Spam, Adathalászat

Sziasztok!

Nem vagyok benne a regexp-ben. Abban kellene segítség, hogy a mail.log-ba az amavis az alábbi bejegyzéseket teszi...

Feb 4 14:34:07 mail amavis[22539]: (22539-01) Blocked BANNED (.exe,oehleckerring_21_22419_hamburg.scr) {BouncedOpenRelay,Quarantined}, [78.15.15.117]...

Ebből ugye nekem a fail2ban-nak át kellene adni az IP címet. Milyen szabályt kellene ráakasztanom a fail2ban-ban? Itt pusztány azt kellene vizsgálnom, hogy a "Blocked BANNED" üzenet megvan-e.

Sziasztok!

Több napja a gmail spamként érzékeli a debian 7 szerveremről küldött emaileket, de nem folyamatosan. Véletlenszerűen működik teljesen a blokkolás időtartama és a feloldás is.

Abban az esetben, ha visszapattan az üzenet, ezt kapom:

Reporting-MTA: dns; mx.domainem.hu
X-Postfix-Queue-ID: D338A8519A
X-Postfix-Sender: rfc822; kuldo@domainem.hu
Arrival-Date: Thu, 15 Jan 2015 21:23:47 +0100 (CET)


Final-Recipient: rfc822; fogado@gmail.com
Original-Recipient: rfc822;fogado@gmail.com
Action: failed
Status: 5.7.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.1 [2a02:c200:1:10:2:2:3398:1 12] Our system
has detected that this 550-5.7.1 message is likely unsolicited mail. To
reduce the amount of spam sent 550-5.7.1 to Gmail, this message has been
blocked. Please visit 550-5.7.1
http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550
5.7.1 more information. z7si492954wix.20 - gsmtp

Az email header minden esetben ugyanaz:


Delivered-To: fogado@gmail.com
Received: by 10.140.107.199 with SMTP id h65csp885040qgf;
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
X-Received: by 10.181.8.98 with SMTP id dj2mr62921979wid.81.1421353995380;
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
Return-Path:
Received: from mx.domainem.hu (mx.domainem.hu. [IP-CIMEM])
by mx.google.com with ESMTPS id y4si4764088wjy.66.2015.01.15.12.33.14
for
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Thu, 15 Jan 2015 12:33:15 -0800 (PST)
Received-SPF: pass (google.com: domain of kuldo@domainem.hu designates IP-CIMEM as permitted sender) client-ip=IP-CIMEM;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of kuldo@domainem.hu designates IP-CIMEM as permitted sender) smtp.mail=kuldo@domainem.hu
Received: from mail.domainem.hu (mx.domainem.hu [IP-CIMEM])
by mx.domainem.hu (Postfix) with ESMTP id 25D1D8520C
for ; Thu, 15 Jan 2015 21:33:14 +0100 (CET)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_834aeacdb0fed6ae93a95c0159869d6d"
Date: Thu, 15 Jan 2015 21:33:14 +0100
From: kuldo@domainem.hu
To: =?UTF-8?Q?fogado?=
Subject: teszt
Message-ID:
X-Sender: kuldo@domainem.hu
User-Agent: Roundcube Webmail/1.0.2


A szerver semmilyen nagyobb spam listán nem szerepel.
Az email headernél minden pontosan ugyanúgy van.

3 különböző host van, mindhárom ugyanarra az ip-re mutat.
mx.domainem.hu a domain mx rekordja
mail.domainem.hu a roundcube elérése
domainem.hu ami a postafiókhoz kapcsolódik

Több helyen ellenőriztem a konfigokat és mindent rendben találtam.

MXTOOLBOX eredménye:

SMTP Banner Check OK - IP-CIMEM resolves to mx.domainem.hu
SMTP Reverse DNS Mismatch OK - Reverse DNS matches SMTP Banner
SMTP TLS OK - Supports TLS.
SMTP Connection Time 1.232 seconds - Good on Connection time
SMTP Open Relay OK - Not an open relay.
SMTP Transaction Time 3.682 seconds - Good on Transaction Time


Tudna valaki segíteni, hogy miért tilthatja a Google az innen érkező leveleket véletlenszerűen?

Sziasztok!

Az lenne a kérdésem, hogy több mint 215.000 email címem van amire hírlevelet kellene küldeni amiben a szöveg teljesen statikus lenne. Nem minden cím valós sok lehet amihez nem tartozik mail fiók.
A kérdésem arra irányulna, hogy hogyan tudok ennyi levelet kiküldeni anélkül, hogy a szerver feketelistára kerüljön? És az is jó lenne mellékesen, ha nem a spam mappába kerülnének a levelek a fogadó félnél.

Ötletek? Tapasztalatok?

Ha bekapcsolom a postscreenbe a

postscreen_pipelining_enable = yes                                                                                                          
postscreen_non_smtp_command_enable = yes                                                                                                    
postscreen_bare_newline_action = enforce                                                                                                    
postscreen_bare_newline_enable = yes

Szűréseket (tehát majdnem mindent) akkor outlookból közvetlen mail küldés a szerveren keresztül (sasl auth mellett) eldobódik a kapcsolat ezzel

HANGUP after time from [x.x.x.x]:yyyy in tests after SMTP handshake

Ami doksi szerint az egyéb hibaüzenetek közé tartozik, mégis ha fenti 3-ból akár 1 is be van kapcsolva ezzel dobódik el a kapcsolat.

Találkozott még valaki ilyesmivel? Más levelező kliens nem csinálja, vagy ha pl. exchangen keresztül küldenek akkor is jó.

Azon gondolkodom, hogy ha nincs olyan ember a cégnél aki feliratkozik bármilyen marketinges hírlevélre, akkor igazából ezen hazai cégekről és azok IP címeiről listát vezetve, már iptables-szel kizárhatóak lehetnének a levelezéseinkből. Természetesen ezt csak azok tudják megtenni, akiknek a szerverei dedikáltan saját céget/cégeket szolgálnak ki.

Mire is gondolok?
Például az olyan cégekre akik kifejezetten arra szakosodtak, hogy hírleveleket küldjenek ki, mint smtp.hu marketingszoftverek.hu és a lista bár véges, de sajnos tetemes. Ezen cégek szolgáltatásaira szerintem csak olyanok fizetnek elő akiknek a szolgáltatásai és levelei felesleges terhelést okoznak az általunk védett vállalatoknak.

Miért gondolom ez?
Azon cégek akik tömegében fix beszállítókkal és vevőkkel dolgoznak és a beszállítók kiválasztási folyamatába nem kerül beválasztásra a spammelő, simán használhatnák ezt a megoldást. Érzésem szerint minden komolyan vehető vállalkozás ebbe a kategóriába esik.

Kivételek lekezelése
A legtöbb ilyen email magánjellegű, így a felhasználó ha netán feliratkozik, akkor azt tegye a saját privát email címével.

Érdekelne a témában mások véleménye/kritikája. Köszönöm.

Sziasztok,

mint nehanyan tudjatok, vesszoparipam az uj, es leginknabb a Magyar nyelvteruletre illeszkedo spamszuro megoldasok fejlesztese. Ennek kapcsan a kovetkezo kerdes merult fel bennem:

Elfogadhato-e, ha egy mailszerver domainje rejtett whois-zal rendelkezik?

Emlekeztetoul: a rejtett whois nemzetkozi domaineknel azt foglalja magaban, hogy a domain tulajdonos helyett a domain regisztrator neve szerepel a domainben. Spammerek sokszor ezt hasznaljak a domain regisztraciokhoz.

Koszonom a valaszaitokat

Janos

Ma egy érdekes spam-mel lettem gazdagabb. A header-ben a From: mezőben egy ismerősöm wifi routerének nem szokványos ESSID-ja szerepel. Tudom, hogy bárki láthatja az ESSID-t, ugyanakkor a mailcímemmel együtt már érdekesebb a kérdés, mert valahogy csak címzett lettem.

Mire tippeltek, hogyan lett meg ez a két adat egymással párhuzamosan? Mármint az ismerősöm wifi router-ének ESSID-ja és a mailcímem.

Azon a hálózaton van egy karbantartott linuxos gép, de van egy már nem támogatott, ezáltal ssl, bash sebezhetőségekben érintett Fedora 18 is. Valamint egy telefon, talán Android, de ez nem biztos. És persze bárki láthatja az ESSID-t, de szerintem ők nem tudják a mailcímemet.

Sziasztok!

Egy kis help kéne! Postfixban kéne beállítani a címben szereplő dolgokat, hogy ékezetes betűket is szűrjön

Ötlet? Javaslat?

Nekem ritkán megy az agyamra egy-egy cég, de ennek sikerült.
Elegáns-e iptables-szel blockolni az ilyen cégeket? Mondjuk úgy Deninetestül együtt aki ezt elviseli, sőt támogatja.

79.172.216.0/24

https://db-ip.com/all/79.172.216

Üzenném a goglinak az adathalász bejelentés azért lenne, hogy blokkolják eme és ehhez hasonló remek leveleket... de hát xarnak ezekre.

Microsoft < vlg@jfpr.jus.br > 12:33

Az Ön e-mail id nyertek díjat a $ 900.000.00. a Microsoft. az követelmény szerepel. Név: Mobil szám: Ország:.

Return-Path:
Received: from mx2.jfpr.jus.br (mx.jfpr.jus.br. [187.32.103.130])
by mx.google.com with SMTP id k32si1434764qgf.75.2014.10.17.03.38.35
for ;
Fri, 17 Oct 2014 03:39:11 -0700 (PDT)
Received-SPF: pass (google.com: domain of vlg@jfpr.jus.br designates 187.32.103.130 as permitted sender) client-ip=187.32.103.130;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of vlg@jfpr.jus.br designates 187.32.103.130 as permitted sender) smtp.mail=vlg@jfpr.jus.br
Received: from mx.jfpr.jus.br (unknown [10.7.3.130])
by mx2.jfpr.jus.br (Postfix) with ESMTP id 46F811BD004;
Fri, 17 Oct 2014 07:33:30 -0300 (BRT)
Received: from mx.jfpr.jus.br (localhost [127.0.0.1])
by mx.jfpr.jus.br (Postfix) with ESMTP id 4CE2E8A03A5;
Fri, 17 Oct 2014 07:33:28 -0300 (BRT)
Received: from mx.jfpr.jus.br (localhost [127.0.0.1])
by mx.jfpr.jus.br (Postfix) with ESMTP id D9B928A02ED;
Fri, 17 Oct 2014 07:33:27 -0300 (BRT)
Received: from mx.jfpr.jus.br (mx.jfpr.jus.br [10.7.3.130])
by mx.jfpr.jus.br (Postfix) with ESMTP id 0CEC08A03E5;
Fri, 17 Oct 2014 07:33:24 -0300 (BRT)
Date: Fri, 17 Oct 2014 07:33:23 -0300 (BRT)
From: Microsoft
Message-ID: <29521911.3370561.1413542003865.JavaMail.zimbra@jfpr.jus.br>
Subject: =?utf-8?Q?Gratul=C3=A1ci=C3=B3?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_3370560_1847985096.1413542003861"
X-Originating-IP: [115.240.23.213]
X-Mailer: Zimbra 8.0.7_GA_6021 (zclient/8.0.7_GA_6021)
Thread-Topic: =?utf-8?Q?Gratul=C3=A1ci=C3=B3?=
Thread-Index: 8c42XbUZ6FSEnM9NhmKTk/PisHOvhg==
X-HSC-Mail_Inspector-Point: 1
X-HSC-Mail_Inspector-ID: 46F811BD004.ADAD7
X-JFPR-HSC_MailInspector: Mensagem OK
X-JFPR-HSC_MailInspector-SpamCheck: Nao e SPAM,
HSC MailInspector (not cached, Pontuacao=2.525, requerido 6,
BAYES_20 -0.74, HTML_MESSAGE 0.00, LOTS_OF_MONEY 0.00,
MISSING_HEADERS 1.02, RCVD_IN_BRBL_LASTEXT 1.45, RDNS_NONE 0.79)
X-JFPR-HSC_MailInspector-SpamScore: 2
X-JFPR-HSC_MailInspector-From: vlg@jfpr.jus.br
X-Spam-Flag: No