Spam, Adathalászat

spam áradat ismerős címekről

Sziasztok,
mostanában elkezdett jönni jó pár (vírusos) spam olyan formában, hogy a feladó Gipsz Jakab - gipsz.jakab@tenylegvanilyen.hu,nincsilyencím@spamakarmi.com

tehát fog egy valós címet és másolatba vagy címzettnek berakja a kamu címet. Ha megnézem, hogy milyen ipről jött akkor általában
valami thaiföldi/kínai/stb címekről jön, tehát tuti nem pl az a személy küldte, akié a cím.
Hogy lehet ez ellen védekezni?

576KB

Sziasztok!

Az 576KB hírleveléről nem lehet leiratkozni. Több hónapja küldik a szart. Az csak hab a tortán, hogy fel sem iratkoztam.
Innen jött a ganyé:
576kb.hu@mail18.suw13.rsgsv.net

2018-ban megengedheti magának egy - ráadásul régi, ismert - cég, hogy ilyen primitív módon tolakodjon?

Postfix spam kérdés

Üdv!
Van egy C6x VPS szerver postfix+amavis+postgrey+www működik rajta (egy domaint kezel, 3 postafiókkal).
A postfix a publikus és 127.0.0.1-en engedi a kapcsolódást (mynetworks opció).

Ilyen üzeneteket kap a root pl.:
-----------------------------------------------------------
If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

: host mx002.vodafonemail.xion.oxcs.net[157.97.76.175]
refused to talk to me: 421 4.2.1 HELO fqdn needs a public DNS record OX_202

vagy:

: host mx-eu.mail.am0.yahoodns.net[212.82.101.46] said:
421 4.7.0 [TSS04] Messages from 84.21.7.117 temporarily deferred due to
user complaints - 4.16.55.1; see
https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM
command)
------------------------------------------------------------

Ezek most a "domain" nevében küldenek (pl. info @ domain.hu) és a hibaüzenetet kapja meg a C6 szerver?

Milyen opció beállítása lenne még praktikus?

A main.cf:

# postfix config file

# uncomment for debugging if needed
#soft_bounce=yes

# postfix main
mail_owner = postfix
setgid_group = postdrop
delay_warning_time = 4

# postfix paths
html_directory = no
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
queue_directory = /var/spool/postfix
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man

# network settings
inet_interfaces = all
mydomain = domain.hu
myhostname = domain.hu
mynetworks = $config_directory/mynetworks
mydestination = $myhostname, localhost.$mydomain, localhost
relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains_maps.cf

# mail delivery
recipient_delimiter = +

# mappings
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
transport_maps = hash:/etc/postfix/transport
#local_recipient_maps =

# virtual setup
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf,
regexp:/etc/postfix/virtual_regexp
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_minimum_uid = 101
virtual_uid_maps = static:101
virtual_gid_maps = static:12
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# debugging
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

# authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
# Change mail.example.com.* to your host name
smtpd_tls_key_file = /etc/pki/tls/private/domain.hu.key
smtpd_tls_cert_file = /etc/pki/tls/certs/domain.hu.crt
# smtpd_tls_CAfile = /etc/pki/tls/root.crt

# rules restrictions
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
# black and whitelist
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
smtpd_recipient_restrictions = permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_policy_service unix:postgrey/socket,
# uncomment for realtime black list checks
# ,reject_rbl_client zen.spamhaus.org
# ,reject_rbl_client bl.spamcop.net
# ,reject_rbl_client dnsbl.sorbs.net
permit

smtpd_helo_required = yes
unknown_local_recipient_reject_code = 550
disable_vrfy_command = yes
smtpd_data_restrictions = reject_unauth_pipelining

# Other options
# email size limit ~20Meg
message_size_limit = 20480000
mailbox_size_limit = 104800000
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
sample_directory = /usr/share/doc/postfix-2.6.6/samples
data_directory = /var/lib/postfix

# 2017.08.19:
# header_checks: default -> empty
# /regex_pattern/ ACTION
#
header_checks = regexp:/etc/postfix/header_checks

ingatlan.com vicces bug

par napja karantenba kuldi a spamszuronk az osszes ingatlanos mailt, ma volt idom ranezni a miertjere, hat eleg vicces header van a levelukben:

Content-Disposition: inline; filename="' + filename + '"

a programozojuk elszamolhatta az idozojeleket :)))

ŷour friends will love this vid of you beating your meat

Vagy 2 napja olvastam az indexen, hogy ujfajta zsarolo scam-ek jelentek meg, ami azzal fenyeget/kamuzik, hogy elkuldi az osszes haveromnak, hogy a pron vid-ek nezese kozben.

Ez amugy engem is erdekelt volna. Marmint, hogy az asztalon levo notebook kameraja megis hogyan lat az asztal ala? Persze ezt nem mondta meg, ugyhogy lehet, hogy megkerdezem tole.

Szegenykem amugy fulop-szigeteki, annyira szegeny, hogy egy orosz cimrol tolta a cuccot, es a From: mezobe egy kinai-szeru nevet irt be. De legalabb pofatlan, mert 780 EUR-t ker a 14JQVxuR9SXiw2QVcdoy6RWrgw2BDEzfpM cimre btc-ben. Morcos is vagyok ra, hogy eddig vart a levelevel, mire csucsokat dontoget a forint az EUR ellen.

A reszletek: https://pastebin.com/DJY1nFei

Valaki help? koszonom

----------- SCAN REPORT -----------
TimeStamp: Sat, 23 Jun 2018 06:03:05 +0200
(/usr/sbin/cxs --nobayes --clamdsock /var/clamd --dbreport --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 35000 --noforce --html --ignore /etc/cxs/cxs.ignore --MD5 --options MSGchnZDv --qoptions Mv --quiet --report /var/log/cxscron.relaxch.log --script /etc/cxs/htaccessdisable.pl --sizemax 1000000 --ssl --summary --nosversionscan --timemax 30 --nounofficial --user relaxch --virusscan --voptions mhexT --xtra /etc/cxs/cxs.xtra)

Scanning /home/relaxch:

'/home/relaxch/.trash/ssend.php' # SUID permission set (md5sum:ba76616a57e52cc63a09ca876c334268) # GUID permission set

----------- SCAN SUMMARY -----------
Scanned directories: 979
Scanned files: 7185
Ignored items: 19
Suspicious matches: 2
Viruses found: 0
Fingerprint matches: 0
Data scanned: 220.14 MB
Scan time/item: 0.015 sec
Scan time: 126.159 sec

Trend Micro RBL+ lista ?

Üdv,

https://www.ers.trendmicro.com/reputations/

a fentivel találkozott már valaki ?

Mert én most igen, küldtek egy emailt, hogy DUL listába kerültem, ez ISPk általi "dinamikus lista" elvileg.

De egy darab email szerverrel nem találkoztam eddig, akik ezt a listát használták volna.

Egészen a mai napig :)

Bár tény, ISP mögött (nem, T*, nem D* nem U*, nem ilyen gagyi XYvarosNET* , megnevezni nem akarom, de olyan isp aki ugyan szolgáltat többé kevésbé lakossági netet is, de inkább a vállalati szféra a profil) üzemelő komplett mail rendszerről van szó, de ez a cím fixen ki lett osztva.

Gondolom előzőleg kerülhetett be valahogy a rendszerükbe ez a fixen kiosztott IP.

Bár végülis hivatalos remove request után gyakorlatilag ~4 óra elteltével már ki is szedték ezt az adott IP-t az RBL+ / DUL listából.
mxtoolbox check szerint (direkt le lett ellenőrizve többször is) ez a fixIP 103 *BL listából 0 találatot produkált. És a mai napig 0 találat van rá.

Fura, mert ezzel a szolgáltatóval már több helyen került kiépítésre levelező szerver és sehol nem futottam még bele ebbe a TrendMicros* RBL listába.

Csak most pont egy olyan helyre kellett volna mailt küldeni ahol ezt a TrendMicros RBL listát használják.

Hm. végülis csak self-note, de azért érdekelnek a tapasztalatok :)

SPAM probléma, CentOS, Cpanel

Üdv!

Sajnos egy nemrég telepített mailszerverről a levelek gmailes fióknál spambe érkeznek. Tudtommal minden jól be van állítva, de úgy tűnik mégsem. DKIM, SPF, DMARC, rendben van.
teljesen tanácstalan vagyok hol keressem a hibát.

Alább látható a SPAM-be érkezett levél. (az ip címek és hostok, csak minta adatok)

A szerveren CentOS 7 és Cpanel van.

Tud valaki segíteni, hogy mi lehet a probléma?


Delivered-To: gmailescim@gmail.com
Received: by 10.176.89.35 with SMTP id n32csp5179666uad;
Wed, 7 Mar 2018 13:36:51 -0800 (PST)
X-Google-Smtp-Source: AG47ELvUlqO8AaEhYFQVWfcZITnkZbeEBLGnTxMNfiIOrOzwKPCEwiXRrBfmMorMlqdjEOERNPQv
X-Received: by 10.223.161.144 with SMTP id u16mr21328015wru.137.1520458611408;
Wed, 07 Mar 2018 13:36:51 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1520458611; cv=none;
d=google.com; s=arc-20160816;
b=0VKenMQBTvl8Hb6S6NVAqbe0lHU65XCPzYAvBneoZ07gjxev66cP2juvFJ/LzZ8oxs
p8d5qB58aP1VwO90ia9RovEa1qe18QpIXilm5G6KbdzTRc5QlvpY+lPtOdQ0h/RuSfOg
LVa+bt+6LBlubwAufZaMEmVskLJ15aVJFJkOfamFl6wPtsQwnAw5dD7spZI88aIskyES
1Dx5YZDR754zRUpsp9jav8Zlt6rS0HgM+sJWdCqqNDKLwTLEXqScSfhA6/YqGjwR8g2x
XLlLPNIf1p0IV98CTpIPV7w2g5N3ISnYawJg2G10xP3Ft0+OYbACatbTm48rWHcP5V+n
Nowg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=to:date:message-id:subject:mime-version:content-transfer-encoding
:from:dkim-signature:arc-authentication-results;
bh=xeGYKOV4vOODlBsSHrDcvmrnRn9qwikHPKjhKczwMsQ=;
b=u3Y4OaxWe+UGnW+VqTvncHha35nZWXIOQAAICr1o+bzVsz+SMZXxfWkVsAJsul7YM9
jB+GYow6eO3ijsGkb1Fk98JYBeYXyDNdOHN5+1B28zh3x2azMgNoeA/37H8iJ+oL6NOB
74ocVRDyreNIq+nIDbGJ/m38CmInHIof4Fc/v2G8+apMMTSJes1odqZUOj4yOvDRc3p/
x+UjBFlL1/eSbESg4AWL/x5LDjTwpa9OcbUcRQ+jROtRkX6JDAwg6LCeA1EpmQtJNYr6
tRBYY3bp/JKa1NRqxxxUe3jugmkKDWlzu/NU+QR4FTfvUNg8oR2cyKraOG/SKaFpPSAQ
WpRw==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@sajatdomain.hu header.s=default header.b=EEsm49Fn;
spf=pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) smtp.mailfrom=info@sajatdomain.hu;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=sajatdomain.hu
Return-Path:
Received: from serverhostname.hu (serverhostname.hu. [123.124.125.126])
by mx.google.com with ESMTPS id g109si450946wrd.443.2018.03.07.13.36.51
for
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Wed, 07 Mar 2018 13:36:51 -0800 (PST)
Received-SPF: pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) client-ip=123.124.125.126;
Authentication-Results: mx.google.com;
dkim=pass header.i=@sajatdomain.hu header.s=default header.b=EEsm49Fn;
spf=pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) smtp.mailfrom=info@sajatdomain.hu;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=sajatdomain.hu
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=sajatdomain.hu; s=default; h=To:Date:Message-Id:Subject:Mime-Version:
Content-Transfer-Encoding:Content-Type:From:Sender:Reply-To:Cc:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=xeGYKOV4vOODlBsSHrDcvmrnRn9qwikHPKjhKczwMsQ=; b=EEsm49FnB4Exz6gluJFmchV+hH
I2PyKlvXBpPp2FBL73nX6Rix+xhiosV6dceZYXjjR40lvVI+ROqR4dn4Unna6cu4wbP+8kJJLbqcx
KqxBilcL7mZZPcUoCUT4xwIg+1EHjt9NQE4n4gZdabM8nPS9u/WgDDQG/dlap+eOMfsOqj1G3vcfR
F8qHr1+SDDbzUKyZmnw4cmgqFoVdfoYXYMwkV3m0AvIjEYPHJi4hd/FY5NpLY6eHM1rxTVOQ8X/W+
gtD1goo+dE3/usMpLJTFTrXVUiue1c4SMZl7oq1uRp525CgrcyA9xtQYaGYbOjKshfdjs8i8rVLQZ
I0TWI3ug==;
Received: from [86.101.105.234] (port=59504 helo=[192.168.0.17])
by serverhostname.hu with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.89_1)
(envelope-from )
id 1etgjy-0006Ar-UZ
for gmailescim@gmail.com; Wed, 07 Mar 2018 22:36:50 +0100
From: sajatdomain
Content-Type: text/plain;
charset=utf-8
Content-Transfer-Encoding: quoted-printable
Mime-Version: 1.0 (Mac OS X Mail 11.2 \(3445.5.20\))
Subject: ez igy ok
Message-Id: <955C5592-2936-4EAA-8509-817047BF1B38@sajatdomain.hu>
Date: Wed, 7 Mar 2018 22:36:50 +0100
To: =?utf-8?B?QmVyZW5jc2kgTcOhdMOp?=
X-Mailer: Apple Mail (2.3445.5.20)
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - serverhostname.hu
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - sajatdomain.hu
X-Get-Message-Sender-Via: serverhostname.hu: authenticated_id: info@sajatdomain.hu
X-Authenticated-Sender: serverhostname.hu: info@sajatdomain.hu
X-Source:
X-Source-Args:
X-Source-Dir:

rem=C3=A9lhet=C5=91leg