Exim4 spam / nem létező feladóról

Sziasztok,

Van egy ősi örökölt exim4 szerverem, ami 2 napja elkezdett furcsán viselkedni. Egy eléggé bekorlátozott szerver ez,  Csak engedélyezett címekre és címekről fogad el levelet.  A problémám az, hogy van 1-2 domain aminek korlátlan küldő/fogadó címe van (FROM *@szerverem.hu TO *@*, befele ugyanez csak forditva).

Mainlog:

2020-03-04 12:49:55 no host name found for IP address 176.196.240.34
2020-03-04 12:49:57 H=(mail.szerverem.hu) [176.196.240.34] F=<urrmazsoy@szerverem.hu> rejected RCPT <js.jurandir@bol.com.br>: REJECTED.
2020-03-04 12:49:57 unexpected disconnection while reading SMTP command from (mail.szerverem.hu) [176.196.240.34]

 

2020-03-04 13:05:16 no host name found for IP address 93.174.163.252
2020-03-04 13:05:19 H=(mail.szerverem.hu) [93.174.163.252] F=<kjskvwqzca@szerverem.hu> rejected RCPT <jose.mario@arcitech.com.br>: REJECTED.
2020-03-04 13:05:19 unexpected disconnection while reading SMTP command from (mail.szerverem.hu) [93.174.163.252]
2020-03-04 13:05:20 no IP address found for host 187-19-205-226-tmp.static.brisanet.net.br (during SMTP connection from [187.19.205.226])

Ezek most ezért kerülnek rejectbe, mert kivettem a wildcard szűrést (ezzel megállítva a spam áradatot kifelé). A probléma az, hogy a mail.szerverem.hu DNS bejegyzése egyáltalán nem az, ami a logban látszik (ráadásul látható, minden kérésnél más cim kerül bele. Gondolom ezzel "csapja" be a szűrést).

Természetesen nincs olyan mailboxom hogy kjskvwqzca@szerverem.hu.

Hogy tudom lelőni őket? Nem értek az eximhez...

Hozzászólások

De ez a konfiguráció egy faszság. Ha a szerverem.hu FROM címmel authentikáció nélkül bárhová szeretnél leveleket engedni, az a minimum, hogy ezt konkrét ip címre szűrve engeded csak, nem ilyen idióta módon, hogy ha a FROM-ba ezt írta bárki a nagyvilágban, akkor szélesre tárod a kaput.

Ad 2: be kéne rakni RBL szűrést is, mert ezek a kisköcsögök folyamatosan zizegnek. Nálam ha a kliens ip címe fent van a sbl-xbl.spamhaus.org listán, vagy akár az envelope sender, akár a HELO/EHLO név a dbl.spamhaus.org listán rajta van, akkor azt kapásból elhajtom.

Tudom, nem segít, de mindig csodálattal adózok azon emberek (és főnökeik) bátorsága előtt akik olyasmit üzemeltetnek amihez nem értenek. :D

Ősi, az mit jelent? Frissíted azért folyamatosan?

Több komoly távolról is kihasználható hibát találtak benne az utóbbi időben: CVE-2019-16928, CVE-2019-15846, CVE-2019-10149

Ősi = eldugott szerverszoba sarkában lévő őskövület, amit még az előző versenyző (cég) rakott össze , eddig csak status üzenetek mentek rajta keresztül. Nem én találtam ki, kaptam... Migrálva lesz a közeljövőben, de addig meg kell szerelni.

 

Házon belül Postfixezünk, ahhoz értek is, de az exim nekem mindig is mumus volt. Most utol is ért ezzel a szerverrel...

Hivatásos pitiáner
neut @

Patkoltam rajta,

 

Már odáig eljutunk, hogy minden bejövő smtp kérésre csinál egy dns lookupot. Elsőre nem működött, utána találtam egy ACL-t ami arra szólt, hogy ha egy, az adatbázisban lévő domainről jön kérés, akkor azt localhostnak kezeli és nem authol. Ezt kiirtottam belőle, most ott tartok, hogy

 

2020-03-04 19:05:43 H=sabotage.tenet.odessa.ua (mail.szerverem.hu) [85.238.104.235] F=<unyyyxry@szerverem.hu> rejected RCPT <controladoria@spazioayurveda.net>: REJECTED.

Hivatásos pitiáner
neut @

Megcsíptem:

2020-03-04 19:21:42 H=(mail.szerverem.hu) [116.232.65.218] F=<azvxl@szerverem.hu> rejected RCPT <alan_rockenbach@hotmail.com>: your mail server 116.232.65.218 is in a black list at bl.spamcop.net (Blocked - see https://www.spamcop.net/bl.shtml?116.232.65.218)
2020-03-04 19:21:43 no host name found for IP address 116.232.65.218
2020-03-04 19:21:46 H=(mail.szerverem.hu) [116.232.65.218] F=<hnceerv@szerverem.hu> rejected RCPT <allgayer@paqueta.com.br>: your mail server 116.232.65.218 is in a black list at bl.spamcop.net (Blocked - see https://www.spamcop.net/bl.shtml?116.232.65.218)

 

 drop dnslists = sbl-xbl.spamhaus.org :  bl.spamcop.net
         message = your mail server $sender_host_address is in a black list \
                at $dnslist_domain ($dnslist_text)

 require verify = reverse_host_lookup
         message = your mail server IP address ($sender_host_address) has no reverse DNS PTR hostname

Hivatásos pitiáner
neut @