Rejtélyes SPAM

Web, mail, IRC, IM, hálózatok

Hello,

Lehet h csak nekem rejtély, de nem tudok rájönni, hogy hogyan tudott levelet küldeni ez a rohadék.
Éjjel egykor még elhajtja a postfix 6-kor meg már vígan ontja a spam-et :(.
Olyat is láttam ma du., hogy smtp.customerdomain.hu-nak meg mail.customerdomain.hu-nak hazudja magát.
Ezt abszolút nem értem, mivel lekérdezve az én DNS szervereim a jó ip-t adják vissza.
Konfigon semmit sem változtattam, nem open relay, benne van (remélhetőleg) minden nyalánkság ami postfix, dovecot, amavis háromszögben lehet.
Egyelőre kitiltottam ip-re, de amíg nem tudom mi volt a gond nem vagyok nyugodt.
Ha valakinek lenne ötlete szívesen fogadnám!
Köszi!


Nov 13 01:54:57 myhost postfix/smtpd[22307]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22487]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22490]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22491]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22488]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22489]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:57 myhost postfix/smtpd[22492]: connect from unknown[190.237.40.53]
Nov 13 01:54:57 myhost postfix/smtpd[22492]: NOQUEUE: reject: CONNECT from unknown[190.237.40.53]: 554 5.7.1 : Client host rejected: Access denied; proto=SMTP
Nov 13 01:54:57 myhost postfix/smtpd[22492]: lost connection after CONNECT from unknown[190.237.40.53]
Nov 13 01:54:57 myhost postfix/smtpd[22492]: disconnect from unknown[190.237.40.53]
Nov 13 01:54:58 myhost postfix/smtpd[22307]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22489]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22488]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22490]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22491]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22487]: NOQUEUE: reject: RCPT from rdns-09.meudns06.biz[198.20.69.2]: 554 5.7.1 Service unavailable; Client host [198.20.69.2] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=
Nov 13 01:54:58 myhost postfix/smtpd[22489]: disconnect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:58 myhost postfix/smtpd[22307]: disconnect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:58 myhost postfix/smtpd[22488]: disconnect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:58 myhost postfix/smtpd[22491]: disconnect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:58 myhost postfix/smtpd[22490]: disconnect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 01:54:58 myhost postfix/smtpd[22487]: disconnect from rdns-09.meudns06.biz[198.20.69.2]

Nov 13 06:08:22 myhost postfix/smtpd[23056]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:22 myhost postfix/smtpd[23653]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:22 myhost postfix/smtpd[23652]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:22 myhost postfix/smtpd[23650]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:22 myhost postfix/smtpd[23654]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:22 myhost postfix/smtpd[23651]: connect from rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/smtpd[23056]: 284E3BF84: client=rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/smtpd[23654]: 2D271BF90: client=rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/smtpd[23653]: 315FFBF91: client=rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/smtpd[23650]: 36652BF92: client=rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/smtpd[23651]: 3A8BBBF93: client=rdns-09.meudns06.biz[198.20.69.2]
Nov 13 06:08:23 myhost postfix/cleanup[23507]: 284E3BF84: message-id=<20141113050823.284E3BF84@myhost.mydomain.hu>
Nov 13 06:08:23 myhost postfix/cleanup[23655]: 2D271BF90: message-id=<20141113050823.2D271BF90@myhost.mydomain.hu>
Nov 13 06:08:23 myhost postfix/cleanup[23656]: 315FFBF91: message-id=<20141113050823.315FFBF91@myhost.mydomain.hu>
Nov 13 06:08:23 myhost postfix/qmgr[25082]: 315FFBF91: from=, size=1089, nrcpt=1 (queue active)
Nov 13 06:08:23 myhost postfix/qmgr[25082]: 2D271BF90: from=<9gfhaqi@customerdomain.hu>, size=1090, nrcpt=1 (queue active)
Nov 13 06:08:23 myhost postfix/qmgr[25082]: 284E3BF84: from=
, size=1090, nrcpt=1 (queue active)
Nov 13 06:08:24 myhost postfix/cleanup[23657]: 36652BF92: message-id=<20141113050823.36652BF92@myhost.mydomain.hu>
Nov 13 06:08:24 myhost postfix/cleanup[23658]: 3A8BBBF93: message-id=<20141113050823.3A8BBBF93@myhost.mydomain.hu>
Nov 13 06:08:24 myhost postfix/qmgr[25082]: 3A8BBBF93: from=, size=1088, nrcpt=1 (queue active)
Nov 13 06:08:24 myhost postfix/qmgr[25082]: 36652BF92: from=, size=1089, nrcpt=1 (queue active)
Nov 13 06:08:28 myhost postfix/smtpd[23663]: connect from localhost.localdomain[127.0.0.1]
Nov 13 06:08:28 myhost postfix/smtpd[23663]: 34E1CBF95: client=localhost.localdomain[127.0.0.1]
Nov 13 06:08:28 myhost postfix/cleanup[23507]: 34E1CBF95: message-id=<20141113050823.315FFBF91@myhost.mydomain.hu>
Nov 13 06:08:28 myhost postfix/smtpd[23663]: disconnect from localhost.localdomain[127.0.0.1]

  • 3236 megtekintés

Rég postfixeztem, de nem lehet, hogy hiányzik egy reject sor minden egyes restricions-os sor végéről? Az más kérdés, hogy elvileg az unauth destination-nek meg kéne fognia, de nem ismerem a pontos viselkédését.

Illetve a B opció, ez véletlenül nem egy exchange előtti postfix? Mert abban az esetben az Exchange-en felvett mail kontaktoknak is lesz smtp: property-je és abban az esetben adott domainek felé elképzelhető, hogy relayez.

( tybie | 2014. 11. 14., p – 07:55 )

nálam is volt ilyen... fail2ban-t beizzítottam azóta nincs :)

( sfeher v | 2014. 11. 14., p – 08:52 )

Megvan. Lyukat ütöttem a pajzson. Találtam egy ilyen sort a sender.regexp-ben

/\.hu/ OK

Így, ha a küldő .hu-s sendernek hazudja magát és amúgy a többi feltételnek megfelel, akkor elveszi a levelet.
:((((.
Köszi mindenkinek!

A permit_sasl_authenticated mindenképp meg kell, hogy fogja.
Az open relayt pedig teszteltem, nem az.
A check_client_access pcre:/etc/postfix/sender.regexp,
-ben azok a gépek vannak felsorolva, akiket tiltólistára raktam vagy megbízhatóak,de nem jó pl. a reverse dns beállításuk, azonbab minden egyéb feltételnek megfelelnek.