами.



"Рассылка спама через postfix ?"
Отправлено PavelR , 15-Фев-13 08:05 
>>>нет оснований полагать, что его внесли в блеклист за что-то иное.
>> Да вот как раз таки очень даже есть.
> Извините, но в приведенном куске логов я вижу ТОЛЬКО легальное поведение МТА.

А я вижу систему, рассылающую спам.

> У меня нет оснований полагать кривость настроек МТА.

Поведение МТА - легально. Системы в целом - нет. Кривости настроек МТА - нет.


> Других нет. Все коллективные блеклисты есть безусловное и однозначное зло. Вдобавок ко
> всему бессмысленное, ибо эффект, ожидаемый от блеклистов, легко достигается гораздо более
> другими, менее радикальными методами.

Интересно, какие же метобы менее радикальны? Перерабатывать мегатонны спама?

Те же крупные публичные почтовые сервисы внутри себя очень активно используют блеклисты. Можно считать что этот блеклист тоже "коллективный", в силу того, что "абонентов" у сервиса ну просто дофига и он очень разношерстный.

Да, эти методы радикальны. Идите, слейте десяток тысяч писем в яху. Мгновенно блокируют, хотя МТА не делает ничего кривого, да и контент в общем-то не спам, а массовая _периодическая_ клиентская рассылка. И _ничего_ не помогает.



"Рассылка спама через postfix ?"
Отправлено DeadLoco , 15-Фев-13 12:30 
> А я вижу систему, рассылающую спам.

Исключительно в силу дырявости СМТП. Нету верификации отправителя - нету средств НЕ слать такой спам. Но это эффективно лечится настройкой SPF. Не нравится, что на ваших юзеров валятся спамовые баунсы - настрой в ДНС пропись нужную, и все.

> Интересно, какие же метобы менее радикальны? Перерабатывать мегатонны спама?

Я перерабатываю 4-5 ГБ спама в месяц. Более того, едва только заподозрив спам, я начинаю волынить и придерживать отправителя на 2-3 секунды на каждом этапе сессии. В результате на отправление каждого сообщения рассыльщик спама тратит до минуты вместо миллисекунд. Чем больше он морочится со мной, тем меньше шлет спама остальным.

> Те же крупные публичные почтовые сервисы внутри себя очень активно используют блеклисты.

Внутри себя я ТОЖЕ использую черные списки. Но это мои личные черные списки, которыми я пользуюсь только внутри себя.

> Да, эти методы радикальны. Идите, слейте десяток тысяч писем в яху. Мгновенно
> блокируют, хотя МТА не делает ничего кривого, да и контент в
> общем-то не спам, а массовая _периодическая_ клиентская рассылка. И _ничего_ не
> помогает.

Извините, но если Яху не хочет, чтобы я массовые рассылки делал через Яху - это его право. Если бы он захотел, чтобы я не мог отправить вообще никак, ни через кого, посредством коллективного черного списка - это уже было бы свинство.


"Рассылка спама через postfix ?"
Отправлено LSTemp , 19-Фев-13 15:56 
>> А я вижу систему, рассылающую спам.
> Исключительно в силу дырявости СМТП. Нету верификации отправителя - нету средств НЕ
> слать такой спам.

Вообще-то существует ряд механизмов, которые позволяют эту проблему обходить. В частности для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что логин соответствует адресу отправителя. Это конечно в протоколе SMTP не писано, но все нормальные почтовые сервера, лет уже так 1000 как-то закрывают обозначенную проблему.

>Но это эффективно лечится настройкой SPF. Не нравится,
> что на ваших юзеров валятся спамовые баунсы - настрой в ДНС
> пропись нужную, и все.

А нахрена козе боян? Будете все домены с которых почта приходит пихать в свой ДНС? Проще тогда уж обратную проверку адреса на SMTP-сервере сделать (хотя это тоже не совсем хорошо).

>> Интересно, какие же метобы менее радикальны? Перерабатывать мегатонны спама?
> Я перерабатываю 4-5 ГБ спама в месяц. Более того, едва только заподозрив
> спам, я начинаю волынить и придерживать отправителя на 2-3 секунды на
> каждом этапе сессии. В результате на отправление каждого сообщения рассыльщик спама
> тратит до минуты вместо миллисекунд. Чем больше он морочится со мной,
> тем меньше шлет спама остальным.

Банальный greylist - не RFC совсем. Не Ваше изобретение. Хотя бывает довольно эффективно в некоторых случаях. Только зачем ручная работа тогда ("едва только заподозрив спам, я начинаю волынить и придерживать отправителя"), когда готовое решение есть?

>[оверквотинг удален]
> Внутри себя я ТОЖЕ использую черные списки. Но это мои личные черные
> списки, которыми я пользуюсь только внутри себя.
>> Да, эти методы радикальны. Идите, слейте десяток тысяч писем в яху. Мгновенно
>> блокируют, хотя МТА не делает ничего кривого, да и контент в
>> общем-то не спам, а массовая _периодическая_ клиентская рассылка. И _ничего_ не
>> помогает.
> Извините, но если Яху не хочет, чтобы я массовые рассылки делал через
> Яху - это его право. Если бы он захотел, чтобы я
> не мог отправить вообще никак, ни через кого, посредством коллективного черного
> списка - это уже было бы свинство.

Не путайте свой оффисный аквариум, с окрытым для всех сервисом.


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 19-Фев-13 18:13 
> для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что
> логин соответствует адресу отправителя.

Интересно, как я буду аутентифицировать отправителя из непонятно какого домена? В лучшем случае - я могу включить релеинг для хостов, которые пройдут аутентификацию у меня каким-то способом, но это внутри моего почтового домена, не шире. Если ко мне обращается сторонний хост - я его аутентифицировать не могу никак.

> А нахрена козе боян? Будете все домены с которых почта приходит пихать
> в свой ДНС?

Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами отправителей из указанного домена - это отсеет 99% попыток ботнет-клиентов подставить адрес постороннего невинного человека.

> Только зачем ручная работа тогда ("едва только  заподозрив спам,
> я начинаю волынить и придерживать отправителя"), когда готовое решение есть?

Ручная работа нужна затем, что мой почтовик пропускает не более 0.05% входящего спама, и не релеит его вовсе - ни напрямую, ни баунсами. Что же до готовых решений, то обилие спама в сети и массовые вопли по его поводу, прекрасно свидетельствуют о качестве этих решений.

> Не путайте свой оффисный аквариум, с окрытым для всех сервисом.

Вы всерьез полагаете, что у яхи или гугломыла по ту сторону 25-го порта сидит что-то совсем более другое, нежели чем в офисе? Ну-ну...


"Рассылка спама через postfix ?"
Отправлено SHRDLU , 20-Фев-13 08:18 
> Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой
> домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами

Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею.
Была бы эта хрень хотя бы обязательной без исключений - и то не защищала бы от спама. А так и вовсе толку с нее чуть. Полно законопослушных серверов без spf, мх и записей в обратной зоне, и полно спамеров, свято блюдущих все мыслимые и немыслимые стандарты и рекомендации...


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 20-Фев-13 12:27 
> Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею.

SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало письма от чьего угодно имени.

Если вы в своем домене пропишете SPF, а я у себя эту запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров на письма, которых они не отправляли. А именно это описывается в стартовом посте. И только поэтому я столько говорю об SPF. Не о TLS, и не об аутентификации - потому что они тут ни при чем.


"Рассылка спама через postfix ?"
Отправлено SHRDLU , 20-Фев-13 12:57 
> SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало
> письма от чьего угодно имени.
> Если вы в своем домене пропишете SPF, а я у себя эту
> запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров

Я в своём домене spf прописал - из вежливости по отношению к тем, кто этим пользуется. Но проверять чужие даже не заморачиваюсь. Денек посидел над отчётом, прикинул приблизительно соотношение "сервера, имеющие spf"/"сервера, шлющие мне почту" - получилось значение, в статистическом смысле стремящееся к нулю.
А баунсы - это нормально, человек в блэклист попал не из-за самого факта наличия баунсов.



"Рассылка спама через postfix ?"
Отправлено LSTemp , 21-Фев-13 08:44 
>> Что вы за SPF прячетесь как за святую икону? Тоже нашли панацею.
> SPF - не панацея, она лечит одну-единственную болезнь: возможность отправлять кем попало
> письма от чьего угодно имени.

НЕ ЛЕЧИТ

> Если вы в своем домене пропишете SPF, а я у себя эту

Если бы у бабушки были усы, то она была бы дедушкой.

> запись проверю, то вы, тем самым, гарантированы от баунсов вашим юзеров
> на письма, которых они не отправляли. А именно это описывается в
> стартовом посте. И только поэтому я столько говорю об SPF. Не
> о TLS, и не об аутентификации - потому что они тут
> ни при чем.

Конечно не надо аутентификации и адрес отправителя проверять - это ни при чем. У другого такого же тоже "ни при чем". А потом вопрос про боунсы с фейковыми адресами. Откуда интересно рассылка происходит?


"Рассылка спама через postfix ?"
Отправлено LSTemp , 21-Фев-13 08:25 
>> для postfix sasl-аутентификация клиента при подключении, с последующей проверкой, что
>> логин соответствует адресу отправителя.
> Интересно, как я буду аутентифицировать отправителя из непонятно какого домена? В лучшем
> случае - я могу включить релеинг для хостов, которые пройдут аутентификацию
> у меня каким-то способом, но это внутри моего почтового домена, не
> шире. Если ко мне обращается сторонний хост - я его аутентифицировать
> не могу никак.

1) Локальными отправителями могут быть зловредные программызловредные программы.
2) Кто Вам мешат при получении почты со стороннего SMTP-сервера проверить адрес отправителя? Не особо приветствуемый метод, так как и сеть и сторониие сервера нагружает почем зря, но его тоже можно грамотно использовать.

>[оверквотинг удален]
> Вы вообще знаете, как работает SPF? Зачем мне кого-то пихать в свой
> домен? Я, максимум, проверю, каким хостам разрешено отправлять почту с адресами
> отправителей из указанного домена - это отсеет 99% попыток ботнет-клиентов подставить
> адрес постороннего невинного человека.

Конечно знаю - отсюда и вопрос был. Вы домен от ДНС отличаете? При обслуживании нескольких десятков доменов и эффективности SPF (которая к 0 стремится) лично мне этот механизм не уперся.

>> Только зачем ручная работа тогда ("едва только  заподозрив спам,
>> я начинаю волынить и придерживать отправителя"), когда готовое решение есть?
> Ручная работа нужна затем, что мой почтовик пропускает не более 0.05% входящего
> спама, и не релеит его вовсе - ни напрямую, ни баунсами.
> Что же до готовых решений, то обилие спама в сети и
> массовые вопли по его поводу, прекрасно свидетельствуют о качестве этих решений.

Так greylist как раз и вносит задержку в обработку сесси при получения письма. Нормальные SMTP через пару минут после отвала повторяют попытку доставки, а вот спамеру это не уперлось - он другой хост окучивать будет лучше, чем пару минут ждать. Хотите вручную то же самое делать - Ваше право.

>> Не путайте свой оффисный аквариум, с окрытым для всех сервисом.
> Вы всерьез полагаете, что у яхи или гугломыла по ту сторону 25-го
> порта сидит что-то совсем более другое, нежели чем в офисе? Ну-ну...

Я абсолютно уверен в том что:
1) и у яхи и у гугла клиентов явно больше, чем у Вас
2) у яхи, гугла и у Вас политика обеспечения безопасности ипользования сервиса абсолютна разная (ибо разные задачи решаются - сомневаюсь, что Вы всем желающим бесплатные почтовые ящики предоставляете)
3) вопрос не в том, что сидит по ту сторону 25-го порта, а в том, как оно настроено и для каких целей


"Рассылка спама через postfix ?"
Отправлено Т , 13-Фев-13 00:51 
Включите функцию catchall

"Рассылка спама через postfix ?"
Отправлено DeadLoco , 13-Фев-13 10:32 
> Включите функцию catchall

Это плохой совет. Потому что если на легальный адрес v.pupkin@mail.tld кто-то отправит письмо с получателем w.poopkin@mail.tld, то отправитель никогда не узнает о своей ошибке. А исчезновение письма в черной дыре catchall обнаружится только тогда, когда будет слишком поздно, и почтовые абоненты начнут созваниваться с воплями и руганью. И когда они поймут, что оба они не виноваты в том, что потерялся финансовый отчет или контракт века, они очень быстро найдут виноватого. Ага.


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 13-Фев-13 11:05 
> На сервере установлен postfix, судя по логам, кто-то отправляет письма
> на несуществующие аккаунты нашего почтового сервера

ЕСЛИ письмо с хоста без реверса в ДНС
ИЛИ с хоста с adsl|static|dynamic|client|pppoe|etc в имени
ИЛИ с хоста из моего личного черного списка
ИЛИ ловится контент-анализатором
ТО письмо послушно принимаем и тихо скармливаем любимому байесу

Только если письмо не отсеялось на этом решете - можно отсылать баунсы, доставлять локально или релеить. Ошибки тоже будут, но единичные.

"Рассылка спама через postfix ?"
Отправлено Аноним , 14-Фев-13 07:01 
amavisd-new ? :)

"Рассылка спама через postfix ?"
Отправлено DeadLoco , 14-Фев-13 11:19 
> amavisd-new ? :)

spamassassin-old


"Рассылка спама через postfix ?"
Отправлено Аноним , 15-Фев-13 09:46 
>> amavisd-new ? :)
> spamassassin-old

Ну дык второй у первого обычно spam-filter'ом и настроен. + ClamAv ...


"Рассылка спама через postfix ?"
Отправлено DeadLoco , 15-Фев-13 14:07 
> Ну дык второй у первого обычно spam-filter'ом и настроен. + ClamAv ...

У меня СА висит отдельным сетевым сервисом, экзим к нему обращается самостоятельно.