The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Хитрый спам и Postfix"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Блокирование спама и вирусов)
Изначальное сообщение [ Отслеживать ]

"Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email on 31-Авг-10, 10:31 
Добрый день. Прошу помочь решить проблему: на мой хост приходит спам, каким-то образом используя релей меил.ру, и в итоге мой хост попадает в блеклист cbl.abuseat.org. MTA Postfix. Лог спама:

Aug 30 22:28:15 host postfix/smtpd[85522]: connect from mail.attlanti.com[111.67.205.110]
Aug 30 22:28:15 host postfix/smtpd[85522]: lost connection after CONNECT from mail.attlanti.com[111.67.205.110]
Aug 30 22:28:15 host postfix/smtpd[85522]: disconnect from mail.attlanti.com[111.67.205.110]
Aug 30 22:28:17 host postfix/smtpd[85522]: connect from mail.attlanti.com[111.67.205.110]
Aug 30 22:28:18 host postfix/cleanup[85542]: A23C92FCD17: message-id=<20100830192818.A23C92FCD17@mail.host.ua>
Aug 30 22:28:18 host postfix/qmgr[71158]: A23C92FCD17: from=<>, size=260, nrcpt=1 (queue active)
Aug 30 22:28:18 host postfix/smtp[85155]: A23C92FCD17: to=<utchetinall@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.31, delays=0.01/0/0.18/0.12, dsn=2.0.0, status=deliverable (250 OK)
Aug 30 22:28:19 host postfix/qmgr[71158]: A23C92FCD17: removed
Aug 30 22:28:21 host postfix/smtpd[85522]: A54552FCD3B: client=mail.attlanti.com[111.67.205.110]
Aug 30 22:28:24 host postfix/cleanup[85542]: A54552FCD3B: message-id=<089360123.20100717898562@mail.attlanti.com>
Aug 30 22:28:24 host postfix/qmgr[71158]: A54552FCD3B: from=<utchetinall@mail.ru>, size=7897, nrcpt=2 (queue active)
Aug 30 22:28:24 host postfix/smtpd[85522]: disconnect from mail.attlanti.com[111.67.205.110]
Aug 30 22:28:24 host postfix/smtpd[85583]: connect from localhost[127.0.0.1]
Aug 30 22:28:24 host postfix/smtpd[85583]: E1AE32FCD3C: client=localhost[127.0.0.1]
Aug 30 22:28:24 host amavis[65235]: (65235-03) Passed CLEAN, [111.67.205.110] [111.67.205.110] <utchetinall@mail.ru> -> <aivan@host.ua>,<aivan@host.ua>, Message-ID: <089360123.20100717898562@mail.attlanti.com>, mail_id: 1lZAjeVivDO3, Hits: 3.882, size: 7886, queued_as: E1AE32FCD3C, 429 ms
Aug 30 22:28:24 host postfix/cleanup[85542]: E1AE32FCD3C: message-id=<089360123.20100717898562@mail.attlanti.com>
Aug 30 22:28:24 host postfix/smtpd[85583]: disconnect from localhost[127.0.0.1]
Aug 30 22:28:24 host postfix/qmgr[71158]: E1AE32FCD3C: from=<utchetinall@mail.ru>, size=8515, nrcpt=2 (queue active)
Aug 30 22:28:24 host postfix/smtp[85581]: A54552FCD3B: to=<aivan@host.ua>, orig_to=<admin@host.ua>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.7, delays=6.2/0.01/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as E1AE32FCD3C)
Aug 30 22:28:24 host postfix/smtp[85581]: A54552FCD3B: to=<aivan@host.ua>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.7, delays=6.2/0.01/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as E1AE32FCD3C)
Aug 30 22:28:24 host postfix/qmgr[71158]: A54552FCD3B: removed
Aug 30 22:28:25 host postfix/pipe[85585]: E1AE32FCD3C: to=<aivan@host.ua>, relay=dovecot, delay=0.12, delays=0.01/0.01/0/0.11, dsn=2.0.0, status=sent (delivered via dovecot service)
Aug 30 22:28:25 host postfix/pipe[85584]: E1AE32FCD3C: to=<aivan@host.ua>, relay=dovecot, delay=0.24, delays=0.01/0.01/0/0.23, dsn=2.0.0, status=sent (delivered via dovecot service)
Aug 30 22:28:25 host postfix/qmgr[71158]: E1AE32FCD3C: removed

main.cf:

queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
base = /usr/local/etc/postfix
daemon_directory = /usr/local/libexec/postfix
mail_owner = postfix
default_privs = nobody
mydomain = host.ua
myhostname = mail.host.ua
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
local_recipient_maps = unix:passwd.byname $alias_maps
mynetworks = 127.0.0.0/8 10.0.0.0/8
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
smtpd_banner = $myhostname ESMTP
debug_peer_level = 2
smtpd_client_restrictions =     permit_mynetworks,
                                check_client_access hash:$base/client_access,
                                check_client_access regexp:$base/dul_checks
smtpd_helo_restrictions =       check_helo_access hash:$base/hello_access,
                                permit_mynetworks,
                                reject_invalid_helo_hostname,
                                reject_non_fqdn_helo_hostname,
                                reject_unknown_helo_hostname
smtpd_sender_restrictions =     permit_mynetworks,
                                check_sender_access hash:$base/sender_access,
                                reject_authenticated_sender_login_mismatch,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unverified_sender
smtpd_recipient_restrictions =  permit_mynetworks,
                                check_recipient_access hash:$base/recipient_access,
                                reject_unlisted_recipient,
                                reject_unknown_recipient_domain,
                                reject_non_fqdn_recipient,
                                reject_unverified_recipient,
                                reject_unauth_destination
smtpd_etrn_restrictions = reject
smtpd_delay_reject = yes
smtpd_reject_unlisted_sender = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
show_user_unknown_table_name = no
address_verify_sender = <>
unverified_sender_reject_code = 550
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
smtpd_hard_error_limit = 8
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_login_maps = mysql:$base/mysqlLookupMaps/sender.conf
virtual_alias_maps = mysql:$base/mysqlLookupMaps/alias.conf
virtual_mailbox_domains = mysql:$base/mysqlLookupMaps/domain.conf
virtual_mailbox_maps = mysql:$base/mysqlLookupMaps/mailbox.conf
virtual_mailbox_base = /var/mail
virtual_mailbox_limit_maps = mysql:$base/mysqlLookupMaps/quota.conf
virtual_maildir_extended=yes
virtual_mailbox_limit_override=yes
virtual_create_maildirsize = yes
virtual_overquota_bounce = yes
virtual_maildir_limit_message="User is over quota"
message_size_limit = 10485760
virtual_gid_maps = static:1981
virtual_uid_maps = static:1981
virtual_minimum_uid = 1000
local_transport = virtual
virtual_transport = dovecot
mailbox_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = /var/spool/postfix/private/dovecot-smtp-auth
mailbox_command = /usr/local/libexec/dovecot/deliver
content_filter=smtp-amavis:[127.0.0.1]:10024

Буду благодарен за любую помощь!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Хитрый спам и Postfix"  +/
Сообщение от mef (ok) on 31-Авг-10, 11:01 

address_verify_sender = <>

Попробуйте убрать этот параметр, пусть он будет по умолчанию. Этот параметр исключает указанного там отправителя "<>" из проверок, они используется чтобы адрес postmaster@ был всегда достижим согласно RFC.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email on 31-Авг-10, 11:18 
Спасибо, попробую убрать и отпишу о результатах.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Хитрый спам и Postfix"  +/
Сообщение от TyLLKAH on 31-Авг-10, 12:12 
>на мой хост приходит спам, каким-то образом используя релей меил.ру, и в итоге мой хост попадает в блеклист cbl.abuseat.org

в блеклист cbl.abuseat.org вы попадаете точно не потому, что на ваш хост приходит спам. Он вам на своём сайте скорее всего пишет чего это вы туда попали.


>Этот параметр исключает указанного там отправителя "<>" из проверок, они используется чтобы адрес postmaster@ был всегда достижим согласно RFC.

Этот параметр ничего не исключает. Это обратный адрес, который будет использоваться при проверке адресов отправителей. Проверка адресов отправителей - бессмысленное и опасное занятие. В большинстве случаев используются такие же собранные в сети адреса. Т.е. вы будете дрючить совершенно непричастный к делу сервер. Опасное - потому что вы можете проверить на валидность спамтрап, что вероятная причина попадания в blacklist

>они используется чтобы адрес postmaster@ был всегда достижим согласно RFC.

У него здесь всяко postmaster не будет всегда достижим согласно RFC, потому как он использует smtpd_client_restrictions, smtpd_helo_restrictions и smtpd_sender_restrictions

Если хотите, чтобы postmaster был всегда достижим (что правильно), используйте smtpd_recipient_restrictions. Всё что вы пожете проверить в smtpd_client_restrictions, smtpd_helo_restrictions и smtpd_sender_restrictions, вы можете проверить в smtpd_recipient_restrictions, но в этом случае будете знать кому письмо postmasterу или нет. XXX_restrictions это просто на каком этапе посылать клиента нафиг.

man 5 postconf

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email on 31-Авг-10, 14:45 
It was last detected at 2010-08-30 10:00 GMT (+/- 30 minutes), approximately 1 days, 1 hours ago.

This IP is infected (or NATting for a computer that is infected) with the grum spambot.

Дело в том, что через этот сервер проходит не так много почты (~20 писем в сутки), и я точно вижу на какое письмо ругается cbl.abuseat.org, а ругается он именно на этот спам. Конкретно, вот:


Aug 30 12:40:35 host postfix/smtpd[26419]: connect from hosting.bsoconsulting.com[111.67.197.243]
Aug 30 12:40:40 host postfix/cleanup[26461]: 5A4D62FCD17: message-id=<20100830094040.5A4D62FCD17@mail.host.ua>
Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=<>, size=260, nrcpt=1 (queue active)
Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=<semmipllan@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Хитрый спам и Postfix"  +/
Сообщение от mef (ok) on 31-Авг-10, 15:06 
>Aug 30 12:40:35 host postfix/smtpd[26419]: connect from hosting.bsoconsulting.com[111.67.197.243]
>Aug 30 12:40:40 host postfix/cleanup[26461]: 5A4D62FCD17: message-id=<20100830094040.5A4D62FCD17@mail.host.ua>
>Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=<>, size=260, nrcpt=1 (queue active)
>Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=<semmipllan@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)

Вообще это все очень похоже на отправку Вашим сервером подтверждений доставки или недоставки. Посмотрите что именно в самих  письмах.
Еще попробуйте протестировать свой сервер на openrelay для страховки, там где делается много тестов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email(ok) on 31-Авг-10, 15:29 
>Вообще это все очень похоже на отправку Вашим сервером подтверждений доставки или
>недоставки. Посмотрите что именно в самих  письмах.
>Еще попробуйте протестировать свой сервер на openrelay для страховки, там где делается
>много тестов.

В самих письмах спам, который мне же и приходит.
На опенрелей тестил несколькими тестами, все ок.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email(ok) on 31-Авг-10, 17:06 
>Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=<>, size=260, nrcpt=1 (queue active)
>Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=<semmipllan@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)

Подскажите, а не является-ли это проверкой на существование адреса отправителя?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Хитрый спам и Postfix"  +/
Сообщение от mef (ok) on 31-Авг-10, 17:55 
>>Aug 30 12:40:40 host postfix/qmgr[20856]: 5A4D62FCD17: from=<>, size=260, nrcpt=1 (queue active)
>>Aug 30 12:40:40 host postfix/smtp[26462]: 5A4D62FCD17: to=<semmipllan@mail.ru>, relay=mxs.mail.ru[94.100.176.20]:25, delay=0.33, delays=0.01/0.01/0.2/0.12, dsn=2.0.0, status=deliverable (250 OK)
>
>Подскажите, а не является-ли это проверкой на существование адреса отправителя?

Надо посмотреть само отправляемое письмо. Возможно это влияет.
reject_unverified_sender - проверяет есть ли можно ли доставить письмо такому пользователю. При первом соединении postfix запоминает адрес отправителя и потом коннектится с серверу отправителю с целью проверить его. Так что вполне возможно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email(ok) on 31-Авг-10, 18:49 
>Надо посмотреть само отправляемое письмо. Возможно это влияет.
>reject_unverified_sender - проверяет есть ли можно ли доставить письмо такому пользователю. При
>первом соединении postfix запоминает адрес отправителя и потом коннектится с серверу
>отправителю с целью проверить его. Так что вполне возможно.

Видимо, самого письма и нету и это есть проверка отправителя, ибо:
status=deliverable (250 OK)
и после этого никаких движений с меил.ру

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper email(ok) on 31-Авг-10, 18:51 
А занесение хоста в спам-листы видимо не от этого спама.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Хитрый спам и Postfix"  +/
Сообщение от Aivanzipper (ok) on 05-Окт-10, 23:05 
Господа, позвольте продолжить разбор темы спама :)

С постфиксом разобрался, там все норм. Дело вот в чем: начал опять попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр спама который рассылается с моего хоста:

Received: from <мой_хост> ([мой_ip])
    by pascal.junkemailfilter.com with smtp (Exim 4.72)
    id 1P2nMJ-0005et-Pj on interface=65.49.42.60
    for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700
From: otherwise@netfunny.com
To: otherwise@netfunny.com
Subject: otherwise@netfunny.com V|AGRA � Official Site -74%

Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам рассылает кто-то из локальной сети (да, этот же хост еще и шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт всем! Без исключений! А спам продолжает просачиваться. Чего я уже только не придумывал:

05030   2974332    142779893 deny tcp from any to any dst-port 25,465
05033         0            0 deny udp from any to any dst-port 25
05035         0            0 deny ip from any to any dst-port 25

После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания спама у меня в сети активизируется сильно завирусованый юзер. А именно я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует около 1500 запросов за 5 мин, а он сам до 8000). И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту со спамом результата не принесло. Очень похоже это тем что пролазит очень немного писем, буквально 2-3. Но даже их хватает чтобы мой хост заблеклистили..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Хитрый спам и Postfix"  +/
Сообщение от vitek16 (ok) on 07-Окт-10, 15:11 
> После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за
> отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания
> спама у меня в сети активизируется сильно завирусованый юзер. А именно
> я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует
> около 1500 запросов за 5 мин, а он сам до 8000).
> И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту
> со спамом результата не принесло. Очень похоже это тем что пролазит
> очень немного писем, буквально 2-3. Но даже их хватает чтобы мой
> хост заблеклистили..

Кстати это мысль. Зная то,что выход через 53 порт скорее всего не закрыт,злоумышленник мог воспользоваться этим.
Читал даже статью как кто-то таким образом устанавливал соединения с домашним впн-сервером из wi-fi сетки макдональдса например,а потом уже выходя через свой сервак, обходил ограничения макдональдс.
Так что это вполне здравая мысль. Советую послушать tcpdump -ом. Чтобы не вглядываться в консоль,вывод можно сделать в файл,а потом уже его отгрепать по времени например.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру