Spam, Adathalászat

Gondoltam, szolok: a 95.140.39.0/24 gyakorlatilag csak spammer fergekkel van tele.

95.140.39.21
95.140.39.25
95.140.39.38
95.140.39.40
95.140.39.47
95.140.39.58
95.140.39.68
95.140.39.69
95.140.39.72
95.140.39.78
95.140.39.84
95.140.39.89
95.140.39.108
95.140.39.109
95.140.39.110
95.140.39.111
95.140.39.113
95.140.39.116
95.140.39.131
95.140.39.135
95.140.39.137
95.140.39.141
95.140.39.145
95.140.39.151
95.140.39.159
95.140.39.164
95.140.39.180
95.140.39.191
95.140.39.194
95.140.39.222
95.140.39.230
95.140.39.249

A tukmalt tema oszulesgatlo balzsam, 'profi' kihangosito, serpenyoszett es mas ketes minosegu kinai szar...

Szisztok.
Ma vettem észre hogy szórom a szemetet a vakvilágba.
postfix


postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
inet_interfaces = 127.0.0.1
mailbox_size_limit = 0
mydestination = ******.website, localhost.localdomain, localhost
myhostname = ******.website
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
virtual_alias_maps = hash:/etc/postfix/virtual


A logban csak enyit látok.


Feb 15 08:59:36 szala1 postfix/smtpd[19620]: connect from localhost[127.0.0.1]
Feb 15 08:59:36 szala1 postfix/smtpd[19620]: disconnect from localhost[127.0.0.1]
Feb 15 08:59:36 szala1 postfix/smtpd[19634]: disconnect from localhost[127.0.0.1]
Feb 15 09:01:01 szala1 postfix/smtpd[19620]: connect from localhost[127.0.0.1]
Feb 15 09:01:03 szala1 postfix/smtpd[19634]: connect from localhost[127.0.0.1]
Feb 15 09:01:03 szala1 postfix/smtpd[19634]: disconnect from localhost[127.0.0.1]
Feb 15 09:01:03 szala1 postfix/smtpd[19620]: disconnect from localhost[127.0.0.1]

meg ezt

Feb 15 15:52:02 **** postfix/smtp[21105]: 7E6F1435BE: to=, relay=mx.chinatat.com[211.157.0.67]:25, conn_use=2, delay=61430, delays=61427/2.8/0.28/0.27, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))
Feb 15 15:52:02 ***** postfix/smtp[21108]: 40CBE4375B: to=, relay=mx.chinatat.com[211.157.0.67]:25, conn_use=2, delay=431959, delays=431956/2.8/0.33/0.27, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))
Feb 15 15:52:02 ****** postfix/smtp[21107]: 3E4D8437FB: to=, relay=mx.chinatat.com[211.157.0.67]:25, conn_use=2, delay=368570, delays=368567/2.8/0.3/0.28, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))
Feb 15 15:52:02 ******* postfix/smtp[21103]: EC14B435A6: to=, relay=mx.chinatat.com[211.157.0.67]:25, conn_use=2, delay=338766, delays=338762/2.9/0.28/0.26, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))
Feb 15 15:52:02 ***** postfix/smtp[21109]: EF1014375E: to=, relay=mx.chinatat.com[211.157.0.67]:25, conn_use=2, delay=423428, delays=423424/2.9/0.29/0.27, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))
Feb 15 15:52:02 ***** postfix/smtp[21119]: 88988437B8: to=, relay=mx.chinatat.com[211.157.0.67]:25, delay=393791, delays=393788/2.7/0.8/0.29, dsn=4.7.1, status=deferred (host mx.chinatat.com[211.157.0.67] said: 450 4.7.1 Client host rejected: cannot find your hostname, [188.226.187.11] (in reply to RCPT TO command))


ps -aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.5 36420 5504 ? Ss Jan01 0:10 /sbin/init
root 2 0.0 0.0 0 0 ? S Jan01 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S Jan01 12:32 [ksoftirqd/0]
root 5 0.0 0.0 0 0 ? S< Jan01 0:00 [kworker/0:0H]
root 7 0.0 0.0 0 0 ? S Jan01 8:35 [rcu_sched]
root 8 0.0 0.0 0 0 ? S Jan01 9:27 [rcuos/0]
root 9 0.0 0.0 0 0 ? S Jan01 0:00 [rcu_bh]
root 10 0.0 0.0 0 0 ? S Jan01 0:00 [rcuob/0]
root 11 0.0 0.0 0 0 ? S Jan01 0:00 [migration/0]
root 12 0.0 0.0 0 0 ? S Jan01 0:26 [watchdog/0]
root 13 0.0 0.0 0 0 ? S< Jan01 0:00 [khelper]
root 14 0.0 0.0 0 0 ? S Jan01 0:00 [kdevtmpfs]
root 15 0.0 0.0 0 0 ? S< Jan01 0:00 [netns]
root 16 0.0 0.0 0 0 ? S< Jan01 0:00 [writeback]
root 17 0.0 0.0 0 0 ? S< Jan01 0:00 [kintegrityd]
root 18 0.0 0.0 0 0 ? S< Jan01 0:00 [bioset]
root 19 0.0 0.0 0 0 ? S< Jan01 0:00 [kworker/u3:0]
root 20 0.0 0.0 0 0 ? S< Jan01 0:00 [kblockd]
root 21 0.0 0.0 0 0 ? S< Jan01 0:00 [ata_sff]
root 22 0.0 0.0 0 0 ? S Jan01 0:00 [khubd]
root 23 0.0 0.0 0 0 ? S< Jan01 0:00 [md]
root 24 0.0 0.0 0 0 ? S< Jan01 0:00 [devfreq_wq]
root 25 0.0 0.0 0 0 ? S Jan01 1:49 [kworker/0:1]
root 27 0.0 0.0 0 0 ? S Jan01 0:08 [khungtaskd]
root 28 0.0 0.0 0 0 ? S Jan01 0:13 [kswapd0]
root 29 0.0 0.0 0 0 ? SN Jan01 0:00 [ksmd]
root 30 0.0 0.0 0 0 ? SN Jan01 0:30 [khugepaged]
root 31 0.0 0.0 0 0 ? S Jan01 0:00 [fsnotify_mark]
root 32 0.0 0.0 0 0 ? S Jan01 0:00 [ecryptfs-kthrea]
root 33 0.0 0.0 0 0 ? S< Jan01 0:00 [crypto]
root 45 0.0 0.0 0 0 ? S< Jan01 0:00 [kthrotld]
root 46 0.0 0.0 0 0 ? S Jan01 0:51 [kworker/u2:1]
root 47 0.0 0.0 0 0 ? S Jan01 0:00 [vballoon]
root 48 0.0 0.0 0 0 ? S Jan01 0:00 [scsi_eh_0]
root 49 0.0 0.0 0 0 ? S Jan01 0:00 [scsi_eh_1]
root 70 0.0 0.0 0 0 ? S< Jan01 0:00 [deferwq]
root 71 0.0 0.0 0 0 ? S< Jan01 0:00 [charger_manager]
root 123 0.0 0.0 0 0 ? S Jan01 1:57 [jbd2/vda1-8]
root 124 0.0 0.0 0 0 ? S< Jan01 0:00 [ext4-rsv-conver]
root 356 0.0 0.0 51480 828 ? Ss Jan01 0:00 /lib/systemd/systemd-udevd --daemon
message+ 366 0.0 0.0 39224 620 ? Ss Jan01 0:00 dbus-daemon --system --fork
root 411 0.0 0.0 43452 524 ? Ss Jan01 0:00 /lib/systemd/systemd-logind
root 427 0.0 0.0 0 0 ? S< Jan01 0:00 [kpsmoused]
root 432 0.0 0.0 0 0 ? S Jan01 0:00 [kworker/0:2]
root 433 0.0 0.0 0 0 ? S< Jan01 0:00 [ttm_swap]
root 545 0.0 0.0 0 0 ? S< Jan01 0:00 [kvm-irqfd-clean]
root 858 0.0 0.0 15820 288 tty4 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty4
root 861 0.0 0.0 15820 288 tty5 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty5
root 870 0.0 0.0 15820 280 tty2 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty2
root 871 0.0 0.0 15820 288 tty3 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty3
root 874 0.0 0.0 15820 280 tty6 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty6
root 894 0.0 0.0 61364 816 ? Ss Jan01 0:00 /usr/sbin/sshd -D
root 905 0.0 0.0 4368 288 ? Ss Jan01 0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
root 908 0.0 0.0 23656 416 ? Ss Jan01 0:18 cron
daemon 909 0.0 0.0 19140 256 ? Ss Jan01 0:00 atd
root 945 2.5 0.2 8704 2276 ? Ss Jan01 1656:04 /usr/sbin/knockd -d
root 1375 0.1 1.1 692012 11276 ? Sl Jan01 87:50 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fa
root 1482 0.0 0.0 15820 288 tty1 Ss+ Jan01 0:00 /sbin/getty -8 38400 tty1
root 1529 0.0 0.0 0 0 ? S< Jan01 0:00 [kworker/u3:2]
root 1533 0.0 0.0 0 0 ? S Jan01 0:00 [kauditd]
root 1609 0.0 0.0 0 0 ? S Jan01 0:00 [kworker/u2:2]
root 7357 0.0 0.2 106032 3008 ? Ss 09:47 0:15 sshd: root@pts/3
root 7408 0.0 0.3 22820 3760 pts/3 Ss 09:48 0:04 -bash
root 15325 0.0 0.2 105632 2644 ? Ss 12:14 0:02 sshd: root@pts/0
root 15422 0.0 0.3 22808 3772 pts/0 Ss 12:14 0:01 -bash
clamav 19924 0.4 0.2 54644 2760 ? Ss 14:41 0:17 /usr/bin/freshclam -d --quiet
root 20634 1.5 0.2 25848 2116 pts/0 R+ 15:16 0:33 htop
root 21097 1.6 0.1 25344 1688 ? Ss 15:51 0:00 /usr/lib/postfix/master
postfix 21100 0.0 0.1 27408 1536 ? S 15:51 0:00 pickup -l -t unix -u -c
postfix 21101 2.6 0.1 27696 1884 ? S 15:51 0:00 qmgr -l -t unix -u
postfix 21102 0.0 0.1 27420 1924 ? S 15:51 0:00 trivial-rewrite -n rewrite -t unix -u -c
postfix 21103 0.6 0.2 42420 2712 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21104 0.6 0.2 42420 2720 ? R 15:51 0:00 smtp -t unix -u -c
postfix 21105 0.6 0.2 42420 2720 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21106 0.6 0.2 42420 2720 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21107 0.3 0.2 42420 2708 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21108 0.6 0.2 42420 2712 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21109 0.6 0.2 42420 2716 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21110 1.0 0.2 42420 2724 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21111 1.0 0.2 42420 2724 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21112 0.6 0.2 42420 2724 ? S 15:51 0:00 smtp -t unix -u -c
postfix 21113 1.5 0.1 27440 1548 ? S 15:51 0:00 bounce -z -n defer -t unix -u -c
postfix 21114 1.0 0.1 27404 1532 ? S 15:51 0:00 error -n retry -t unix -u -c
postfix 21115 0.5 0.1 27404 1536 ? S 15:51 0:00 error -n retry -t unix -u -c
postfix 21116 0.5 0.1 27440 1548 ? S 15:51 0:00 bounce -z -n defer -t unix -u -c
postfix 21117 0.0 0.1 27404 1532 ? S 15:51 0:00 error -n retry -t unix -u -c
postfix 21118 0.5 0.1 27404 1528 ? S 15:51 0:00 scache -l -t unix -u -c
postfix 21119 0.0 0.2 42420 2564 ? S 15:52 0:00 smtp -t unix -u -c
postfix 21120 0.0 0.2 42420 2568 ? S 15:52 0:00 smtp -t unix -u -c
root 21121 0.0 0.1 18448 1292 pts/3 R+ 15:52 0:00 ps -aux
root 27067 0.0 0.0 19476 592 ? S 09:25 0:00 upstart-udev-bridge --daemon
root 27070 0.0 0.0 15260 612 ? S 09:25 0:00 upstart-socket-bridge --daemon
root 27073 0.0 0.0 15276 616 ? S 09:25 0:00 upstart-file-bridge --daemon
syslog 31101 0.0 0.1 255844 1412 ? Ssl 09:26 0:01 rsyslogd


Leállítottam a php-t Nginx- et.
Más nem fut a szerveren.
Honnan tudom meg mi küldözgei a levelet?
Köszi.

Helló!

Szerintetek, ha a szolgáltatónk ezen szerepel, az mennyire komoly dolog? Milyen hátrányokkal jár ez a felhasználók részére? Innen a Gmail-re küldött leveleket visszadobta a google.

http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3agelkanet.hu&run=…

Előre írom, hogy soha életemben nem foglalkoztam amavisd-vel, így csak alapvető RTFM-n vagyok túl. A kérdésem az volna, hogy amavisd-new-t be lehet-e úgy konfigurálni, hogy ne SMTP-n vagy LMTP-n keresztül kapja meg a levelet, hanem mondjuk stdin-en vagy olvassa ki fájlból? Nem a klasszikus postfix-amavisd rendszerhez kellene, MTA nem szerepelne a képben. Olyanokat olvastam, hogy különféle helper programokkal ki lehet egészíteni az amavisd-t, de példát egyelőre nem találtam.

Köszönöm!

Sziasztok!

Nem vagyok benne a regexp-ben. Abban kellene segítség, hogy a mail.log-ba az amavis az alábbi bejegyzéseket teszi...

Feb 4 14:34:07 mail amavis[22539]: (22539-01) Blocked BANNED (.exe,oehleckerring_21_22419_hamburg.scr) {BouncedOpenRelay,Quarantined}, [78.15.15.117]...

Ebből ugye nekem a fail2ban-nak át kellene adni az IP címet. Milyen szabályt kellene ráakasztanom a fail2ban-ban? Itt pusztány azt kellene vizsgálnom, hogy a "Blocked BANNED" üzenet megvan-e.

Sziasztok!

Több napja a gmail spamként érzékeli a debian 7 szerveremről küldött emaileket, de nem folyamatosan. Véletlenszerűen működik teljesen a blokkolás időtartama és a feloldás is.

Abban az esetben, ha visszapattan az üzenet, ezt kapom:

Reporting-MTA: dns; mx.domainem.hu
X-Postfix-Queue-ID: D338A8519A
X-Postfix-Sender: rfc822; kuldo@domainem.hu
Arrival-Date: Thu, 15 Jan 2015 21:23:47 +0100 (CET)

Final-Recipient: rfc822; fogado@gmail.com
Original-Recipient: rfc822;fogado@gmail.com
Action: failed
Status: 5.7.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.1 [2a02:c200:1:10:2:2:3398:1 12] Our system
has detected that this 550-5.7.1 message is likely unsolicited mail. To
reduce the amount of spam sent 550-5.7.1 to Gmail, this message has been
blocked. Please visit 550-5.7.1
http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
5.7.1 more information. z7si492954wix.20 - gsmtp

Az email header minden esetben ugyanaz:


Delivered-To: fogado@gmail.com
Received: by 10.140.107.199 with SMTP id h65csp885040qgf;
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
X-Received: by 10.181.8.98 with SMTP id dj2mr62921979wid.81.1421353995380;
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
Return-Path:
Received: from mx.domainem.hu (mx.domainem.hu. [IP-CIMEM])
by mx.google.com with ESMTPS id y4si4764088wjy.66.2015.01.15.12.33.14
for
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
Received-SPF: pass (google.com: domain of kuldo@domainem.hu designates IP-CIMEM as permitted sender) client-ip=IP-CIMEM;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of kuldo@domainem.hu designates IP-CIMEM as permitted sender) smtp.mail=kuldo@domainem.hu
Received: from mail.domainem.hu (mx.domainem.hu [IP-CIMEM])
by mx.domainem.hu (Postfix) with ESMTP id 25D1D8520C
for ; Thu, 15 Jan 2015 21:33:14 +0100 (CET)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_834aeacdb0fed6ae93a95c0159869d6d"
Date: Thu, 15 Jan 2015 21:33:14 +0100
From: kuldo@domainem.hu
To: =?UTF-8?Q?fogado?=
Subject: teszt
Message-ID:
X-Sender: kuldo@domainem.hu
User-Agent: Roundcube Webmail/1.0.2


A szerver semmilyen nagyobb spam listán nem szerepel.
Az email headernél minden pontosan ugyanúgy van.

3 különböző host van, mindhárom ugyanarra az ip-re mutat.
mx.domainem.hu a domain mx rekordja
mail.domainem.hu a roundcube elérése
domainem.hu ami a postafiókhoz kapcsolódik

Több helyen ellenőriztem a konfigokat és mindent rendben találtam.

MXTOOLBOX eredménye:

SMTP Banner Check OK - IP-CIMEM resolves to mx.domainem.hu
SMTP Reverse DNS Mismatch OK - Reverse DNS matches SMTP Banner
SMTP TLS OK - Supports TLS.
SMTP Connection Time 1.232 seconds - Good on Connection time
SMTP Open Relay OK - Not an open relay.
SMTP Transaction Time 3.682 seconds - Good on Transaction Time

Tudna valaki segíteni, hogy miért tilthatja a Google az innen érkező leveleket véletlenszerűen?

Sziasztok!

Az lenne a kérdésem, hogy több mint 215.000 email címem van amire hírlevelet kellene küldeni amiben a szöveg teljesen statikus lenne. Nem minden cím valós sok lehet amihez nem tartozik mail fiók.
A kérdésem arra irányulna, hogy hogyan tudok ennyi levelet kiküldeni anélkül, hogy a szerver feketelistára kerüljön? És az is jó lenne mellékesen, ha nem a spam mappába kerülnének a levelek a fogadó félnél.

Ötletek? Tapasztalatok?

Azon gondolkodom, hogy ha nincs olyan ember a cégnél aki feliratkozik bármilyen marketinges hírlevélre, akkor igazából ezen hazai cégekről és azok IP címeiről listát vezetve, már iptables-szel kizárhatóak lehetnének a levelezéseinkből. Természetesen ezt csak azok tudják megtenni, akiknek a szerverei dedikáltan saját céget/cégeket szolgálnak ki.

Mire is gondolok?
Például az olyan cégekre akik kifejezetten arra szakosodtak, hogy hírleveleket küldjenek ki, mint smtp.hu marketingszoftverek.hu és a lista bár véges, de sajnos tetemes. Ezen cégek szolgáltatásaira szerintem csak olyanok fizetnek elő akiknek a szolgáltatásai és levelei felesleges terhelést okoznak az általunk védett vállalatoknak.

Miért gondolom ez?
Azon cégek akik tömegében fix beszállítókkal és vevőkkel dolgoznak és a beszállítók kiválasztási folyamatába nem kerül beválasztásra a spammelő, simán használhatnák ezt a megoldást. Érzésem szerint minden komolyan vehető vállalkozás ebbe a kategóriába esik.

Kivételek lekezelése
A legtöbb ilyen email magánjellegű, így a felhasználó ha netán feliratkozik, akkor azt tegye a saját privát email címével.

Érdekelne a témában mások véleménye/kritikája. Köszönöm.

Sziasztok,

mint nehanyan tudjatok, vesszoparipam az uj, es leginknabb a Magyar nyelvteruletre illeszkedo spamszuro megoldasok fejlesztese. Ennek kapcsan a kovetkezo kerdes merult fel bennem:

Elfogadhato-e, ha egy mailszerver domainje rejtett whois-zal rendelkezik?

Emlekeztetoul: a rejtett whois nemzetkozi domaineknel azt foglalja magaban, hogy a domain tulajdonos helyett a domain regisztrator neve szerepel a domainben. Spammerek sokszor ezt hasznaljak a domain regisztraciokhoz.

Koszonom a valaszaitokat

Janos