Postfix spam kérdés

Spam, Adathalászat

Üdv!
Van egy C6x VPS szerver postfix+amavis+postgrey+www működik rajta (egy domaint kezel, 3 postafiókkal).
A postfix a publikus és 127.0.0.1-en engedi a kapcsolódást (mynetworks opció).

Ilyen üzeneteket kap a root pl.:
-----------------------------------------------------------
If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

: host mx002.vodafonemail.xion.oxcs.net[157.97.76.175]
refused to talk to me: 421 4.2.1 HELO fqdn needs a public DNS record OX_202

vagy:

: host mx-eu.mail.am0.yahoodns.net[212.82.101.46] said:
421 4.7.0 [TSS04] Messages from 84.21.7.117 temporarily deferred due to
user complaints - 4.16.55.1; see
https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM
command)
------------------------------------------------------------

Ezek most a "domain" nevében küldenek (pl. info @ domain.hu) és a hibaüzenetet kapja meg a C6 szerver?

Milyen opció beállítása lenne még praktikus?

A main.cf:

# postfix config file

# uncomment for debugging if needed
#soft_bounce=yes

# postfix main
mail_owner = postfix
setgid_group = postdrop
delay_warning_time = 4

# postfix paths
html_directory = no
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
queue_directory = /var/spool/postfix
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man

# network settings
inet_interfaces = all
mydomain = domain.hu
myhostname = domain.hu
mynetworks = $config_directory/mynetworks
mydestination = $myhostname, localhost.$mydomain, localhost
relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains_maps.cf

# mail delivery
recipient_delimiter = +

# mappings
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
transport_maps = hash:/etc/postfix/transport
#local_recipient_maps =

# virtual setup
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf,
regexp:/etc/postfix/virtual_regexp
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_minimum_uid = 101
virtual_uid_maps = static:101
virtual_gid_maps = static:12
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# debugging
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

# authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
# Change mail.example.com.* to your host name
smtpd_tls_key_file = /etc/pki/tls/private/domain.hu.key
smtpd_tls_cert_file = /etc/pki/tls/certs/domain.hu.crt
# smtpd_tls_CAfile = /etc/pki/tls/root.crt

# rules restrictions
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
# black and whitelist
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
smtpd_recipient_restrictions = permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_policy_service unix:postgrey/socket,
# uncomment for realtime black list checks
# ,reject_rbl_client zen.spamhaus.org
# ,reject_rbl_client bl.spamcop.net
# ,reject_rbl_client dnsbl.sorbs.net
permit

smtpd_helo_required = yes
unknown_local_recipient_reject_code = 550
disable_vrfy_command = yes
smtpd_data_restrictions = reject_unauth_pipelining

# Other options
# email size limit ~20Meg
message_size_limit = 20480000
mailbox_size_limit = 104800000
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
sample_directory = /usr/share/doc/postfix-2.6.6/samples
data_directory = /var/lib/postfix

# 2017.08.19:
# header_checks: default -> empty
# /regex_pattern/ ACTION
#
header_checks = regexp:/etc/postfix/header_checks

  • 2938 megtekintés

( golgota | 2018. 08. 03., p – 10:05 )

Nem ertek annyira hozza, de a hibauzenetek alapjan visszadobta az elso szerver a connection requestet, mondvan, hogy nem tudja visszaoldani az IP-t amirol konnektaltak hozza gondolom. DNS-ben minden rendben van az MX-re, PTR-re?

A masodik akar lehet ugyanez, mivel az ilyen eleg suspicious.

( stra | 2018. 08. 03., p – 10:12 )

"Ezek most a "domain" nevében küldenek (pl. info @ domain.hu) és a hibaüzenetet kapja meg a C6 szerver?"
A legelső kérdés az, hogy mit láttál a logban, illetve mit láttál a kapott levél fejlécében.

A második az, hogy megértetted-e a hibaüzenetet.
"HELO fqdn needs a public DNS record OX_202":
A "soma" nem létezik a DNS szerint. DNS alapján "mail" a szerver neve.

"https://help.yahoo.com/kb/postmaster/SLN3434.html?guccounter=1", "Yahoo is seeing unusual traffic from your IP address and/or that emails from your mail server are generating complaints from Yahoo Mail users.":
Vélhetőleg te próbálsz küldeni. Jaítsd a DNS-t, utána nézd meg, elvileg az első meg fog javulni, utána térj vissza a Yahoora.

( FoREE | 2018. 08. 03., p – 10:23 )

Két külön típusú hibaüzenetet írtál.

Az elsőnél valami dns beállítási gond van. A szervered nem interneten feloldható címmel (fqdn) mutatkozik be a fogadó smtp szervernek. A myhostname gondolom nem domain.hu, hanem a tényleges szervernév, állítsd be oda azt, ami mx rekordként be van állítva a domainedben (ez a mail.m-xxxx.hu).

A második üzenet valószínűleg azért van, mert az IP címed a barracuda-nál feketelistán van. http://www.barracudacentral.org/lookups Persze lehet más oka is a "user complaint" nek.

( sj | 2018. 08. 03., p – 12:55 )

1. korben azt neznem meg, hogy kuldtel levelet a yahoo fele? Mert ha nem, akkor nem csak te vagy a seriff a varosban...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

( makgab v | 2018. 08. 05., v – 21:01 )

sziasztok!
bocs, csak nem vagyok net közelben...
DNS módosítva (+hostname).

Két kérdés?
* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?
* A DNS-ben MX, PTR esetén mire figyeljek? A MX a levelezéshez kell, a PTR meg a reverse lookup-hoz kell. Ezek jók, be vannak állítva.

* Melyik realtime blacklist-et használjátok spamszűrésre mostanság?

* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?

default nem tudnak, de te el tudod cseszni a beallitasokat (valtozatos helyeken), hogy aztan meg de...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

* A postfix-ben melyik beállítás engedi/tiltja, hogy a szerveren keresztül ne tudjanak relay-elni (levelet továbbítani - forward)?

main.cf:

mynetworks
relay_domains
virtual_mailbox_domains

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated

smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks

Ezek mondják meg a Postfixnak, hogy milyen kliensektől fogad el és küld tovább (outgoing) emailt.

--
Professional IT Services - Informatikai tanácsadás és outsourcing
www.professional-it-services.hu

( makgab v | 2018. 08. 13., h – 11:21 )

Melyik spam listát használjátok postfix-hez?
Pl.

...
reject_rbl_client zen.spamhaus.org
reject_rbl_client bl.spamcop.net
reject_rbl_client dnsbl.sorbs.net
...

Ezeket v. van még jól használható spamlista?

( makgab v | 2018. 09. 15., szo – 07:35 )

Hogy lehet védekezni a nevemben küldött spam ellen?
A DNS-ben a TXT/SPF rekordot kell beállítani?

Ezt lehet/kell korrigálni?:

v=spf1 ip4:1.2.3.4 include:mydomain.com ~all

SPF (melyik szerverről vegyen át a te domainedről küldött levelet), DKIM (milyen publikus kulccsal vannak aláírva a levelek, amik tényleg átmentek a te szervereden - lásd opendkim), DMARC (mi a francot kezdjen a távoli szerver, ha az SPF/DKIM fail, és kinek reportolja, hogy SPF/DKIM fail volt), ill. ha standard lesz belőle és elterjed, akkor ARC (kiken ment át és mit piszkáltak bele - lásd openarc).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Alapbeállításon szerintem egyik MTA sem nézi, de a nagyoknál be van állítva, ami sajnos-nemsajnos (szerintem előbbi...) a mail/spam forgalom nagy részét jelenti...

Fentebb már írták, hogy az include-al óvatosan (egyrészt plusz terhelést adsz a fogadóoldalnak, akinek további rekordokat kell lekérnie/feldolgoznia, másrészt így a mydomain.hu és a mail.myisp.hu bármikor lábon tud lőni téged [szerk.: az include egyébként leginkább arra van, hogy ha mondjuk csinálsz egy hirlevélre használt subdomaint, amit át akarsz adni a hírlevélküldő szolgáltásodnak, akkor ott tudj egy include-ot csinálni és ne kelljen folyton követnem, ha felvesznek egy új IP-t...]). Soft faillel szintén óvatosan, nagyon nincs definiálva, hogy az mit is jelent és mindenki máshogy értelmezi... én azt tenném rá, akiben nem bízom ugyan, de tudom, hogy átmehet rajta levelem, az all-t pedig hard failre.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

az include-al óvatosan (egyrészt plusz terhelést adsz a fogadóoldalnak, akinek további rekordokat kell lekérnie/feldolgoznia, másrészt így a mydomain.hu és a mail.myisp.hu bármikor lábon tud lőni téged

ezen felul is van meg hatranya az spf-nek. En inkabb a dkim-et ajanlom...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol