Temat: POSTFIX - Spam w mojej własnej domeny ???

jak pozbyć się maili którego nagłówki wyglądają mniej więcej tak ???

 

Return-Path: <testowy@moja.domena.pl>

X-Original-To: testowy@moja.domena.pl

Delivered-To: testowy@moja.domena.pl

Received: from localhost (localhost.localdomain [127.0.0.1])

    by mail.moja.domena.pl (SERWER MailServerDaemon) with ESMTP id 7B03F2B0150

    for <testowy@moja.domena.pl>; Fri, 24 Sep 2010 18:42:35 +0200 (CEST)

X-Virus-Scanned: Debian amavisd-new at moja.domena.pl

X-Spam-Flag: YES

X-Spam-Score: 9.084

X-Spam-Level: *********

X-Spam-Status: Yes, score=9.084 tagged_above=-100 required=6.5

    tests=[BAYES_99=1, FH_HELO_EQ_D_D_D_D=0.001,

    HELO_DYNAMIC_IPADDR2=4.395, HTML_MESSAGE=0.2, MIME_HTML_ONLY=1.457,

    RDNS_DYNAMIC=0.1, TVD_RCVD_IP=1.931]

Received: from mail.moja.domena.pl ([127.0.0.1])

    by localhost (moja.domena.pl [127.0.0.1]) (amavisd-new, port 10024)

    with ESMTP id m+lfcf+w9uZj for <testowy@moja.domena.pl>;

    Fri, 24 Sep 2010 18:42:20 +0200 (CEST)

Received: from 209-91-112-92.pool.ukrtel.net (209-91-112-92.pool.ukrtel.net [92.112.91.209])

    by mail.moja.domena.pl (SERWER MailServerDaemon) with SMTP id 58F442B06EC

    for <testowy@moja.domena.pl>; Fri, 24 Sep 2010 13:04:40 +0200 (CEST)

To: <testowy@moja.domena.pl>

From: <testowy@moja.domena.pl>

Subject: ***SPAM*** vacancy #727

MIME-Version: 1.0

Importance: High

Content-Type: text/html

Message-Id: <20100924110440.58F442B06EC@mail.moja.domena.pl>

Date: Fri, 24 Sep 2010 13:04:40 +0200 (CEST)

X-UIDL: DP!"!94M"!^`\!!1Y-!!

Status: U

X-UM-Flags: \SEEN 

moj konfig main.cf wygląda następująco

command_directory = /usr/sbin

daemon_directory = /usr/lib/postfix

program_directory = /usr/lib/postfix

mail_name= MailServerDaemon

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

setgid_group = postdrop

biff = no

content_filter = amavis:[127.0.0.1]:10024

receive_override_options = no_address_mappings

append_dot_mydomain = yes

myhostname = mail.$myorigin

myorigin = domena.com.pl

mydomain = $myorigin

mydestination = 

		domena.com.pl,

		localhost.domena.com.pl, 

		$myhostname

mynetworks = 127.0.0.0/8

relay_domains = $mydestination

virtual_maps = hash:/etc/postfix/virtual

mailbox_command = /usr/bin/procmail

mailbox_size_limit = 0

message_size_limit = 0

virtual_mailbox_limit = 0

notify_classes = resource, software, 2bounce

recipient_delimiter = +

maps_rbl_domains = blackholes.mail-abuse.org, relays.mail-abuse.org

strict_rfc821_envelopes = yes

smtpd_helo_required = yes

smtpd_delay_reject = yes

smtpd_sasl_auth_enable = yes

smtpd_sasl_security_options = noanonymous

broken_sasl_auth_clients = yes 

unknown_local_recipient_reject_code = 450

unknown_hostname_reject_code = 550

disable_vrfy_command = yes

autoresponder_destination_recipient_limit = 1

alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases

check_my_dest_emails = check_recipient_access hash:/etc/postfix/access

check_my_source_emails = check_sender_access hash:/etc/postfix/access

smtpd_restriction_classes =

    		check_my_dest_emails,

    		check_my_source_emails

smtpd_helo_restrictions = 

		permit_mynetworks,	                

                reject_unauth_pipelining,

        	reject_invalid_hostname,		                        

                permit

smtpd_sender_restrictions =

    		reject_unknown_sender_domain,

		reject_unauth_pipelining,

                reject_non_fqdn_sender,

    		reject_unknown_address,

    		permit

smtpd_recipient_restrictions =

		permit_sasl_authenticated,

    		check_my_dest_emails,

    		check_my_source_emails,

		reject_sender_login_mismatch,

		reject_unauth_pipelining,

                reject_unauth_destination,

    		reject_invalid_hostname,

		reject_unknown_sender_domain,

		reject_unknown_recipient_domain,

    		reject_unknown_hostname,

    		reject_non_fqdn_hostname,

		reject_non_fqdn_recipient,

		reject_non_fqdn_sender,

    		reject_rbl_client dnsbl.sorbs.net,

    		reject_rbl_client sbl-xbl.spamhaus.org,

    		reject_rbl_client cbl.abuseat.org,

                check_client_access hash:/etc/postfix/access,

                check_sender_access hash:/etc/postfix/access,

                check_helo_access hash:/etc/postfix/helo_checks,

                permit

smtpd_client_restrictions =

		permit_mynetworks,

		permit_sasl_authenticated,

		check_client_access hash:/etc/postfix/access,

		reject_rbl_client cbl.abuseat.org,

		reject_rbl_client sbl-xbl.spamhaus.org,

		reject_unauth_pipelining,

		permit



#Blue connect, chello z dynamicznym IP odrzucane są za pomocą regułek smtpd_client_restrictions

#reject_rbl_client dnsbl.sorbs.net,  

#weaker reject_unknown_reverse_client_hostname

#stronger reject_unknown_client_hostname,

Rafał S. edytował(a) ten post dnia 09.03.12 o godzinie 21:37

Temat: POSTFIX - Spam w mojej własnej domeny ???

Spam nie jest z twojej domeny - po prostu serwer pocztowy przekazał list do amavisa działającego lokalnie - masz:
Received: from mail.moja.domena.pl ([127.0.0.1])
by localhost (moja.domena.pl [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id m+lfcf+w9uZj for <testowy@moja.domena.pl>;
Fri, 24 Sep 2010 18:42:20 +0200 (CEST)
Received: from 209-91-112-92.pool.ukrtel.net (209-91-112-92.pool.ukrtel.net [92.112.91.209])
by mail.moja.domena.pl (SERWER MailServerDaemon) with SMTP id 58F442B06EC
for <testowy@moja.domena.pl>; Fri, 24 Sep 2010 13:04:40 +0200 (CEST)

List z ukrtel.net poszedł do amavisa i dalej do spamassassina.
Ukrtel.net to bardzo zasłużona domena - w dziedzinie wysyłania spamu (u mnie nr1 pod względem połączeń SMTP). Ja ich zablokowałem na poziomie header_check i mam spokój. Może niezbyt to elegancko (i niezgodnie z RFC) ale spamerzy też nie są eleganccy i zgodni z RFC więc nie można mieć skrupułów.

Jeśli dostajesz za dużo spamu to niestety trzeba się zabrać za walkę ;-)

Temat: POSTFIX - Spam w mojej własnej domeny ???

Andrzej Zieliński:

...

Jeśli dostajesz za dużo spamu to niestety trzeba się zabrać za walkę ;-)

Dodaj SPF, RBL i greylisting do konfiguracji postfix-a.

Temat: POSTFIX - Spam w mojej własnej domeny ???

duuzo nie wiedziałem i duuzo jeszcze się dowiem pewnie ...
z tego co widze u siebie bayes bardzo dobrze sie sprawuje... :)
z tym że już zaczął mi oznaczać spamem wiadomości które wysyłam mailingami :D

dzięki za wypowiedzi :)

człowiek ciagle sie uczy a google nie zawsze podpowiada prawidłowo :P

Temat: POSTFIX - Spam w mojej własnej domeny ???

Ja pozbyłem się sporo spamu na poziomie ograniczeń klienta:

smtpd_client_restrictions =
permit_mynetworks
permit_sasl_authenticated
check_client_access mysql:/etc/postfix/mysql-client.cf
reject_unknown_client_hostname
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dnsbl.sorbs.net
reject_unauth_pipelining
permit

W ten sposób wycinamy spamera zaraz po połączeniu z naszym serwerem, zanim będzie miał możliwość podania odbiorcy (recipient). Odbiorcę podrobić bardzo łatwo, zaś poprawność adresu klienta już nieco trudniej.

Temat: POSTFIX - Spam w mojej własnej domeny ???

Aleksander Wnuk:
Ja pozbyłem się sporo spamu na poziomie ograniczeń klienta:

smtpd_client_restrictions =
permit_mynetworks
permit_sasl_authenticated
check_client_access mysql:/etc/postfix/mysql-client.cf
reject_unknown_client_hostname
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dnsbl.sorbs.net
reject_unauth_pipelining
permit

W ten sposób wycinamy spamera zaraz po połączeniu z naszym serwerem, zanim będzie miał możliwość podania odbiorcy (recipient). Odbiorcę podrobić bardzo łatwo, zaś poprawność adresu klienta już nieco trudniej.

kurde sprawowało się do dzisiaj... ale regułka
reject_unknown_client_hostname
odrzucała maile wysyłane z kompa które posiadało połączenie z Blue Connect :(
musiałem ją wywalić :((((
i znowu mi spamu troche wróciło...
tutaj logi

http://pastebin.com/P78DXESe

co ciekawe często IP z Blue Connect - t-mobile jest na liscie spamu ...
http://pastebin.com/AhB4aXp8

ręce opadają....Rafał S. edytował(a) ten post dnia 09.03.12 o godzinie 17:16

Temat: POSTFIX - Spam w mojej własnej domeny ???

Jeśli kwestia dotyczy zakresów IP BlueConnecta, to można je dodać do "whitelisty".
Tutaj instrukcje jak tego dokonać: http://www.serveradminblog.com/2010/03/how-to-whitelis...