Sziasztok!
Egy idióta ma eddig 200 db spam-et küldött (és már több napja csinálja, több ezer spam-et küldött, csak most vettem észre, akik a levelet kapták, meg nem szóltak.) A levelező szerver egy postfix, ilyen címekről jönnek a spam-ek:
RCPT from punch.forsurenot.com[178.128.41.237] from=lengyelpnnabfkmaria#kukac#elgomall.icu helo=twelve.elgomall.icu
RCPT from committee.pishgamanapb.com[159.203.173.137] from=angelikanyzzzcs#kukac#vogiaphuc.icu helo=spade.vogiaphuc.icu
RCPT from committee.pishgamanapb.com[159.203.173.137] from=nandorkfgmrxf#kukac#vogiaphuc.icu helo=crib.vogiaphuc.icu
RCPT from oval.wegesha.com[159.65.165.2] from=lengyelgzcekzmabel#kukac#vasavipg.icu helo=crayon.vasavipg.icu
RCPT from oval.wegesha.com[159.65.165.2] from=kiskxxcjqmadrienn#kukac#vasavipg.icu helo=grandiose.vasavipg.icu
Az "RCPT from" az elég változatos.
A "from", ami kb így néz ki: "valaki#kukac#blablabla.icu", mindig más, de most úgy látom, hogy egy IP címre mutat, minden esetben:
PING mistiquebd.icu (185.207.8.14) 56(84) bytes of data.
64 bytes from 185.207.8.14: icmp_seq=1 ttl=59 time=0.744 ms
Ha megnézem dig-el ezt a domaint:
dig any mistiquebd.icu
; <<>> DiG 9.10.3-P4-Debian <<>> any mistiquebd.icu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43464
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mistiquebd.icu. IN ANY;; ANSWER SECTION:
mistiquebd.icu. 20097 IN A 185.207.8.14
mistiquebd.icu. 20097 IN NS ns1.reg.ru.
mistiquebd.icu. 20097 IN NS ns2.reg.ru.
mistiquebd.icu. 20097 IN SOA ns1.reg.ru. hostmaster.ns1.reg.ru. 1548957643 14400 3600 604800 10800
mistiquebd.icu. 20097 IN TXT "v=spf1 a mx ip4:178.62.50.234 ~all";; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Feb 03 16:35:28 CET 2019
;; MSG SIZE rcvd: 195
a reg.ru a DNS szerver.
Most a postfix-ben az smtpd_sender_restrictions-be betettem a check_sender_access ellenőrzést, amivel kitiltottam az ICU és az INFO végű küldőket, ezzel (szerintem átmenetileg) megszűnt a levéláradat:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service unix:private/policyd-spf
smtpd_sender_restrictions = warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/sender_access
smtpd_data_restrictions = reject_unauth_pipelining
a sender_access fájl:
icu REJECT
info REJECT
Esetleg tud valaki javasolni egy jobb megoldást? Jó lenne, ha már idáig (esetleg a postfix-ig) se tudna bejönni ez a spam-elő. Jó lenne valami biztosabb megoldás, mint az ICU, és a INFO TLD kitiltása.
Másik kérdés: a G-suite-ot ismeri valaki? Ha előfizetek a havi 4 EUR-os 1 useres csomagra, ás átrakom oda a levelezést, akkor ott minden ilyen szutyok a spam mappába kerül majd? (a gmail esetén is elég jó a spam szűrés) Illetve van valakinek rossz/jó tapasztalata vele? Egy kis céges levelezésről van szó, 2-5 (normális) levél naponta, egy fiók. Ha a G-suite jó lehet, akkor lehet, nem szívnék a postfix-el, meg a ...nagyon nem szalonképes jelzők helye... spam-előkkel.
Előre is köszönöm
- 965 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Köszi, erről lemaradtam. Pont ez a problémám, ez a bejegyzés szerintem megoldja majd. Köszi szépen.
- A hozzászóláshoz be kell jelentkezni
Megoldásnak látnám (ahogy az előző bejegyzésben is írták) egy milter-el kiszűrni azokat, ahol a feladóhoz a domain nev-et a reg.ru-nál regisztrálták, de nem találok erre példát. (mármint nem állnék neki miltert írni python-ban, vagy c-ben, stb...) Van erre egyszerű megoldás?
- A hozzászóláshoz be kell jelentkezni
https://hup.hu/node/155731?comments_per_page=9999#comment-2298455
--
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
Köszi
- A hozzászóláshoz be kell jelentkezni
Remélem nem elhamarkodva írom, de ez lett/lesz a megoldás:
Ha jól értettem a doksit, akkor a check_sender_ns_access szűrés pont azt csinálja, hogy névszerverre lehet szűrni:
smtpd_sender_restrictions = warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, check_sender_ns_access hash:/etc/postfix/sender_ns_access
A sender_ns_access-be ezt írtam:
reg.ru REJECT
Ezzer nem csak az ICU-s címeket szűröm le, hanem sok más szutykot is, ahogy nézem a meglévő leveleket.
Remélem működni fog.
- A hozzászóláshoz be kell jelentkezni