Spam, Adathalászat

Érthetetlen spam (?)

Ez mi a lófasz lehet? Napok óta változatos IP címekről és email címekről próbál beömleni pont ezekre az email címekre a szar:

Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <explain@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<explain@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <them@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<them@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <logical@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<logical@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <replace@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<replace@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <consequence@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<consequence@domain.name> proto=ESMTP
helo=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <initially@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<initially@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <salary@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<salary@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <hungry@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<hungry@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <varied@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<varied@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <complaint@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<complaint@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <half@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<half@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>
Feb 23 09:15:58 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <outdoors@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<outdoors@domain.name> proto=ESMTP helo=
<[185.143.223.163]>
Feb 23 09:15:59 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <avoid@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<avoid@domain.name> proto=ESMTP helo=<[185.
143.223.163]>
Feb 23 09:16:00 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <wallet@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<wallet@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:01 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <station@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<station@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:16:02 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <insist@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<insist@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:03 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <extensive@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<extensive@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:16:04 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <programme@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<programme@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:16:05 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <nephew@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<nephew@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:06 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <drag@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<drag@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>

Hello IP alapján szűrés postfixben hol működik hol nem

A probléma a fenti. Van egy építgetett listám a notorius spamelőkről akiknek az IP tartománya feketelistára kerül.
Ez a lista a /etc/postfix/helo_a_access.cidr fájlban lakik. (a /etc/postfix/helo_access hashelt domain nevek)

A tapasztalat az, hogy időnként mégis átvesz innen leveleket a postfix. Én nem látok benne hibát, de hátha ti észreveszitek.

Ime a releváns fájlok:

Postfix main.cf releváns sor:
   smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, check_helo_a_access cidr:/etc/postfix/helo_a_access.cidr, reject_invalid_hostname

A helo_a_access.cidr releváns sora:
  69.94.136.0/24     REJECT Spam from your IP range 69.94.136.0/24

Amikor jól működik:
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32666]: connect from prepare.kwyali.com[69.94.136.238]
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32394]: NOQUEUE: reject: RCPT from prepare.kwyali.com[69.94.136.238]: 554 5.7.1 <prepare.kgnths.com>: Helo command rejected: Spam from your IP range 69.94.136.0/24; from=<baloghmznwrwtmarietta@kgnths.com> to=<victim1@ceg.hu> proto=ESMTP helo=<prepare.kgnths.com>
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32394]: disconnect from prepare.kwyali.com[69.94.136.238] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5

Amikor nem működik jól:
  Dec  2 09:37:04 spamfilter3 postfix/smtpd[13885]: connect from develop.kwyali.com[69.94.136.247]
  Dec  2 09:37:05 spamfilter3 postfix/smtpd[13885]: 41C63101427: client=develop.kwyali.com[69.94.136.247]
  Dec  2 09:37:05 spamfilter3 postfix/cleanup[22006]: 41C63101427: hold: header Received: from develop.anketd.com (develop.kwyali.com [69.94.136.247])??by spamfilter3.ceg.hu (Postfix) with ESMTP id 41C63101427??for <victim@ceg.hu>; Mon,  2 Dec 2019 09:37:05 +0100 (CET) from develop.kwyali.com[69.94.136.247]; from=<bettinaznjdwqc@anketd.com> to=<victim@ceg.hu> proto=ESMTP helo=<develop.anketd.com>
  Dec  2 09:37:05 spamfilter3 postfix/cleanup[22006]: 41C63101427: message-id=<fowneakdfyrujjgvqaayxwgzxugasunmxau@gp.anketd.com>
  Dec  2 09:37:05 spamfilter3 postfix/smtpd[13885]: disconnect from develop.kwyali.com[69.94.136.247] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: New Batch: Scanning 1 messages, 4800 bytes
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: Virus and Content Scanning: Starting
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: <A> tag found in message 41C63101427.A9AEE from bettinaznjdwqc@anketd.com
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: HTML Img tag found in message 41C63101427.A9AEE from bettinaznjdwqc@anketd.com
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: Spam Checks: Starting
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Message 41C63101427.A9AEE from 69.94.136.247 (bettinaznjdwqc@anketd.com) to ceg.hu is spam, SpamAssassin (not cached, pont=7.119, szukseges 4, BAYES_50 0.80, DCC_CHECK 1.10, DKIM_SIGNED 0.10, DKIM_VALID -0.10, DKIM_VALID_AU -0.10, FROM_FMBLA_NEWDOM28 0.80, FROM_LOCAL_NOVOWEL 0.50, HK_RANDOM_ENVFROM 0.00, HK_RANDOM_FROM 1.00, HTML_IMAGE_ONLY_16 1.09, HTML_MESSAGE 0.00, HTML_SHORT_LINK_IMG_2 0.00, SPF_HELO_NONE 0.00, SPF_SOFTFAIL 0.67, T_REMOTE_IMAGE 0.01, URIBL_ABUSE_SURBL 1.25)
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Spam Checks: Found 1 spam messages
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Spam Actions: message 41C63101427.A9AEE actions are store
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Deleted 1 messages from processing-database
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: MailWatch: Logging message 41C63101427.A9AEE to SQL

DeepSpam v0.3 release - uj tokenizalo, uj dataset/model

Elkeszult az FSF.hu altal tamogatott neuralis halos spamszurom uj verzioja...

uj model: http://thot.banki.hu/deepspam/model_big_v3/

sokkal tobb, tobbszorosen ellenorzott mintabol epitve:
36172 mail.neg
45139 mail.pos
81311 total

uj milter: http://thot.banki.hu/deepspam/milter-v0.3/
vagy online teszteleshez postfix/main.cf-be: smtpd_milters = inet:193.224.38.187:1080

Changelog v0.3:
================
- html parser atirva, jobban kezeli az extrem eseteket
- kodlap kezeles javitasok, pl. hibas utf8...
- tokenizalas modositva, anonimizalja a cimeket (email/url), szamokat
emiatt javasolt az uj model (v3) hasznalata, mert az mar az uj parserrel keszult!
- mar nincs python 2.x support, de ha van ra igeny megnezem majd, viszont foleg a kodlap kezeles tok maskepp megy 3.x alatt...

A'rpi

Your iPhoneX is ready for Pickup

Sziasztok!

Random megjelent egy bejegyzés a naptáramban (google), a fenti címmel.
A kövekező oldalon kéne kitöltenem egy formot hozzá: https://iphone.webcheckfacts.com.
Hogy lehet ezt jelenteni a google felé? Hogy lehet megtudni miképp került ez be ide (és tiltani). Azért vicces,
mert alapvetően 2FA be van kapcsolva, JS-t alapvetően tiltok, még ha sok helyen egy jó részét engedélyezni is kell. Igaz régebbi gépemen a böngésző tárolja a sütit, így ott már rég léptem be, lehet azon keresztül találta be valami.

Antispam appliance

Keresek egy jól összerakott spamfilter megoldást.
Most az EFA-t (mailscanner és sokan mások)használom amivel végülis elégedett vagyok, de úgy tűnik, hogy megrekedt a fejlesztése.

Szempontok:
Valamilyen Linux disztribución fusson
Külön virtuális gépen lehessen futtatni (triviális)
Szépen össze legyen rakva és ne álljon fejre egy upgradetől
Legyen webes felülete a mindennapos használathoz - nem csak én fogom használni

Más kérdés hátha van valakinek ötlete:
Az EFA (a Mailscanner része) elkezdte azt csinálni, hogy a levélre kattintva nem hozza fel a headert csak három paramétert, mikor jött, melyik szervere, milyen IP-ről. A maillog táblában benne van a mail a karantén nonspam directotijában benne van a file a megfelelő ID-vel mint filenévvel.

ReturnPath.net - ismeri-e valaki?

https://returnpath.net

Alapdolgok erdekelnenek: hogyan mukodhet..? Mik a tapasztalatok vele, ha valaki hasznalja? Mit kell lassak vele/nelkule?

A site-on nem jott szembe egyertelmu info sajnos... :(

(A problemam vele az, hogy orokoltem egyet, de fogalmam sincs, hogy van a rendszerbe varrva - a szukseges dokumentacio pedig "hianyos". Es kellenek valaszok a koltsegoldalra. Mert nemolcso. :DDD )

Barmilyen info johet roluk, ha van. Koszi.

Ti fogadtok levelet RDNS nélkül?

Többször előfordult már, hogy reverse DNS nélküli IP címről küldtek valós levelet szerverünkre, amit ezért visszautasítottunk.
Általában nagyobb, valamilyen programozott folyamatok ezek, sok felhasználóval. Nem gyakori, de a legutóbbi egy angliai székhelyű nemzetközi nyelvoktatási szervezet volt.
A legmeglepőbb, hogy ők úgy tapasztalják, a felhasználóik megkapják a leveleiket, azaz sokan nem utasítják vissza a reverse DNS nélküli IP címről történő küldést. Elbizonytalanodtam:

Ti fogadtok levelet reverse DNS nélküli IP címről?

Ha igen, miért?
Ha nem, erősítsetek meg abban, hogy ez elvárható megszorítás.

Feketelisták lekérdezése - esetleg összesítve

Sziasztok,

Mxtoolbox.com-on le lehet kérdezni tetszőleges szervert, h szerepel-e feketelistán,
ill. előfizetés alapján riaszt is. (free-t hetente nézi, fizetősnél óránként, és 99USD/hó)

Felteszem, a spamlistákat (javarészt) bárki használhatja, lekérdezheti (legalábbis ilyen gyakorisággal biztosan).

Nincsen esetleg erre valami külön script, hogy ne kelljen havonta fizetni érte ennyit?

Vagy nincsen vállalkozó szellemű kóder aki megcsinálná a scriptet vmi bounty fejében (amit összedobunk) ?