Ömlik a spam

 ( p.zoltan | 2013. október 16., szerda - 21:56 )

Ilyen tárgyú szemetek kezdtek el áramlani néhány órája:

Regionalis kepviselo
Regionalis Ugyfelkezelo menedzser
Ugyfelszolgalati menedzser
Ulj otthon es keress penzt!

stb stb -- 6-7 azonos tárgyú levél, de másodpercenként 50-100 darab és csak egyetlen domainre, de ilyen véletlenszerű fiókokra, mint pl:

Egy IPről kijön a ez a 6-7 levél, aztán jön ugyanúgy másik IPről. Valami botnetet vett meg valami "okos állat". A spamszűrő ki van akadva, nyomja a loadot a szervernek, IP-ket nem lehet tiltani mert száz és száz különböző helyről ömlik befele a spam.

Mit csináljak? vegyem le a spamszűrőt és a catch all címet állítsam blackhole-ra? vagy küldjem vissza a fail üzenetet? Tanácstalan vagyok, bármi segítség vagy ötlet elkél.

köszönöm!

Z

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hello

Itt is. Ami valós címre megy azt megfogja az SA (eddig mindet jól detektálta), a kamu címekre érkezőt meg eldobja a postfix.
Egy tavalyi összeállítás hátha segít http://hup.hu/node/118089
Catch allt szerintem egyelőre hanyagold + amit lehet még a postfix dobjon el. Pl. kamu címzett, nem létező feladó domain, stb.
Ha jól látom ezeknél a feladó domain = címzett domain, érdemes lehet spf rekordban rögzíteni a valid feladó IP-ket. Ha esetleg a nevedben másfele is küldenék a hülyeséget :)

Levél tartalma:

Jó napot.
Munkatársat keresünk híres cégünkbe Szövegszerkesztő beosztás betöltésére.

Feladatok:
24 órán belül küldünk egy e-mailt szövegekkel. Néhány rövid szöveg a helyesírás, garmmatika ellenőrzésére,
és azok hibáinak javítására. Ez lesz a bizonyítéka annak is, hogy tud angolul.
A munkáért pénzt fog kapni. A végrehajtott munka fix jutaléka 5 euró 1 kb-ért.

Miután ellenőríztük tudását és természetesen a feladat nyagyságától függően a havi fizetése 3000-3500 euró lesz havonta.
A munkához szükséges eszközök:
mobil elérhetőség, Internet, e-mail fiók, bankszámla (a jutalék átutalásához) és természetesen az Ön tudása és szakmai tapasztalata.

Munka feltételek:
- nem teljes munkaidő
- Munkaidejét saját maga osztja be
- Versenyképes munkabér, amelyet kéthetente átutalunk a bankszámlájára
- Pályafutás

A cégről és az állásról részletesebb információt kaphat, miután kitölti a következő regisztrációs kérdőívet:
1. Családi név és utónév
2. Elérhető telefonszám
3. Ország, amelyben tartózkodik, él

Elérhetőség:

Miután megkapjuk a kitöltött regisztrációs kérdőívet, felvesszük Önnel a lkapcsolatot és elküldjük a további információt.

Jelentkeztél? :)

--
maszili

Akkor ellennék a 3000 eurómmal :D

namost van itt a levél végén ez az email cím, persze ez a háromnapja regisztrált domain nem mutat semmiféle weblapra, de az MX egy rackspace.com-os tárhelyre vagy szerverre mutat. Van bármiféle értelme az

címre írni vagy teljesen értelmetlen lenne?

ezzel elhasznaltad a profession szabadkartyadat :D)

ja ez divatos volt nálunk is, postfix, bodychecks consult.com* REJECT, pá :)

Jó, hogy mondod. Köszi :)
1 éve nem nyúltam a bodycheckshez, pedig milyen hasznos.

Nálam az van, hogy ezt a levelet "Munkatársat keresünk híres cégünkbe ..." óránként 10-szer megkapom, pedig csak 10 email címet kezelek. Az ilyesmit személyes sértésnek veszem, mert miért néznek olyan hülyének, hogy ha elsőre nem jelentkeztem, akkor majd az ezredikre mégis. (Mellékesen, a spammer híján van minden szakmai becsületnek: Azt a vállalását, hogy a hirdetést kiküldi 1M helyre úgy teljesíti, hogy ezer helyre küldi ezerszer.)

Namost, amikor egy ilyen levelet először megkapok, akkor kiválasztok belőle egy jellemző sort, azt beteszem a bodycheckbe, és nincs vele több gond. Vagyis napi rendszerességgel nyúlkálok a bodycheckbe

Azért az mégis elkeserítő, hogy az email forgalom 99%-a spam.
--
ulysses.co.hu

Na, de ha te vagy az állítólagos feladó, akkor vajon hová rejecteli?

Én így oldanám meg:

A main.cf-be:
body_checks = pcre:/etc/postfix/body_checks
body_checks_size_limit=2000

Az /etc/postfix/body_checks-be:
/consult.com/
DISCARD

Ezzel szépen a süllyesztőbe küldjük.

Úgy látom nem próbáltad még ki.
A postfixben több szinten tudsz ellenőrzést, "szűrést" végezni. Kezdve attól, hogy küldő IP felveszi a kapcsolatot a levelező szerverrel, egészen addig míg benyomja az adatot és lezárja. Legalább 4-5 helyen tudod elkapni és visszautasítani úgy, hogy még át sem vetted a levelet.
Ha valami fennakad a header / body checks szűrőn, ott és akkor visszautasítja a levelet.
Ha beállítod ezt egy szerveren és oda smtp authttal beloginolsz, küldesz egy ilyen tartalmú levelet, rögtön a lev.proginak üzeni, hogy NEM veszem át. Hasznos, ott és akkor a küldő értesül róla, legyen akár az egy kollégád. Nincs kérdés, hogy vajooon kimeeent?

Szóval mindegy, hogy milyen feladóval hazudja magát, nem veszi át, a tartalma miatt.

A discard meg tényleg a /dev/nullba küldi, na de ha egy valid levél volt? A valid feladó soha nem értesül róla, hogy ez nem lett kézbesítve.

Ennél a típusú SPAM-nél mindig "én" voltam a feladó, szóval nekem így jó a discard.
Az éjjeli termést meglestem: cat maillog | grep consult | grep [e-mailcímemből egy darab] | grep discard | wc -l
9
.
Egyébként meg ízlések, és pofonok.

Szerk.: Amúgy meglestem REJECTtel is korábban, de ott meg ugye az a baj, hogy - és ebben teljesen igazad van, önmagamnak saját smtp auth-tal át sem veszi a szerver -, ám kipróbáltam kajli e-mailcímeimről is, oda meg visszadobja fejlécestől az egész szarságot. Fontos nekem még több indokolatlan forgalmat generálni?

"oda meg visszadobja fejlécestől az egész szarságot"

Ebben talán sj tudna pontosabban válaszolni, de azt hiszem, hogy amit visszakapsz, azt az eredeti küldő szerveredtől kapod vissza, annyi keigészítéssel, hogy a címzett szerver milyen hibakóddal _utasította_el_ a levelet. Tehát a spammer MX -> te MX-ed között nem megy visszafele fejlécestül az egész levél + hibakód. Csak a hibakód. A többit a spammer MX generálja le helyben.

:-) Ehj, pl., ha ezt a freemailnél tudnák. :-)

Miért? :)

Mert az egyik kajli freemailes címemről küldtem a levelet, amit rejectelt a szerverem, majd a freemailes címemen szépen megjelent a reject fejlécesől. Avagy én nem akarom, hogy a szerverem fölöslegesen tolja vissza ezt a spamet.

Az a normális, ha az NDR-t visszakapod.
--
PtY - www.onlinedemo.hu

Szerintem tudják.
--
PtY - www.onlinedemo.hu

NDR esetén ez pontosan így történik.
--
PtY - www.onlinedemo.hu

"garmmatika ellenőrzésére" -- első hiba megvan!

Fuszenecker_Róbert

Nalunk a postmaster cimre kuldik, ami valljuk be nem szerencses ... nekik! :)

Nekunk is a postmasterre jon napi 0.5-2 darab mail, raadasul egy olyan gepre, amit nemsokara leallitunk, szoval en nem torom magamat a leallitasaval.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

mindenhol ez megy sajnos...

Ezt csináltam, mivel szerencsére csak egyetlen domainre ömlik ez befele:

erre a domain-re nem szűrök spam-et, viszont ami nem valid címre jön, azt eldobom. Így rendbe jött a load egyelőre, de nézek még további megoldások után.

túl magas volt a max children, ez vitte el a loadot - most lett jó, szűr is és a load is okay.

Elkezdtek ilyeneket is küldeni ugyanerre az egy domainre, mint: 7942_PRSumm_Wire.exe, egyre jobb:)
Mikor indult ez a fajta spam? Nekem ma este.

Gmail-re már vagy fél hónapja kapom ezeket, naponta 3-4 darabot. Nem tudom miért jó ez a kedves küldőnek...

Nekem ~1.5 hete kb


// Happy debugging, suckers
#define true (rand() > 10)

Nekem tegnap dél óta jelentkezett a szűrő gépen a forgalomszámlálón a növekedés, belenézve ezekkel volt tele a karantén.

nagy tetelben nalam szept. 20 korul.

Itt a magyarázat :) Elég csak az aktuális három top címet összeolvasni:
Ömlik a spam - Én csináltam - PHP Senior programozó

ezen besírtam!

--
openSUSE 12.2 x86_64

:DD

:D

ROTFL

Ontopic: én pont az ilyenek miatt használok RBL listákat. Bosszúságot, erőforrást, időt spórol meg.
A grafikonomon annyi látszik, hogy az utolsó héten annyi levelet dobott el, mint az utolsó havi mennyiség fele (azaz megháromszorozódott).
A karanténban a szokásos napi 5-6 spam van (ezek is tipikusan az info@ és domain@ kezdetú címekre tolt legális reklámok) - igaz, nem sok email címet kezelek, csak 12-t, de heti 11 ezer eldobott levelem nem szokott lenni ezekre, az tény.
--
PtY - www.onlinedemo.hu

:)

Hat, kerestek itt mar "dotnet programozot", amit eleg sokan "botnet programozonak" olvastunk...

--
http://www.micros~1

:-o
Van különbség? :)
--
PtY - www.onlinedemo.hu

Van: a botnet-eket Java-ban írják. :D

Már javában írják? :)
--
PtY - www.onlinedemo.hu

Na ezt az oldalt nem lehet nehéz karbantartani... Kb. egy statikus HTML yes szöveggel, aztán nem is kell hozzányúlni. :)
--
The Community ENTerprise Operating System

A kétértelműségen volt a hangsúly a posztomban :)
--
PtY - www.onlinedemo.hu

ha ragaszkodsz a catchall cimhez (ami nem tul jo otlet btw), akkor csinalj egy body check szabalyt a munkatarsat keresunk *nyers* szovegre...

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

Poliverzumnak állásajánlat :-). Szöveget írni (mennyiségre) azt tud...

Ha már itt tartunk...SA-hoz van valami jó log analizátor, vagy web-es cucc ?

--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>

Mit szeretnél analizálni? Mailgraphban a reject SPAM grafikon nem elég?

Nem tudom, szándékosan állítottál-e be ilyen nehéz színeket, de alapból informativabb a megjelenitése:)

Szerintem olyanra gondol, ahol látszodnak mondjuk a top 100 megjelőlt levél pontszámai.

Nemszép, de vicces (és csekkelni kell a valid címzetteken, mielőtt élesíti az ember :DDD ) - header check regexp ->

...
# beteg cimzett natur
/^To:\W((([aeiou]{3})|([aeiou]{2}[^aeiou\W]|([^aeiou\W]{3})))[a-z0-9\.\-]{0,20}@.*\.\w{2,4})$/i WARN illogical_header_from_[$1]
...

Az

cimen valszinuleg fennnakadna...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Utolsó 8 napon ennyi akadt fenn ezen és a kacsacsőrös társán (1 tegnap, 8 régi):

8,0,0,0,0,276
7,0,0,0,0,138
6,0,0,0,0,21258
5,0,0,0,0,56421
4,0,0,0,0,32031
3,0,0,0,0,29672
2,0,0,0,0,33083
1,0,0,0,0,3545

Nemvicces mennyiség... :(

spamassasin/local.cf
body NAGYONSPAM /\@consult-trading.com/i
score NAGYONSPAM 15.0
describe D_SENT_HUNGARARY-JOB<->@consult-trading.com -os szemet

Néhány napja ez van nálam is, és mind @google.com feladóval jön. Vagy badmailfrom-ba teszem, vagy megemelem kicsit az SPF ellenőrzés szintjét.

Na még szerencse, hogy én csak a porno oldalakat látogatom, és nem tévedek meló keresős helyekre... :D
Egyébként meg csak feliratkozás :))

Itt is jön már egy hete, hogy "Jó napot, munkatársat keresünk .... " ugyanaz a szöveg, más-más tárgy, más-más IP-ről, a return path mindegyiknél más-más google cím, én vagyok a feladó, saját magamnak...

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

Mikor elkezdett jönni, én az alábbiak szerint módosítottam:

#cat /etc/postfix/main.cf
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname
strict_rfc821_envelopes = yes
smtpd_client_restrictions =
permit_sasl_authenticated,
reject_unknown_client_hostname,
check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_destination,
reject_unknown_recipient_domain,
check_policy_service unix:private/policy-spf
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
policy-spf_time_limit = 3600s

#cat /etc/fail2ban/filter.d/postfix-nohostname.conf
[Definition]
failregex = reject: RCPT from (.*)\[\]: 450 4.7.1 Client host rejected: cannot find your hostname
ignoreregex =

#cat /etc/fail2ban/jail.local
[postfix-nohostname]
enabled = true
filter = postfix-nohostname
logpath = /var/log/mail.log
maxretry = 3
port = smtp

Asszem ennyi, de ha még valami eszembe jut, majd írom :)

smtpd_helo_restrictions = [..] permit_sasl_authenticated

Ezt igy hogy? Ott meg nem is tortenik authentikacio... En ezt kivennem egy az egyben, plusz a reject_non_fqdn_helo_hostname -t is. Ha ugyanis a sasl-nek engednie kell, akkor addig nem dobja vissza a klienst, amig nem probal meg egy MAIL FROM-ot elengedni - ami mar tul hosszu ido egy spammer elkuldesehez. Mar a HELO-ra kapjon hibat vissza, zarjuk le mielobb az ilyen viszonyokat. Sajnos a reject_non_fqdn_helo_hostname-t igy muszaj kivenni, mert a Windows keptelen FQDN nevet kitalalni maganak.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Azt nem a windowsnak kéne kitalálni, hanem a tisztelt exchange adminoknak beállítani, csak erre szoktak magasan szarni...
Nekem simán bent van.
--
The Community ENTerprise Operating System

Pont ezért nem volt nekem se eddig, de most, hogy jött ez a nagy SPAM áradat... bekerült, de nem szándékozom kivenni :P

Nekem mindig is bent volt, dobálja is vissza sokszor az exchanges leveleket a tisztelt feladónak...
--
The Community ENTerprise Operating System

Nem tudom, a mac van olyan okos, hogy ha nincs neki domain, akkor kepes egy .local TLD-vel megdobni a dolgokat. Ilyet a Windows is csinalhatna, es akkor gyakorlatilag mindegy lenne, hogy az adminok lazy-k vagy sem.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ilyen csinál az exchange is, és pont emiatt lett visszahajítva a levél.
--
The Community ENTerprise Operating System

Na egyben biztos vagyok: biztosan nem azert lesz visszahajitva a level, mert nem FQDN a hostneved. Legfeljebb nem feloldhato, de az egy masik ellenorzes.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Sokszor az sem mindegy, milyen fqdn...
Próbáld ki a citromailt telnettel, és helozz neki egy parasztok.vagytok.local-t, a következő nekifutáskor meg egy parasztok.vagytok.hu-t.
Szóval az fqdn egy dolog...
--
PtY - www.onlinedemo.hu

imho nem a fostalicska citromaillel kene peldalozni, hogy milyen a jo fqdn...

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

Csak példa volt arra, hogyan kell implementálni faszul szabályokat :)
És hidd el, nem csak ők csinálják ezt, csak ez ugrott be azonnal :)
--
PtY - www.onlinedemo.hu

Csak példa volt arra, hogyan kell implementálni faszul szabályokat :)

ok :-)

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

Dehogyisnem. Ezek pont ezt csinálják: reject_non_fqdn_sender és reject_non_fqdn_helo_hostname
--
The Community ENTerprise Operating System

De, Citromail is visszadobálja az ilyeneket. Igaz, hogy nem szabványos módon, de félig-meddig visszadobálja.

--
The Elder Scrolls V: Skyrim

"Igaz, hogy nem szabványos módon, de félig-meddig visszadobálja."

Na, pont ez a bajom! Valaki vagy legyen korrekt, és dobja el azt, ami valóban szar, vagy szarja le, és beszélgessen mindenkivel. De ha alkot egy harmadik szabályt, ami alapján random jó/rossz lesz egy FQDN, az kb. a szakma megcsúfolása.
Gyakorlatilag olyan szabályt alkottak, hogy az utolsó tag legyen 4 karakter max, és akkor mehet (pl. helo baszki.kam) - gondolom, valami okos kitalálta, hogy a jelenlegi leghosszabb tld az .info, akkor azt beengedjük.
A vicc az, hogy 4 karakterig bármit elfogad, afölött mindent eldob - ehhez képest most fogják ismét bővíteni a tld-t, kíváncsi leszek, mit fognak a t. kollégák elkövetni, ha bele kell szögelni a rendszerbe... (vagy csak leszarják, mint eddig).
--
PtY - www.onlinedemo.hu

A legviccesebb implementációjuk nem ez (ha még így van most is), hanem az, hogy ha az fqdn néven nincs MX rekord akkor elhajtják. Ez szerintük így tök fasza.

ubermegaLOL, errol kulon bloggoltam is egyet :-)

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

Ezt egy nemet szolgaltato is csinalja. Mikor reklamaltam, csak annyit kozoltek, hogy belinkeltek a vonatkozo RFC-t, hogy ok mindenben aszerint jarnak el. Felhivtam a figyelmuket, hoyg az RFC szerint A VAGY/ES MX rekord kell, erre nem is reagaltak. (Asszem, CNAME is engedelyezett, lehet, hoyg ez volt a vita oka, mar nem emlekszem pontosan, szoval CNAME-en vitaztunk)

--
http://www.micros~1

Áh, hát ennél sokkal viccesebbek a Citromnál. 500-as (végleges, nem újraküldhető állapotot jelölő) hibával közlik a válaszban, hogy ez bizony így nem jó, hogy nem FQDN-ed van, majd mint ki jól végezte dolgát, lezárják a kapcsolatot. Ez az SMTP szabvány szerint azt jelenti, hogy a levél megy deferred-be (mivel a kliensnek KELL zárnia a kapcsolatot), és a Postfix/sendmail logban csak annyit látsz, hogy van 700 függő leveled, amiket a szerver átmenetileg visszautasított, és így az MTA ezeket tízpercenként próbálja újraküldeni. Ezt debuggolni külön élvezet volt.

Írtam levelet erről nekik kétszer is, de válasz természetesen semmi.

--
The Elder Scrolls V: Skyrim

Nyugi, 4 nap muéva kap egy NDR-t a feladó, és kezelheted :D
Ez főleg akkor vicces, ha vmi szolgáltatás értesítő, és a feladó/küldő egyaránt a noreply, ami a /dev/lull-ban végződik.
Az ilyxesmivel rengeteg baj van, sokan ilyen fos címekkel iratkoznak fel mindenhová, és reklamálnak, ha nem kapnak valamit.

Ezekre általában az a jó megoldás, ha a ASZF-ben benne van, hogy ingyenes email címekről (freemail/citromail/whatever) való feliratkozás esetén a szolgáltató nem garantálja a levelek biztos kézbesítését, ezért a felhasználók internetszolgáltató által biztosított emailcímét részesíti előnyben.
Igen, nem biztos, hogy mindenkinek van ilyen címe, mert lehet, hogy a szomszédnál nézi meg a küldeményeit, de sajnos ezzel lehet csak védekezni a sok böszme szolgáltató ellen.

Amúgy a Telekom se normális...
Ismerős @t-mittoménmiadivatmost.hu emailjét használja üzleti célra, több gépről, így a szolgáltatónál gyűlik, onnan törölget webfelületen, ha eszébe jut, mert amikor eléri a 2GB quota-t, nem kap értesítőt, és levelet sem. A feladó meg nem kap NDR-t, a levél megy a nagy nihilbe nyaralni. Volt már, hogy emiatt csúszott le egy pályázatról...

Nem is tudom, van-e olyan _normális_ email szolgáltatás manapság itthon, ami korrekt levelezést nyújt bárkinek - akár havidíj ellenében is. Illetve tudom, hogy van, mert sokan foglalkoznak ilyennel, de mint "nagy szolgáltató" van ilyen a piacon?
--
PtY - www.onlinedemo.hu

Amig hasznaltam, a vipmaillel, illetve kesobbi utodaval az indamaillel nem volt soha gondom, ha telt a kvota vagy jart le a cim, az alternativ cimemre mindig jott az ertesito level. Raadasul a VIP elerheto volt IMAP-on is, amit akkoriban nem sok szolgaltato tudott elmondani magarol.

Mostanaban teljesen atalltam GMailre, de elsosorban azert, mert annak jobban tetszik a webes felulete. Technikai problemam soha nem volt a VIP/Indamaillel, soha nem fordult elo olyan problema, hogy akar csak felmerult volna a valtas otlete amiatt.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

"Sajnos a reject_non_fqdn_helo_hostname-t igy muszaj kivenni, mert a Windows keptelen FQDN nevet kitalalni maganak."
Szerintem ezt nem godoltad át. Exchange alatt be lehet szépen állítani, hogy mit helo-zzon, ha kifelé nyit kapcsolatot, és be lehet oda tenni a külső dns gépnevet jól, ami ekvivalens az mx reverse-ével (feltéve, ha ott megy ki, ahová az MX mutat).
--
PtY - www.onlinedemo.hu

Ki beszelt itt Exchange-rol? Windowsrol beszeltem. Peldaul Outlook nagyon szepen tud ilyenen elhasalni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

He?
Mi köze a MUA-nak ahhoz, hogy mit helo-znak egymásnak a szerverek?
Nehogy már a klienst akard megfelelő hel-hoz kötni, mert ha ezt Te komolyan gondoltad, akkor meséld már el, hogy egy mobiltelefonos mail kliens esetén hogyan állítod be, hogy mit helo-zzon a szervernek. Szeretnék erről egy szép leírást kapni, ha nem baj... :)
A fenti restriction ugyanis szerverek közti kommunikációra vonatkozi. És mivel Windowst említettél, van egy olyan érzésem, hogy nem a qmail vagy az exim lesz a befutó, de még csak nem is a postfix, és főleg nem a sendmail...
Arról nem is beszélve, hogy ha Outlook - és nem OE - akkor 99%, hogy exchange-dzsel beszélget, és nem smtp-n, hanem x400-on, ahol még helo se nem van.
--
PtY - www.onlinedemo.hu

Kicsit tevedesbe vagy. Az SMTP eseteben nincs olyan kulonbseg, hogy MUA meg MTA. Ha az Outlook SMTP-n keresztul levelet akar feladni egy szervernek, pont ugyanazt az SMTP protokollt beszeli, mint a szerverek, mert az SMTP NEM kulonbozteti meg a klasszikus ertelemben vett szervert es klienst - mindenki, aki hozza kapcsolodik: kliens, mindenki akihez o kapcsolodik: szerver. Az SMTP protokoll ilyen egyszeru.

A fenti restriction annyit csinal, hogy az SMTP kliensek (tehat az adott Postfix instance-hoz kapcsolodo, SMTP protokollt beszelo hostok) szamara megkoteseket ad a HELO parancs parametereul atadott hostnevet illetoen. Ez a beallitas mind az adott Postfix szerverhez kapcsolodo Outlook, Outlook Express, Thunderbird, The Bat, stb. levelezokliensre, mind az ugyanezen szerverhez kapcsolodo mas Postfix, Exchange, GroupWise, Zimbra, Lotus Notes szerverekre vonatkozik, sot, meg a PHPMailer-ekre is, amennyiben azok SMTP-vel kommunikalnak.

Exchange kornyezetben az Outlook pedig nem X400-zal beszelget, hanem MAPI-n keresztul, ami folyhat RPC es RPC over HTTP protokollok felett. Az X400 - ha mar elojott - egy cimzesi fajta (olyasmi, mint az e-mail cim), rajta semmilyen kommunikacio folyni nem tud, mert nem ilyen jellegu protokollrol beszelunk.

Innentol nem tudom ertelmezni a valaszodat.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Úgy van, viszont a user restriction-nek semmi köze a helo-hoz, mert azt vagy ip alapon engeded, vagy auth alapon.
Azt, hogy Te egy MUA-t akarsz szabályos helo-ra kötelezni, hülyeség. De meszéld el, hogy pl. androidon hogyan állítod be, hogy mit helo-zzon a kliens!

Az X400-zal kapcsolatban igazad van. A protokoll az mapi.
--
PtY - www.onlinedemo.hu

Az smtpd_helo_restrictions viszont nem user restriction. Nem igazan ertem, hogy mi mellett/ellen ervelsz. Azt mondom, hogy a smtpd_helo_restrictions sokkal korabban matchel le, minthogy barmilyen authentikacio megtortenhetne, ez ugyanis elvben a HELO parancsra adott valaszkod meghatarozasara hivatott. Ha es amennyiben ide felvesszuk a permit_sasl_authenticated szabalyt, akkor maga a hibajelzes csak authentikalas utan megy ki - legalabbis elvben. Viszont a smtpd_helo_restrictions -t a legtobbszor azert celszeru beallitani, hogy a sok spammer mar a HELO parancsra se kaphasson 250-es reakciot. Ezt eldelayezni az authentikacio utanra felesleges eroforraspazarlasnak erzem.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Idézet:
A fenti restriction annyit csinal, hogy az SMTP kliensek (tehat az adott Postfix instance-hoz kapcsolodo, SMTP protokollt beszelo hostok) szamara megkoteseket ad a HELO parancs parametereul atadott hostnevet illetoen. Ez a beallitas mind az adott Postfix szerverhez kapcsolodo Outlook, Outlook Express, Thunderbird, The Bat, stb. levelezokliensre, mind az ugyanezen szerverhez kapcsolodo mas Postfix, Exchange, GroupWise, Zimbra, Lotus Notes szerverekre vonatkozik, sot, meg a PHPMailer-ekre is, amennyiben azok SMTP-vel kommunikalnak.

http://hup.hu/node/127648#comment-1658088

Te írtad, és még ennél feljebb is MUA-val példálózol...
--
PtY - www.onlinedemo.hu

Na igen, kb. 5 napja nekem is jon egy adag az egyik domainemre. Mondjuk eszre sem lehetne venni, viszont az egyik program, amit szoktam futtatni, az a mail.log- ot parse- olja. Eddig egy pillanat alatt vegzett, vagy legalabbis masodpercen belul, de most meg jo sok. Meg is merem:

real    0m44.254s
user    0m38.206s
sys     0m1.392s

. Valaki igazan lelohetne mar ezeket a spammelos gepeket :- ).

Úgy tűnik, megállt, nem jön már ilyen egy sem.
Amíg jött, addig a statisztikák szerint egy nap kb 160.000 db spam érkezett.

+1
http://cvk.hu/kep/spam-vege-stat.jpg
Ősszel hullanak a levelek rendesen ;-)

Hétfőn utalják a botnetnek az újabb kampány árát :D

te tudsz valamit. ma reggelre ujraindult, most a bodyban a 'consult-hungary.com' -ra lehet szurni.

+1

:)

Munkaköri kapcsolataim között van egy srác aki egyik ügyfelemnek csinál mindenfélét, pl spamelnek is.
Srác mesélte, hogy mit szokás csinálni egy pár milliós cím listával.

Külföldi szerverekről mindenféle kamuleveleket küldöznek szét. A válaszok alapján kiszűrik a nem létező maileket illetve a problémás fenyegetőző embereket.

A végére marad egy pár százezres lista amire már bátrabban tud küldeni valódi tartalmat.

Biztos vagyok benne, hogy ez a nagy áradat is ilyen. Egy csomó generált feladó név és spambe nem illő tartalom. Pl álláshirdetés olyan munkára amire lenne 2000 jelentkező ha kitennék express-re.

azert abban a par szaz k-s listaban is boven maradnak olyan cimek, amiert felkerul a magyar spammerre...

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

lehet. ő azt mesélte, hogy minden egyes levéllel külön foglalkozott, kb 1 év alatt lett leszűrve az egész.

Gondolom folyamatosan nézte a blogodat is és hamar kikerültek a spamjei a szűrés alatt.
1-2 témát tudok, hogy miben küldözget levelet és egyiket se láttam még visszaköszönni sehol, szal nem kezdő asszem.

Egy NMHH bejelentés legalább 10 újabb ősz hajszál és 2 kávé - egy fél "műszak".
Magyar spammer!? Köszönöm... de mit érek vele?

Komolyan, én érzem már kellemetlenül magamat, hogy SPAM témában ilyen magasra került az ingerküszöböm. De ha nagyon felidegelnek, akkor whois küldő_ip és tiltom kifele egész tartományt, erről meg küldök levelet az abuse@isp -re és szóljanak, ha lelőtték a spammert.
De most komolyan!? Egyszerűen nincs semmid, amivel elérhetnél bármit is... :/

Hét vége felé már lecsengőben volt.

http://solaris.unsoft.hu/~ventura/spam.png

Fedora 19, Thinkpad x61s

A *@..ailkampany.hu címet szűritek vagy átengeditek?

egy indirekt megoldas lehet a levelszerveren futtatva:

tcpdump -n "src net 192.168.1.128/25 and dst port 25 and dst host 192.168.1.1"

ejszaka otthagytam (ekkor human ugysem fog elevelet kuldeni bentrol). reggelre egy ip volt az alhalobol (192.168.1.128/25) amelyik folyamatosan kereste a 25-os portot a mailszerveren (192.168.1.1).

Erdemes file-ba gyujteni es azon keresni ip-ket gyakorisag szerint.

igazabol arra lenne'k kivancsi hogy oke hogy kinalati oldalon po"ro"g a spam piac, de erre van kereslet is? mege'ri egyatalan ezeknek? mi a pozitiv reakciora'ta, ezt lehet tudni...?

az tapasztalat hogy bizonyos szolgaltatok (vagyis konkretan egy adott egyetem) blokkol egy komplett ip-t es/vagy a hozza kapcsolodo vlan-t, ha valaki egyatalan valaszol egy ilyenre (azaz a tuzfal es az mx ugyanazon illeto"se'g kezele'se alatt fut), technikailag tehat a valaszokat blokkolni relative konnyu" (es a hulyekrol is lehet csinalni statisztikat).

Tudomásom szerint kevés az a spam nemzetközi szinten, ami valóban arról szól hogy vegyél viagrát, meg nike cipőt, a legtöbb ilyen levél arra megy ki, hogy xy dolgot telepítsenek/legalábbis ideig óráig futassanak a gépedre, bankkártya adatokat lopva, keyloggolva, ddosra használva, stb, stb.
Abból viszont tutira van pénzük gondolom, így megérheti nekik jócskán.

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

+1
A link a lényeg a levélben, nem a tartalom :)
--
PtY - www.onlinedemo.hu

Igen, tobbfele kategoria van, az biztos. De a temanyito konkretan se nem az egyik (mezei spam) se nem a masik (keylogger, zombihaloepito). Szoval ehhez _valaszolni_ kell egy emailre, adatot kuldeni, stb, szoval magasszintu" interakciot igenyel. De a legfontosabb hogy mindezekelott nagyon hulyenek kell lenni. Ha ugy vesszuk, me'g hulyebbnek mint az 1bites (nem feltetlenul hulye, csak tudatlan) windoz juzer aki raklikkol a "bank" attachmentje're. Mert ezutobbi kabe me'g veletlen is lehet, amilyen "felhasznalobaratok" azok a programok. De egy olyasmi emailre mint amit a temaindito kollega is felvett, eleg komplexen kell hu"lye'nek lenni...

ami valóban arról szól hogy vegyél viagrát, meg nike cipőt,

nekem miert nem jonnek ilyen spamek? Ugy ertem a sportcipos, ehehe :-)

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

Ha adsz egy címet, csinálok rá egy rulet szívesen az eximben :DDD

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

LOLkabolka@localhost.localdomain :-)

--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)

LOLcalhost.LOLcaldomain jobb lett volna :)
--
PtY - www.onlinedemo.hu

Első gondolatom ez volt :)

@@
"You can hide a semi truck in 300 lines of C."

Sőt, a karantén helyett átlőjük oda az összeset - persze előtte az rbl checket kikapcsoljuk, hogy kapj bőven :D
--
PtY - www.onlinedemo.hu

Nekem ő az idei best of, Gmail sem kukázta automatikusan:

Feladó: Tündéri Csillámrénszarvas
Tárgy: 1 olvasatlan üzeneted van a Mikulástól! Fontos!

Tedd gazdagabbá a karácsonyt!

Válaszold meg a napi kérdést és játssz a naponta megnyerhető
akár 100 000 Ft értékű ajándékutalványért!

Kibontom az ajándékdobozomat!

Tudd meg jó voltál-e idén?

Regisztrálj a játékba, és azt is megtudhatod, hogy barátaid szerint jó voltál-e az idén.

Hozzád melyik figura illik?
...

Ömlik a spam... megint... viszont most csak egy domainre, példa:

aslkdj7ad@peldadomain.hu

és hasonló generált fióknevekkel és csak a peldadomain.hu ra, de óránként tízezres mennyiségben.
Meg lehet ezt valahogy akasztani a spamszűrő előtt? A domainhez csak két működő fiók van, valami szűréssel elevel el kéne dobni a

leveleket.

tipp?

ha egy cim mogott nincs postafiok, azt eldobja az mta.
ennel kevesebb eroforrassal nem mukodik mas megoldas :D)

ha az mta megsem dobja el a "generaltcim@peldadomain.hu" -t, akkor esetleg a virtusertablebol - vagy annak helyi megfelelojebol - ki kellene iktatni a
@peldadomain.hu -> 'idejohetminden@peldadomain.hu
bejegyzest.

köszönöm, ötletet adtál!
ránéztem, és az user úgy állította be, hogy minden unrouted levelét átirányította egy másik domainje default fiókjába.
jajjj:D
úgy tűnik, ez megoldódott.

de vajon miért küldenek az egyik domainjére tízezerszám spam-et, ez még rejtély.

Mert az új funfactory az, hogy a visszapattanó levelekkel bombázzák az embereket;)


// Happy debugging, suckers
#define true (rand() > 10)

Érdekes, egy DB NDR-t nem kaptam. Ellenben a karanténom tele van magyar spammel, ami hamisított feladóval, hibás kódolással jön különféle feladóktól.
Szerintem ez egy magyarosított (szarul) spambot, ami a feladót a címlistából veszi, és ahol nem jól beállított spamfilter van, onnan az NDR már a hamisított feladóhoz megy vissza.
--
PtY - www.onlinedemo.hu