Postfix spam kérdés

Spam, Adathalászat
  • 2939 megtekintés

( golgota | 2018. 08. 03., p – 10:05 )

Nem ertek annyira hozza, de a hibauzenetek alapjan visszadobta az elso szerver a connection requestet, mondvan, hogy nem tudja visszaoldani az IP-t amirol konnektaltak hozza gondolom. DNS-ben minden rendben van az MX-re, PTR-re?

A masodik akar lehet ugyanez, mivel az ilyen eleg suspicious.

( stra | 2018. 08. 03., p – 10:12 )

"Ezek most a "domain" nevében küldenek (pl. info @ domain.hu) és a hibaüzenetet kapja meg a C6 szerver?"
A legelső kérdés az, hogy mit láttál a logban, illetve mit láttál a kapott levél fejlécében.

A második az, hogy megértetted-e a hibaüzenetet.
"HELO fqdn needs a public DNS record OX_202":
A "soma" nem létezik a DNS szerint. DNS alapján "mail" a szerver neve.

"https://help.yahoo.com/kb/postmaster/SLN3434.html?guccounter=1", "Yahoo is seeing unusual traffic from your IP address and/or that emails from your mail server are generating complaints from Yahoo Mail users.":
Vélhetőleg te próbálsz küldeni. Jaítsd a DNS-t, utána nézd meg, elvileg az első meg fog javulni, utána térj vissza a Yahoora.

( FoREE | 2018. 08. 03., p – 10:23 )

Két külön típusú hibaüzenetet írtál.

Az elsőnél valami dns beállítási gond van. A szervered nem interneten feloldható címmel (fqdn) mutatkozik be a fogadó smtp szervernek. A myhostname gondolom nem domain.hu, hanem a tényleges szervernév, állítsd be oda azt, ami mx rekordként be van állítva a domainedben (ez a mail.m-xxxx.hu).

A második üzenet valószínűleg azért van, mert az IP címed a barracuda-nál feketelistán van. http://www.barracudacentral.org/lookups Persze lehet más oka is a "user complaint" nek.

( sj | 2018. 08. 03., p – 12:55 )

1. korben azt neznem meg, hogy kuldtel levelet a yahoo fele? Mert ha nem, akkor nem csak te vagy a seriff a varosban...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

( makgab v | 2018. 08. 05., v – 21:01 )

sziasztok!
bocs, csak nem vagyok net közelben...
DNS módosítva (+hostname).

Két kérdés?
* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?
* A DNS-ben MX, PTR esetén mire figyeljek? A MX a levelezéshez kell, a PTR meg a reverse lookup-hoz kell. Ezek jók, be vannak állítva.

* Melyik realtime blacklist-et használjátok spamszűrésre mostanság?

* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?

default nem tudnak, de te el tudod cseszni a beallitasokat (valtozatos helyeken), hogy aztan meg de...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?

main.cf:

mynetworks
relay_domains
virtual_mailbox_domains

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated

smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks

Ezek mondják meg a Postfixnak, hogy milyen kliensektől fogad el és küld tovább (outgoing) emailt.

--
Professional IT Services - Informatikai tanácsadás és outsourcing
www.professional-it-services.hu

( makgab v | 2018. 08. 13., h – 11:21 )

Melyik spam listát használjátok postfix-hez?
Pl.

...
reject_rbl_client zen.spamhaus.org
reject_rbl_client bl.spamcop.net
reject_rbl_client dnsbl.sorbs.net
...

Ezeket v. van még jól használható spamlista?

( makgab v | 2018. 09. 15., szo – 07:35 )

Hogy lehet védekezni a nevemben küldött spam ellen?
A DNS-ben a TXT/SPF rekordot kell beállítani?

Ezt lehet/kell korrigálni?:

v=spf1 ip4:1.2.3.4 include:mydomain.com ~all

SPF (melyik szerverről vegyen át a te domainedről küldött levelet), DKIM (milyen publikus kulccsal vannak aláírva a levelek, amik tényleg átmentek a te szervereden - lásd opendkim), DMARC (mi a francot kezdjen a távoli szerver, ha az SPF/DKIM fail, és kinek reportolja, hogy SPF/DKIM fail volt), ill. ha standard lesz belőle és elterjed, akkor ARC (kiken ment át és mit piszkáltak bele - lásd openarc).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Alapbeállításon szerintem egyik MTA sem nézi, de a nagyoknál be van állítva, ami sajnos-nemsajnos (szerintem előbbi...) a mail/spam forgalom nagy részét jelenti...

Fentebb már írták, hogy az include-al óvatosan (egyrészt plusz terhelést adsz a fogadóoldalnak, akinek további rekordokat kell lekérnie/feldolgoznia, másrészt így a mydomain.hu és a mail.myisp.hu bármikor lábon tud lőni téged [szerk.: az include egyébként leginkább arra van, hogy ha mondjuk csinálsz egy hirlevélre használt subdomaint, amit át akarsz adni a hírlevélküldő szolgáltásodnak, akkor ott tudj egy include-ot csinálni és ne kelljen folyton követnem, ha felvesznek egy új IP-t...]). Soft faillel szintén óvatosan, nagyon nincs definiálva, hogy az mit is jelent és mindenki máshogy értelmezi... én azt tenném rá, akiben nem bízom ugyan, de tudom, hogy átmehet rajta levelem, az all-t pedig hard failre.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

az include-al óvatosan (egyrészt plusz terhelést adsz a fogadóoldalnak, akinek további rekordokat kell lekérnie/feldolgoznia, másrészt így a mydomain.hu és a mail.myisp.hu bármikor lábon tud lőni téged

ezen felul is van meg hatranya az spf-nek. En inkabb a dkim-et ajanlom...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol