Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-11-15 15:58:49
todziu - 
Użytkownik
- todziu
- Użytkownik
- Zarejestrowany: 2012-04-26
Problem z blokowanie fake maili
Witam - mam postfixa ze spamassassinem od pewnego czasu moj serwer i użytkownicy w sieci lokalnej są zasypywani spamem "od siebie"
tz. moja domena to tychydis.com.pl i zdarza sie, że dostają użytkownicy maila od samego siebie:
Kod:
From blenched55@yhbia.com Thu Nov 15 08:18:24 2012
Return-Path: <blenched55@yhbia.com>
X-Original-To: jan@tychydis.com.pl
Delivered-To: jan@tychydis.com.pl
Received: from 91.99.199.123.parsonline.net (unknown [91.99.199.123])
by mail.tychydis.com.pl with ESMTP id E2D99A50126;
Thu, 15 Nov 2012 08:18:23 +0100 (CET)
Date: Thu, 15 Nov 2012 10:37:37 +0330
From: <asia@tychydis.com.pl>
To: <asia@tychydis.com.pl>
Subject: Zarob 200-400 EUR za dwie godziny pracy juz w następnym tygodniu.
X-Mailer: stxsvj
MIME-Version: 1.0
Content-Type: text/html;
charset=iso-8859-2
Content-Transfer-Encoding: 7bit
Message-Id: <20121115071823.E2D99A50126@mail.tychydis.com.pl>juz wrzucam te maile jako wzorzec do programu sa-learn w spamassassinie ale nic nie pomaga - może poprzez procmaila blokować?
- głównie przychodzą ofery pracy
pozdr. i dzieki za odp
Offline
#2 2012-11-15 16:21:56
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Problem z blokowanie fake maili
To sposób na oszukanie programów pocztowych poprzez doklejenie dodatkowego nagłówka From.
Spróbuj wyrzeźbić regexa, w którym sprawdzisz, czy jest dodatkowy nagłówek From zawierający taki sam adres, jak adres docelowy skrzynki pocztowej.
To najprostsza metoda, ale trochę zabawy z tym jest.
Albo po prostu zbanuj serwer MX po ip, jeżeli to pojedynczy lub niezbyt częsty incydent.
Ostatnio edytowany przez Jacekalex (2012-11-15 16:24:55)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2012-11-15 20:43:28
todziu - Użytkownik
- todziu
- Użytkownik
- Zarejestrowany: 2012-04-26
Re: Problem z blokowanie fake maili
Wiesz na pewno tj doklejony nagłówek bo adres ktory podszywa się pod moją domene to blenched55@yhbia.com a maile z domeny tychydis.com.pl zgadzają się z faktycznymi nie wiem tylko jak ten spam zablokować - może wywalić poprzez procmaila na podstawie nagłówka from ?
bo z tego co widze to z różnych MX to przychodzi i różnych IP
macie może jakaś przetestowaną universalną regułkę :-) w procmailu na SPAM ? a z drugiej strony jak to możliwe ze ktoś wysyła maila przez moj MX który nie jest open relay - mam SASLA do autoryzacji a mimo to mozna wysłać maila ze spreparowanym nagłówkiem
dzieki
Ostatnio edytowany przez todziu (2012-11-15 20:54:57)
Offline
#4 2012-11-15 20:50:26
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Problem z blokowanie fake maili
To raczej nie w procmailu, można łatwiej opisać regułki dla spamassassina.
Musiałbyś wykombinować regułkę, która sprawdza, czy jest więcej nagłówków From niż 1, jeden nagłówek From jest taki sam jak adres w nagłówku To.
Względnie napisz w tej sprawie na listę [url=http://wiki.apache.org/spamassassin/MailingLists]mailingową Spamassassina[/url].
Albo najprościej, zamiast zawracać głowę, ze to z różnych IP i różnych domen, sprawdź, czy przypadkiem te różne Ip nie są jakąś serwerownią z serwerami po 20 zł, i włącz sobie porządne listy RBL, takie spamerskie serwery MX lądują na blacklistach zadziwiająco szybko.
To by było na tyle
Ostatnio edytowany przez Jacekalex (2012-11-15 20:52:15)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00008 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00120 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.131.95.49' WHERE u.id=1 |
| 0.00077 | UPDATE punbb_online SET logged=1716109973 WHERE ident='3.131.95.49' |
| 0.00041 | SELECT * FROM punbb_online WHERE logged<1716109673 |
| 0.00091 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22297 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00298 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22297 ORDER BY p.id LIMIT 0,25 |
| 0.00108 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22297 |
| Total query time: 0.00754 s | |