Spammer bejelentése -> nksmtpXX.com domain leveleket akar küldeni

 ( redman | 2014. április 23., szerda - 14:39 )

Sziasztok!

A szerver logjában feltűnt, hogy erről a domain-ről nksmtpXX.com (XX helyében egy szám van) és erről az e-mail

címről akar küldeni a szerveren levő domainekre levelet.
Nálatok is jelenkezik ez?
Az ilyet hol lehet bejelenteni?

logrészlet:
Apr 23 14:30:43 szerver postfix/smtpd[13886]: NOQUEUE: reject: RCPT from nksmtp18.com[87.229.59.118]: 450 4.1.7 : Sender address rejected: unverified address: host alt1.gmail-smtp-in.l.google.com[74.125.25.26] said: 450-4.2.1 The user you are trying to contact is receiving mail at a rate that 450-4.2.1 prevents additional messages from being delivered. Please resend your 450-4.2.1 message at a later time. ; from= to= proto=ESMTP helo=

Üdv: redman

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A hozzászólás felszólításra törölve

csak annyira, hogy mar regota iptablessel vagom feketelistara.

Mi ennél kicsit gonoszabbak voltunk és beirányítottuk az összes
SMTP forgalmukat egy Honeypot szerverre. Napjában 10k+ darabot
fogunk tőlük.

Jön tőlük minden mi szemét.

--
http://hwk.hu

Ha jól látom a domain a www.deninet.hu tulajdonában van.
Kéne szólni nekik?

http://www.redphoto.hu

Ez egy feltört gép deninetes IP-vel (whois alapján).

vagy hívd fel őket. Tapasztalatom szerint ritkán olvasnak a szolgáltatók abuse@ leveleket, pedig kéne...

person:         Zoltan Virag
address:        H-1132 Budapest, Victor Hugo u. 18-22.
address:        HU
phone:          +3612960075
fax-no:         +3612960076
nic-hdl:        ZV41-RIPE
abuse-mailbox:  
mnt-by:         DENINET-MNT

--
PtY - www.onlinedemo.hu

Köszi szóltam nekik

http://www.redphoto.hu

Majd tájékoztass, hogy volt-e eredménye! THX
--
PtY - www.onlinedemo.hu

Felhívtam őket, próbáltak egy pöttyet bunkón lepattintani, hogy mit akarok. Erre közöltem, hogy csak jófej akartam lenni, akkor megváltozott a hangnem.
Kérték, hogy küldjek egy e-mailt egy kis loggal.
Küldtem, azóta nincs válasz.
Nálam DROP van az iptables-ben, így nem tudom, hogy most hogy áll az ügy (leállították-e már).

üdv: redman

http://www.redphoto.hu

Sajnos az info@ cimekre nyomjak, azt pedig ugy tudom szabad, hiaba spam :(
Marad a tiltas.

Inf Olivér lehet, hogy nem örülne, ha spammelnék... :)
--
PtY - www.onlinedemo.hu

ez nem egy feltort gep, a 87.229.59.101, 102, 105, 106, 113 is feketelistan van nalam, onnan is visszapattanoemilekxxx@gmail cimmel kuldozgetnek.

Szóval szándékosan spammelnek? Akkor meg NMHH :)
--
PtY - www.onlinedemo.hu

A hozzászólás felszólításra törölve

Az access_sender-be tettem egy szabalyt, ami a fenti kuldotol semmit nem enged be, de nalam 007 volt a cim vege.
Vajon lehet az access_client-ben nksmtp*.com-ra szurni? Ha nem akkor a teljes tartomany tiltva lesz...

van 001, 002... stb. ha jolemlexem 007 volt eddig a teteje.

nksmtp1.com REJECT
nksmtp2.com REJECT
nksmtp3.com REJECT
nksmtp4.com REJECT
nksmtp5.com REJECT
nksmtp6.com REJECT
nksmtp7.com REJECT
nksmtp8.com REJECT
nksmtp9.com REJECT
nksmtp11.com REJECT
nksmtp10.com REJECT
nksmtp12.com REJECT
nksmtp13.com REJECT
nksmtp14.com REJECT
nksmtp15.com REJECT
nksmtp16.com REJECT
nksmtp17.com REJECT
nksmtp18.com REJECT
nksmtp19.com REJECT
nksmtp20.com REJECT
87.229.59.101 REJECT
87.229.59.102 REJECT
87.229.59.103 REJECT
87.229.59.104 REJECT
87.229.59.105 REJECT
87.229.59.106 REJECT
87.229.59.107 REJECT
87.229.59.108 REJECT
87.229.59.109 REJECT
87.229.59.110 REJECT
87.229.59.111 REJECT
87.229.59.112 REJECT
87.229.59.113 REJECT
87.229.59.114 REJECT
87.229.59.115 REJECT
87.229.59.116 REJECT
87.229.59.117 REJECT
87.229.59.118 REJECT
87.229.59.120 REJECT

Mivel gmail.com a feladó SPF rekord alapján is lehet szürkelistával nehezíteni az életét, illetve gmail-re külön szabály is felvehető pl. eximben, hogy ha gmail.com és az SPF nem matchel, akkor állandó defert kapjanak. :)

Nekunk ugy jon, hogy nem a gmail.com a felado, az csak a 'Return-path'.

Return-path: <visszapattanoemailek007@gmail.com>

Hm, nekem a mail from: -ban rémlett, mert egy kisebb bug miatt sikerült ezeket továbbítani gmailre (ha a címzettnek volt továbbítási gmailre persze) és ezt nemigazán szerette a gmail. :)

Legyártottam exim4-hez a lentebb írt SPF fail/softfail esetén defer-t adó szabályt. Ha valakit érdekel:


domainlist enforce_spf_domains = live.com : hotmail.com : gmail.com : deployis.eu : yahoo.com : icloud.com

warn !hosts = +relay_hosts
!authenticated = *
!domains = +relay_domains
set acl_m_spfrun = ${run{/usr/bin/spfquery --ip-address=$sender_host_address --mfrom=$sender_address}{$value}{fail}}
set acl_m_spfrun = $runrc
log_message = SPF result: $acl_m_spfrun

warn condition = ${if eq{$acl_m_spfrun}{0}}
set acl_c_spf = Pass

warn condition = ${if eq{$acl_m_spfrun}{1}}
set acl_c_spf = Fail

warn condition = ${if eq{$acl_m_spfrun}{2}}
set acl_c_spf = SoftFail

warn condition = ${if eq{$acl_m_spfrun}{6}}
set acl_c_spf = None

defer !authenticated = *
log_message = SPF does not match, deferring mail
message = SPF: Please use correct SMTP for $sender_address_domain domain
senders = *@+enforce_spf_domains
condition = ${if or { \
{ eq{$acl_c_spf}{Fail} } \
{ eq{$acl_c_spf}{SoftFail} } \
}{yes}{no}}

defer message = $sender_address has been greylisted, please try later (SPF Fail)
!hosts = +relay_hosts
!authenticated = *
!domains = +relay_domains
condition = ${if eq{$acl_m_spfrun}{1}}
condition = ${readsocket{/var/run/greylistd/socket}\
{--grey $sender_host_address $sender_address \
$local_part@$domain}{10s}{}{false}}

warn !authenticated = *
log_message = SPF match or none, passing through mail
senders = *@+enforce_spf_domains
condition = ${if or { \
{ eq{$acl_c_spf}{Pass} } \
{ eq{$acl_c_spf}{None} } \
}{yes}{no}}

Ez mi? "deployis.eu" Amúgy az outlook.com is mehetne bele

Az a saját domainünk, csak véletlenül maradt benne. :)

A lista természetesen ízlés vagy szükség szerint hangolható. A tippet köszi, felvettem a saját listába.

Szerk: Néhány órája megy és elég sok ilyen kis huncutot megfogott. Fals pozitív még nem volt, de azért nem egy hatalmas mintavételi időszak ez.

Én minden esetben a spamcop.net oldalt használom spam bejelentésre. Az email fejléc és üzenet tartalom alapján küld értesítést az abuse címekre. Bizonyos mennyiségű bejelentés után automatikusan feketelistázzák. Szerintem az egyik legjobb ilyen jellegű project.