Nagyon sok spam

 ( dlaszlo | 2019. február 3., vasárnap - 17:58 )

Sziasztok!

Egy idióta ma eddig 200 db spam-et küldött (és már több napja csinálja, több ezer spam-et küldött, csak most vettem észre, akik a levelet kapták, meg nem szóltak.) A levelező szerver egy postfix, ilyen címekről jönnek a spam-ek:

RCPT from punch.forsurenot.com[178.128.41.237] from=lengyelpnnabfkmaria#kukac#elgomall.icu helo=twelve.elgomall.icu
RCPT from committee.pishgamanapb.com[159.203.173.137] from=angelikanyzzzcs#kukac#vogiaphuc.icu helo=spade.vogiaphuc.icu
RCPT from committee.pishgamanapb.com[159.203.173.137] from=nandorkfgmrxf#kukac#vogiaphuc.icu helo=crib.vogiaphuc.icu
RCPT from oval.wegesha.com[159.65.165.2] from=lengyelgzcekzmabel#kukac#vasavipg.icu helo=crayon.vasavipg.icu
RCPT from oval.wegesha.com[159.65.165.2] from=kiskxxcjqmadrienn#kukac#vasavipg.icu helo=grandiose.vasavipg.icu

Az "RCPT from" az elég változatos.
A "from", ami kb így néz ki: "valaki#kukac#blablabla.icu", mindig más, de most úgy látom, hogy egy IP címre mutat, minden esetben:

PING mistiquebd.icu (185.207.8.14) 56(84) bytes of data.
64 bytes from 185.207.8.14: icmp_seq=1 ttl=59 time=0.744 ms

Ha megnézem dig-el ezt a domaint:

dig any mistiquebd.icu

; <<>> DiG 9.10.3-P4-Debian <<>> any mistiquebd.icu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43464
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mistiquebd.icu. IN ANY

;; ANSWER SECTION:
mistiquebd.icu. 20097 IN A 185.207.8.14
mistiquebd.icu. 20097 IN NS ns1.reg.ru.
mistiquebd.icu. 20097 IN NS ns2.reg.ru.
mistiquebd.icu. 20097 IN SOA ns1.reg.ru. hostmaster.ns1.reg.ru. 1548957643 14400 3600 604800 10800
mistiquebd.icu. 20097 IN TXT "v=spf1 a mx ip4:178.62.50.234 ~all"

;; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Feb 03 16:35:28 CET 2019
;; MSG SIZE rcvd: 195

a reg.ru a DNS szerver.

Most a postfix-ben az smtpd_sender_restrictions-be betettem a check_sender_access ellenőrzést, amivel kitiltottam az ICU és az INFO végű küldőket, ezzel (szerintem átmenetileg) megszűnt a levéláradat:

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service unix:private/policyd-spf
smtpd_sender_restrictions = warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/sender_access
smtpd_data_restrictions = reject_unauth_pipelining

a sender_access fájl:

icu REJECT
info REJECT

Esetleg tud valaki javasolni egy jobb megoldást? Jó lenne, ha már idáig (esetleg a postfix-ig) se tudna bejönni ez a spam-elő. Jó lenne valami biztosabb megoldás, mint az ICU, és a INFO TLD kitiltása.

Másik kérdés: a G-suite-ot ismeri valaki? Ha előfizetek a havi 4 EUR-os 1 useres csomagra, ás átrakom oda a levelezést, akkor ott minden ilyen szutyok a spam mappába kerül majd? (a gmail esetén is elég jó a spam szűrés) Illetve van valakinek rossz/jó tapasztalata vele? Egy kis céges levelezésről van szó, 2-5 (normális) levél naponta, egy fiók. Ha a G-suite jó lehet, akkor lehet, nem szívnék a postfix-el, meg a ...nagyon nem szalonképes jelzők helye... spam-előkkel.

Előre is köszönöm

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Köszi, erről lemaradtam. Pont ez a problémám, ez a bejegyzés szerintem megoldja majd. Köszi szépen.

Megoldásnak látnám (ahogy az előző bejegyzésben is írták) egy milter-el kiszűrni azokat, ahol a feladóhoz a domain nev-et a reg.ru-nál regisztrálták, de nem találok erre példát. (mármint nem állnék neki miltert írni python-ban, vagy c-ben, stb...) Van erre egyszerű megoldás?

Köszi

Remélem nem elhamarkodva írom, de ez lett/lesz a megoldás:

Ha jól értettem a doksit, akkor a check_sender_ns_access szűrés pont azt csinálja, hogy névszerverre lehet szűrni:

smtpd_sender_restrictions = warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, check_sender_ns_access hash:/etc/postfix/sender_ns_access

A sender_ns_access-be ezt írtam:

reg.ru REJECT

Ezzer nem csak az ICU-s címeket szűröm le, hanem sok más szutykot is, ahogy nézem a meglévő leveleket.

Remélem működni fog.