forum.opennet.ru - "Спам внутри домена в Postfix" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Спам внутри домена в Postfix"

Форумы Открытые системы на сервере (Почта)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Спам внутри домена в Postfix"		+/–
Сообщение от dovzz (ok) on 03-Мрт-10, 08:25
Здраствуйте уважаемые. Недавно столкнулся с проблемой в Postfix. Рассылаеться спам внутри домена, спам можется слаться как на самого себя так и на другие ящики домена, при чем по логам один ящик сразу спамит несколько других внутри домена. Перепробовал кучу вариантов, которые советуют на форумах. Сам экспериментировал - нечего не помогало. Очень нужна помощь - начальство порвет. Привожу заголовок одного из писем и конфиг: Return-Path: <waterspouts6@anacalengineering.com> X-Original-To: ofis@radius-net.ru Delivered-To: ofis@radius-net.ru Received: by mail.radius-net.ru (Postfix, from userid 1982) id CC74F2A2943; Wed, 24 Feb 2010 14:53:58 +0500 (YEKT) Received: from localhost by mail.radius-net.ru with SpamAssassin (version 3.2.4); Wed, 24 Feb 2010 14:53:58 +0500 From: ofis@radius-net.ru To: <ofis@radius-net.ru> Subject: ***SPAM* =?koi8-r?B?7tXWztkg2sHLwdrZPw==?= Date: Wed, 24 Feb 2010 01:35:43 -0800 Message-Id: <000d01cab534$bc252c00$6400a8c0@waterspouts6> X-Spam-Flag: YES X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on mail.radius-net.ru X-Spam-Level: **************** X-Spam-Status: Yes, score=18.7 required=4.5 tests=BAYES_99,FH_DATE_PAST_20XX, FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_WEB,RCVD_IN_XBL,RDNS_NONE,STOX_REPLY_TYPE,TVD_RCVD_IP autolearn=spam version=3.2.4 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------=_4B84F736.FAEEB50A" Конфиг: mail# postconf -n address_verify_sender = <> alias_database = hash:/etc/mail/aliases alias_maps = hash:/etc/mail/aliases broken_sasl_auth_clients = yes command_directory = /usr/local/sbin config_directory = /usr/local/etc/postfix daemon_directory = /usr/local/libexec/postfix debug_peer_list = 127.0.0.1, mail.radius-net.ru default_privs = nobody disable_vrfy_command = yes header_checks = regexp:/usr/local/etc/postfix/header_checks html_directory = no inet_interfaces = all local_recipient_maps = $virtual_mailbox_maps, $virtual_alias_maps, $alias_maps mail_owner = postfix mailq_path = /usr/local/bin/mailq manpage_directory = /usr/local/man message_size_limit = 20971520 mydestination = $myhostname, localhost.$mydomain, localhost mydomain = radius-net.ru myhostname = mail.radius-net.ru mynetworks = 127.0.0.0/8, 10.10.5.201/32, 84.254.243.250/32, ns2.radius-net.ru, 77.239.194.42 myorigin = $mydomain newaliases_path = /usr/local/bin/newaliases queue_directory = /var/spool/postfix readme_directory = no sample_directory = /usr/local/etc/postfix sendmail_path = /usr/local/sbin/sendmail setgid_group = maildrop show_user_unknown_table_name = no smtp_always_send_ehlo = yes smtp_helo_timeout = 60s smtp_mail_timeout = 60s smtp_rcpt_timeout = 90s smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_client_access hash:$base/client_access, smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce smtpd_etrn_restrictions = reject smtpd_hard_error_limit = 8 smtpd_helo_required = yes smtpd_helo_restrictions = check_helo_access hash:$base/hello_access, permit_mynetworks, smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access hash:$base/recipient_access, reject_unlisted_recipient, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unverified_recipient smtpd_reject_unlisted_sender = yes smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/dovecot-smtp-auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_login_maps = mysql:$base/mysqlLookupMaps/sender.conf smtpd_sender_restrictions = permit_mynetworks, check_sender_access hash:$base/sender_access, reject_authenticated_sender_login_mismatch, reject_unlisted_sender, smtpd_timeout = 120s strict_rfc821_envelopes = yes transport_maps = mysql:$base/mysqlLookupMaps/transport.conf unverified_sender_reject_code = 550 virtual_alias_maps = mysql:$base/mysqlLookupMaps/alias.conf virtual_gid_maps = static:1981 virtual_mailbox_base = /var/spool/mail virtual_mailbox_domains = mysql:$base/mysqlLookupMaps/domain.conf virtual_mailbox_limit_maps = mysql:$base/mysqlLookupMaps/quota.conf virtual_mailbox_limit_override = yes virtual_mailbox_maps = mysql:$base/mysqlLookupMaps/mailbox.conf virtual_maildir_extended = yes virtual_maildir_limit_message = "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later" virtual_minimum_uid = 1000 virtual_overquota_bounce = yes virtual_uid_maps = static:1981
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Спам внутри домена в Postfix, ALex_hha, 12:44 , 03-Мрт-10, (2)

Спам внутри домена в Postfix, dovzz, 14:52 , 03-Мрт-10, (3)

Спам внутри домена в Postfix, dovzz, 15:03 , 03-Мрт-10, (4)

Спам внутри домена в Postfix, dovzz, 15:10 , 03-Мрт-10, (5)

Спам внутри домена в Postfix, dovzz, 08:13 , 10-Мрт-10, (6)

Спам внутри домена в Postfix, dz, 08:17 , 10-Мрт-10, (7)

Спам внутри домена в Postfix, dovzz, 09:12 , 11-Мрт-10, (10)

Спам внутри домена в Postfix, dz, 08:25 , 10-Мрт-10, (8)
Спам внутри домена в Postfix, Medlar, 18:51 , 10-Мрт-10, (9)

Спам внутри домена в Postfix, dovzz, 13:45 , 11-Мрт-10, (11)

Спам внутри домена в Postfix, dovzz, 13:45 , 11-Мрт-10, (12)

Спам внутри домена в Postfix, dovzz, 13:58 , 11-Мрт-10, (13)

Спам внутри домена в Postfix, dz, 21:10 , 11-Мрт-10, (14)

Сообщения по теме [Сортировка по времени | RSS]

2. "Спам внутри домена в Postfix" +/–

Сообщение от ALex_hha (ok) on 03-Мрт-10, 12:44

> Привожу заголовок одного из писем и конфиг:
не с сайта ли случайно идет рассылка? Лучше покажи лог mta

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 03-Мрт-10, 14:52

>> Привожу заголовок одного из писем и конфиг:
>
>не с сайта ли случайно идет рассылка? Лучше покажи лог mta
вот кусочек:
Mar  3 15:40:41 mail spamd[23408]: spamd: identified spam (14.0/4.5) for filter:58 in 5.3 seconds, 1037 bytes.
Mar  3 15:40:41 mail spamd[23408]: spamd: result: Y 14 - BAYES_99,FH_DATE_PAST_20XX,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PBL,RCVD_IN_XBL,RDNS_NONE,STOX_REPLY_TYPE,TVD_RCVD_SINGLE scantime=5.3,size=1037,user=filter,uid=58,required_score=4.5,rhost=localhost,raddr=127.0.0.1,rport=65438,mid=<000d01cababb$4d13e2c0$6400a8c0@threateningoh>,bayes=1.000000,autolearn=no
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<alexandr@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<dreglya@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<energprof@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<ofis@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<oper33@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<pvv@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar  3 15:40:41 mail postfix/qmgr[10150]: 789F42A6834: removed
Mar  3 15:40:41 mail postfix/pickup[26679]: C16402A6859: uid=1982 from=<threateningoh@ibct.com>
Mar  3 15:40:41 mail postfix/cleanup[26083]: C16402A6859: message-id=<000d01cababb$4d13e2c0$6400a8c0@threateningoh>
Mar  3 15:40:41 mail postfix/qmgr[10150]: C16402A6859: from=<threateningoh@ibct.com>, size=3835, nrcpt=6 (queue active)
Mar  3 15:40:41 mail postfix/virtual[25524]: C16402A6859: to=<alexandr@radius-net.ru>, relay=virtual, delay=0.02, delays=0.01/0/0/0, dsn=5.2.3, status=bounced (maildir delivery failed: "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later")
Mar  3 15:40:41 mail postfix/virtual[25524]: C16402A6859: to=<dreglya@radius-net.ru>, relay=virtual, delay=0.02, delays=0.01/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Mar  3 15:40:41 mail spamd[773]: prefork: child states: III
Mar  3 15:40:41 mail spamd[773]: spamd: handled cleanup of child pid 27471 due to SIGCHLD
Mar  3 15:40:41 mail spamd[773]: prefork: child states: II
Mar  3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<energprof@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.28, dsn=5.2.3, status=bounced (maildir delivery failed: "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later")
Mar  3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<ofis@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir)
Mar  3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<oper33@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir)
Mar  3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<pvv@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir)
Mar  3 15:40:42 mail postfix/cleanup[27177]: 15DF82A6878: message-id=<20100303104042.15DF82A6878@mail.radius-net.ru>
Mar  3 15:40:42 mail postfix/bounce[27072]: C16402A6859: sender non-delivery notification: 15DF82A6878
Mar  3 15:40:42 mail postfix/qmgr[10150]: 15DF82A6878: from=<>, size=6187, nrcpt=1 (queue active)
Mar  3 15:40:42 mail postfix/qmgr[10150]: C16402A6859: removed
Mar  3 15:40:43 mail postfix/smtpd[22545]: connect from unknown[87.121.228.31]
Mar  3 15:40:44 mail postfix/smtp[27222]: 15DF82A6878: to=<threateningoh@ibct.com>, relay=ibct.com[74.54.78.98]:25, delay=2.2, delays=0/0/0.81/1.4, dsn=5.0.0, status=bounced (host ibct.com[74.54.78.98] said: 550 No Such User Here" (in reply to RCPT TO command))
Mar  3 15:40:44 mail postfix/smtpd[22545]: A07132A684C: client=unknown[87.121.228.31]
Mar  3 15:40:44 mail postfix/qmgr[10150]: 15DF82A6878: removed

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 03-Мрт-10, 15:03

в данный момент письма на ящиках с From: от своих

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 03-Мрт-10, 15:10

в 15:40:41 поприходили

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 10-Мрт-10, 08:13

Мне кто нибудь ответит?)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Спам внутри домена в Postfix" +/–

Сообщение от dz (ok) on 10-Мрт-10, 08:17

>Мне кто нибудь ответит?)))
может не заметил... а где лог с "connect from" текущего домена.... от куда идет? кто делает это письмо...
не видно from а только to. вот именно кусочек. полный кусок отразить... с номером процесса. от коннекта до дисконекта. полный....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 11-Мрт-10, 09:12

>>Мне кто нибудь ответит?)))
>
>может не заметил... а где лог с "connect from" текущего домена.... от
>куда идет? кто делает это письмо...
>
>не видно from а только to. вот именно кусочек. полный кусок отразить...
>с номером процесса. от коннекта до дисконекта. полный....
Понял, в придет в течение дня - кину полный, а то я так полазил по форумам в основном одни понты а никто дельного нечего не скажет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Спам внутри домена в Postfix" +/–

Сообщение от dz (ok) on 10-Мрт-10, 08:25

>Мне кто нибудь ответит?)))
прописывай SPF для домена, делай проверку SPF
делай авторизацию для домена.
если определилось как спам откладывай в карантин на ручную проверку.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Спам внутри домена в Postfix" +/–

Сообщение от Medlar (??) on 10-Мрт-10, 18:51

>Мне кто нибудь ответит?)))
Сначала отделите мух от котлет, то бишь выясните: спам идет из локальной сети или извне?
Выясняется это по заголовкам таких писем (тот, что вы привели, или "подправлен" или приведен не целиком) или по полному логу (который тоже приведен вами по своему уразмению, а не так как надо)
Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие прием чужой почты, подписанной вашим доменом. Тут я не советчик - google вам в помощь.
Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то вы сами знаете, что делать с завирусевшим юзером.
Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с админом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 11-Мрт-10, 13:45

>[оверквотинг удален]
>
>Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие
>прием чужой почты, подписанной вашим доменом. Тут я не советчик -
>google вам в помощь.
>
>Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то
>вы сами знаете, что делать с завирусевшим юзером.
>
>Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с
>админом.
Mar 11 13:22:34 mail postfix/smtpd[75659]: connect from wds6g1ejc5.adsl.datanet.hu[195.56.30.123]
Mar 11 13:22:34 mail postfix/smtpd[75659]: CF9D62A685B: client=wds6g1ejc5.adsl.datanet.hu[195.56.30.123]
Mar 11 13:22:35 mail postfix/cleanup[75436]: CF9D62A685B: message-id=<20100311082234.CF9D62A685B@mail.radius-net.ru>
Mar 11 13:22:35 mail postfix/qmgr[73594]: CF9D62A685B: from=<pvv@radius-net.ru>, size=913, nrcpt=1 (queue active)
Mar 11 13:22:35 mail spamd[67650]: spamd: connection from localhost [127.0.0.1] at port 58645
Mar 11 13:22:35 mail spamd[67650]: spamd: processing message <20100311082234.CF9D62A685B@mail.radius-net.ru> for filter:58
Mar 11 13:22:35 mail postfix/smtpd[75659]: disconnect from wds6g1ejc5.adsl.datanet.hu[195.56.30.123]
Mar 11 13:22:40 mail spamd[67650]: spamd: identified spam (18.5/4.5) for filter:58 in 5.3 seconds, 920 bytes.
Mar 11 13:22:40 mail spamd[67650]: spamd: result: Y 18 - BAYES_99,FH_DATE_PAST_20XX,HELO_DYNAMIC_HCC,RCVD_IN_PBL,RCVD_IN_XBL,RDNS_DYNAMIC,URIBL_BLACK,URIBL_JP_SURBL scantime=5.3,size=920,user=filter,uid=58,required_score=4.5,rhost=localhost,raddr=127.0.0.1,rport=58645,mid=<20100311082234.CF9D62A685B@mail.radius-net.ru>,bayes=0.992082,autolearn=spam
Mar 11 13:22:40 mail postfix/pipe[75933]: CF9D62A685B: to=<pvv@radius-net.ru>, relay=spamchk, delay=6.2, delays=0.85/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service)
Mar 11 13:22:40 mail postfix/qmgr[73594]: CF9D62A685B: removed
Mar 11 13:22:40 mail postfix/pickup[75091]: D7F772A6884: uid=1982 from=<pvv@radius-net.ru>
Mar 11 13:22:40 mail postfix/cleanup[75437]: D7F772A6884: message-id=<20100311082234.CF9D62A685B@mail.radius-net.ru>
Mar 11 13:22:40 mail postfix/qmgr[73594]: D7F772A6884: from=<pvv@radius-net.ru>, size=4041, nrcpt=1 (queue active)
Mar 11 13:22:40 mail postfix/virtual[75445]: D7F772A6884: to=<pvv@radius-net.ru>, relay=virtual, delay=0.01, delays=0.01/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Mar 11 13:22:40 mail postfix/qmgr[73594]: D7F772A6884: removed

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 11-Мрт-10, 13:45

Пример письма корявого.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Спам внутри домена в Postfix" +/–

Сообщение от dovzz (ok) on 11-Мрт-10, 13:58

Я конечно сыроват в этом деле, но вроди как внешний конектиться и подписываеться во from как свой. Потом отключаеться а письмо валит на себя же якобы от себя.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Спам внутри домена в Postfix" +/–

Сообщение от dz (ok) on 11-Мрт-10, 21:10

>Я конечно сыроват в этом деле, но вроди как внешний конектиться и
>подписываеться во from как свой. Потом отключаеться а письмо валит на
>себя же якобы от себя.
ответ в теме № 8

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Спам внутри домена в Postfix"		+/–
Сообщение от ALex_hha (ok) on 03-Мрт-10, 12:44
> Привожу заголовок одного из писем и конфиг: не с сайта ли случайно идет рассылка? Лучше покажи лог mta
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 03-Мрт-10, 14:52
	>> Привожу заголовок одного из писем и конфиг: > >не с сайта ли случайно идет рассылка? Лучше покажи лог mta вот кусочек: Mar 3 15:40:41 mail spamd[23408]: spamd: identified spam (14.0/4.5) for filter:58 in 5.3 seconds, 1037 bytes. Mar 3 15:40:41 mail spamd[23408]: spamd: result: Y 14 - BAYES_99,FH_DATE_PAST_20XX,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PBL,RCVD_IN_XBL,RDNS_NONE,STOX_REPLY_TYPE,TVD_RCVD_SINGLE scantime=5.3,size=1037,user=filter,uid=58,required_score=4.5,rhost=localhost,raddr=127.0.0.1,rport=65438,mid=<000d01cababb$4d13e2c0$6400a8c0@threateningoh>,bayes=1.000000,autolearn=no Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<alexandr@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<dreglya@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<energprof@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<ofis@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<oper33@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/pipe[25969]: 789F42A6834: to=<pvv@radius-net.ru>, relay=spamchk, delay=14, delays=8.9/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 3 15:40:41 mail postfix/qmgr[10150]: 789F42A6834: removed Mar 3 15:40:41 mail postfix/pickup[26679]: C16402A6859: uid=1982 from=<threateningoh@ibct.com> Mar 3 15:40:41 mail postfix/cleanup[26083]: C16402A6859: message-id=<000d01cababb$4d13e2c0$6400a8c0@threateningoh> Mar 3 15:40:41 mail postfix/qmgr[10150]: C16402A6859: from=<threateningoh@ibct.com>, size=3835, nrcpt=6 (queue active) Mar 3 15:40:41 mail postfix/virtual[25524]: C16402A6859: to=<alexandr@radius-net.ru>, relay=virtual, delay=0.02, delays=0.01/0/0/0, dsn=5.2.3, status=bounced (maildir delivery failed: "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later") Mar 3 15:40:41 mail postfix/virtual[25524]: C16402A6859: to=<dreglya@radius-net.ru>, relay=virtual, delay=0.02, delays=0.01/0/0/0, dsn=2.0.0, status=sent (delivered to maildir) Mar 3 15:40:41 mail spamd[773]: prefork: child states: III Mar 3 15:40:41 mail spamd[773]: spamd: handled cleanup of child pid 27471 due to SIGCHLD Mar 3 15:40:41 mail spamd[773]: prefork: child states: II Mar 3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<energprof@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.28, dsn=5.2.3, status=bounced (maildir delivery failed: "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later") Mar 3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<ofis@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir) Mar 3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<oper33@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir) Mar 3 15:40:42 mail postfix/virtual[25524]: C16402A6859: to=<pvv@radius-net.ru>, relay=virtual, delay=0.3, delays=0.01/0/0/0.29, dsn=2.0.0, status=sent (delivered to maildir) Mar 3 15:40:42 mail postfix/cleanup[27177]: 15DF82A6878: message-id=<20100303104042.15DF82A6878@mail.radius-net.ru> Mar 3 15:40:42 mail postfix/bounce[27072]: C16402A6859: sender non-delivery notification: 15DF82A6878 Mar 3 15:40:42 mail postfix/qmgr[10150]: 15DF82A6878: from=<>, size=6187, nrcpt=1 (queue active) Mar 3 15:40:42 mail postfix/qmgr[10150]: C16402A6859: removed Mar 3 15:40:43 mail postfix/smtpd[22545]: connect from unknown[87.121.228.31] Mar 3 15:40:44 mail postfix/smtp[27222]: 15DF82A6878: to=<threateningoh@ibct.com>, relay=ibct.com[74.54.78.98]:25, delay=2.2, delays=0/0/0.81/1.4, dsn=5.0.0, status=bounced (host ibct.com[74.54.78.98] said: 550 No Such User Here" (in reply to RCPT TO command)) Mar 3 15:40:44 mail postfix/smtpd[22545]: A07132A684C: client=unknown[87.121.228.31] Mar 3 15:40:44 mail postfix/qmgr[10150]: 15DF82A6878: removed
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 03-Мрт-10, 15:03
	в данный момент письма на ящиках с From: от своих
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 03-Мрт-10, 15:10
	в 15:40:41 поприходили
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 10-Мрт-10, 08:13
	Мне кто нибудь ответит?)))
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Спам внутри домена в Postfix"		+/–
	Сообщение от dz (ok) on 10-Мрт-10, 08:17
	>Мне кто нибудь ответит?))) может не заметил... а где лог с "connect from" текущего домена.... от куда идет? кто делает это письмо... не видно from а только to. вот именно кусочек. полный кусок отразить... с номером процесса. от коннекта до дисконекта. полный....
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 11-Мрт-10, 09:12
	>>Мне кто нибудь ответит?))) > >может не заметил... а где лог с "connect from" текущего домена.... от >куда идет? кто делает это письмо... > >не видно from а только to. вот именно кусочек. полный кусок отразить... >с номером процесса. от коннекта до дисконекта. полный.... Понял, в придет в течение дня - кину полный, а то я так полазил по форумам в основном одни понты а никто дельного нечего не скажет.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Спам внутри домена в Postfix"		+/–
	Сообщение от dz (ok) on 10-Мрт-10, 08:25
	>Мне кто нибудь ответит?))) прописывай SPF для домена, делай проверку SPF делай авторизацию для домена. если определилось как спам откладывай в карантин на ручную проверку.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Спам внутри домена в Postfix"		+/–
	Сообщение от Medlar (??) on 10-Мрт-10, 18:51
	>Мне кто нибудь ответит?))) Сначала отделите мух от котлет, то бишь выясните: спам идет из локальной сети или извне? Выясняется это по заголовкам таких писем (тот, что вы привели, или "подправлен" или приведен не целиком) или по полному логу (который тоже приведен вами по своему уразмению, а не так как надо) Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие прием чужой почты, подписанной вашим доменом. Тут я не советчик - google вам в помощь. Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то вы сами знаете, что делать с завирусевшим юзером. Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с админом.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 11-Мрт-10, 13:45
	>[оверквотинг удален] > >Если подобный спам приходит извне, то вам нужно найти опции конфига, запрещающие >прием чужой почты, подписанной вашим доменом. Тут я не советчик - >google вам в помощь. > >Если IP-адрес источника письма принадлежит локальной сети и это не веб-сервер, то >вы сами знаете, что делать с завирусевшим юзером. > >Ну а если IP принадлежит вашему веб-серверу, то надо что-то делать с >админом. Mar 11 13:22:34 mail postfix/smtpd[75659]: connect from wds6g1ejc5.adsl.datanet.hu[195.56.30.123] Mar 11 13:22:34 mail postfix/smtpd[75659]: CF9D62A685B: client=wds6g1ejc5.adsl.datanet.hu[195.56.30.123] Mar 11 13:22:35 mail postfix/cleanup[75436]: CF9D62A685B: message-id=<20100311082234.CF9D62A685B@mail.radius-net.ru> Mar 11 13:22:35 mail postfix/qmgr[73594]: CF9D62A685B: from=<pvv@radius-net.ru>, size=913, nrcpt=1 (queue active) Mar 11 13:22:35 mail spamd[67650]: spamd: connection from localhost [127.0.0.1] at port 58645 Mar 11 13:22:35 mail spamd[67650]: spamd: processing message <20100311082234.CF9D62A685B@mail.radius-net.ru> for filter:58 Mar 11 13:22:35 mail postfix/smtpd[75659]: disconnect from wds6g1ejc5.adsl.datanet.hu[195.56.30.123] Mar 11 13:22:40 mail spamd[67650]: spamd: identified spam (18.5/4.5) for filter:58 in 5.3 seconds, 920 bytes. Mar 11 13:22:40 mail spamd[67650]: spamd: result: Y 18 - BAYES_99,FH_DATE_PAST_20XX,HELO_DYNAMIC_HCC,RCVD_IN_PBL,RCVD_IN_XBL,RDNS_DYNAMIC,URIBL_BLACK,URIBL_JP_SURBL scantime=5.3,size=920,user=filter,uid=58,required_score=4.5,rhost=localhost,raddr=127.0.0.1,rport=58645,mid=<20100311082234.CF9D62A685B@mail.radius-net.ru>,bayes=0.992082,autolearn=spam Mar 11 13:22:40 mail postfix/pipe[75933]: CF9D62A685B: to=<pvv@radius-net.ru>, relay=spamchk, delay=6.2, delays=0.85/0/0/5.4, dsn=2.0.0, status=sent (delivered via spamchk service) Mar 11 13:22:40 mail postfix/qmgr[73594]: CF9D62A685B: removed Mar 11 13:22:40 mail postfix/pickup[75091]: D7F772A6884: uid=1982 from=<pvv@radius-net.ru> Mar 11 13:22:40 mail postfix/cleanup[75437]: D7F772A6884: message-id=<20100311082234.CF9D62A685B@mail.radius-net.ru> Mar 11 13:22:40 mail postfix/qmgr[73594]: D7F772A6884: from=<pvv@radius-net.ru>, size=4041, nrcpt=1 (queue active) Mar 11 13:22:40 mail postfix/virtual[75445]: D7F772A6884: to=<pvv@radius-net.ru>, relay=virtual, delay=0.01, delays=0.01/0/0/0, dsn=2.0.0, status=sent (delivered to maildir) Mar 11 13:22:40 mail postfix/qmgr[73594]: D7F772A6884: removed
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 11-Мрт-10, 13:45
	Пример письма корявого.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "Спам внутри домена в Postfix"		+/–
	Сообщение от dovzz (ok) on 11-Мрт-10, 13:58
	Я конечно сыроват в этом деле, но вроди как внешний конектиться и подписываеться во from как свой. Потом отключаеться а письмо валит на себя же якобы от себя.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "Спам внутри домена в Postfix"		+/–
	Сообщение от dz (ok) on 11-Мрт-10, 21:10
	>Я конечно сыроват в этом деле, но вроди как внешний конектиться и >подписываеться во from как свой. Потом отключаеться а письмо валит на >себя же якобы от себя. ответ в теме № 8
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору