Forum Debian Users Gang

robstorm · 2009-02-19 12:58:12

Od jakiegos czasu na konta moich userów dociera spora ilość wiadomości z subiectem "undelivered mail return to sender". Jak się przyjżec w treść wiadomości okazuje się że jest to wiadomość z reklamą "powiększo sobie penisa" itp. Problem jest w tym że wiadpomość wydaję się być "zwrotką" , oczywiste jest to że takiej wiadomości nadawca nie wysyła. Wyczytałem gdzies na google że jest to nowa forma spamu. Moje pytanie jak się przed tym bronić, czy spotkaliście się juz z takim problemem? Moje zabawki pocztowe to postfix z mysql, amavis współpracujacy ze spamassassinem.

kayo · 2009-02-21 19:16:12

a RBL mamy wdrożone?

robstorm · 2009-02-21 22:23:47

Niestety nie. Myślisz że wprowadzenie RBL-a może w tym wypadku pomóc? Chętnie to przetestuję, tylko prosił bym o małą wskazówkę jak to "pożenić" w mojej konfiguracji.

kayo · 2009-02-22 00:31:37

[url]http://forum.dug.net.pl/viewtopic.php?id=11241[/url]
Tam masz przykladowa konfiguracje razem z objasnieniem kolejnosci. Polecam rowniez Postgrey

Ostatnio edytowany przez kayo (2009-02-22 00:33:42)

robstorm · 2009-02-23 09:25:07

Przerobiłem konfiga postafixa tak jak napisałeś i juz widzę ze jest lepiej bo spamcop czy inne serwery odzucają spam ale niestety mam tez taki objaw:

Kod:

Feb 23 09:20:47 localhost postfix/smtpd[10623]: connect from smtp239.poczta.interia.pl[217.74.64.239]
Feb 23 09:20:47 localhost postfix/smtpd[10623]: warning: connect to 127.0.0.1:60000: Connection refused
Feb 23 09:20:47 localhost postfix/smtpd[10623]: warning: problem talking to server 127.0.0.1:60000: Connection refused
Feb 23 09:20:48 localhost postfix/smtpd[10623]: warning: connect to 127.0.0.1:60000: Connection refused
Feb 23 09:20:48 localhost postfix/smtpd[10623]: warning: problem talking to server 127.0.0.1:60000: Connection refused
Feb 23 09:20:48 localhost postfix/smtpd[10623]: NOQUEUE: reject: RCPT from smtp239.poczta.interia.pl[217.74.64.239]: 450 Server configuration problem; from=<user@interia.pl> to=<mojekonto@mojadomena> proto=ESMTP helo=<smtp239.poczta.interia.pl>
Feb 23 09:20:48 localhost postfix/smtpd[10623]: disconnect from smtp239.poczta.interia.pl[217.74.64.239]

A wiadomości z interii chciałbym jednak otrzymywać.
Wewnętrzna poczta działa ok

Ostatnio edytowany przez robstorm (2009-02-23 09:26:28)

kayo · 2009-02-23 13:36:00

Wywal

Kod:

check_policy_service inet:127.0.0.1:60000

powyzsza linijka odpowiada za "rozmowy" postfix'a z SA w mojej konfiguracji

Ostatnio edytowany przez kayo (2009-02-23 13:38:49)

robstorm · 2009-02-23 14:00:09

Ja ta linijkę wyhaszowałem, i błąd zniknał, nie wiem czy to dobrze ale narazie wszystko działa jak nalezy i od kilku godzin nie dostałem żadnego spamu !!! Także twoja rada kayo bardzo mi pomogła, bardzo ci dziękuję za pomoc, ;)

kayo · 2009-02-23 18:40:49

że wu zą pri;)

Jacekalex · 2009-06-17 03:06:53

Na moje oko - ktoś wysyła spam ze swojej maszyny - ale podszywa się pod twoją domenę.

Serwery poczty - zabezpieczone przed spamem - sprawdzają w DNS adres IP serwera - który wysłał maila - i odrzucają pocztę z właśnie takim (oraz kilkoma podobnymi) komunikatami zwrotnymi.

U mnie pomogło ustawienie rekordów spf w domenach i wyłączenie na kilka dni catch-all'a.
Poza tym musiałem wywalić ze skrzynek około kilku tysięcy podobnych wiadomości ze skrzynek.

Rekordy spf - http://www.openspf.org/

Pozdrawiam

bercik · 2009-06-17 12:42:49

co do SPF to jak dla mnie leczenie skaleczenia palca przez amputacje reki ... polecam http://spam.jogger.pl/2006/03/13/czemu-uwzialem-sie-na-spf/

Jacekalex · 2009-10-22 12:40:54

Sam spf problemu nie rozwiązuje w kontekście całego spamu - natomiast przy jednym pomaga bardzo skutecznie -przy podszywaniu się spamera pod twoją domenę.

W 2 domenach - którymi się opiekuję - ustawienie SPF zakończyło tony odbitych wiadomości - ktore (te wiadomości) były wysyłane ze SriLanki - odrzucane przez filtry na podstawie DNS i ReverseDNS - powodując tony śmiecii w skrzynce - jakieś 5000 dziennie.

Natomiast do filtrowania Spamu w spamassassinie - dobrze dac niezłą punktację tak - aby łączne punkty z testów DNS ReverseDNS i Spf wystarczyły do wywalenia maila.

Co do spamerów - ktorzy mają rekordy spf na swoich domenach - dla takich typów jest spamhaus i kilka innych fajnych miejsc.

Spf jest narzędziem -ani dobrym -ani złym - zależy - jak się go użyje.

Pozdrawiam

Ostatnio edytowany przez Jacekalex (2009-11-20 04:12:39)

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00093	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.52.43' WHERE u.id=1
0.00067	UPDATE punbb_online SET logged=1732791434 WHERE ident='18.116.52.43'
0.00042	SELECT * FROM punbb_online WHERE logged<1732791134
0.00197	DELETE FROM punbb_online WHERE ident='3.147.65.47'
0.00026	SELECT topic_id FROM punbb_posts WHERE id=111501
0.00028	SELECT id FROM punbb_posts WHERE topic_id=13472 ORDER BY posted
0.00027	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13472 AND t.moved_to IS NULL
0.00023	SELECT search_for, replace_with FROM punbb_censoring
0.00057	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13472 ORDER BY p.id LIMIT 0,25
0.00095	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13472
Total query time: 0.00668 s

Forum Debian Users Gang

Ogłoszenie

#1 2009-02-19 12:58:12

robstorm - Użytkownik

SPAM w postaci "undelivered mail return to sender"

#2 2009-02-21 19:16:12

kayo - Członek DUG

Re: SPAM w postaci "undelivered mail return to sender"

#3 2009-02-21 22:23:47

robstorm - Użytkownik

Re: SPAM w postaci "undelivered mail return to sender"

#4 2009-02-22 00:31:37

kayo - Członek DUG

Re: SPAM w postaci "undelivered mail return to sender"

#5 2009-02-23 09:25:07

robstorm - Użytkownik

Re: SPAM w postaci "undelivered mail return to sender"

Kod:

#6 2009-02-23 13:36:00

kayo - Członek DUG

Re: SPAM w postaci "undelivered mail return to sender"

Kod:

#7 2009-02-23 14:00:09

robstorm - Użytkownik

Re: SPAM w postaci "undelivered mail return to sender"

#8 2009-02-23 18:40:49

kayo - Członek DUG

Re: SPAM w postaci "undelivered mail return to sender"

#9 2009-06-17 03:06:53

Jacekalex - Podobno człowiek...;)

Re: SPAM w postaci "undelivered mail return to sender"

#10 2009-06-17 12:42:49

bercik - Moderator Mamut

Re: SPAM w postaci "undelivered mail return to sender"

#11 2009-10-22 12:40:54

Jacekalex - Podobno człowiek...;)

Re: SPAM w postaci "undelivered mail return to sender"

Stopka forum

Informacje debugowania