Spam, Adathalászat

----------- SCAN REPORT -----------
TimeStamp: Sat, 23 Jun 2018 06:03:05 +0200
(/usr/sbin/cxs --nobayes --clamdsock /var/clamd --dbreport --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 35000 --noforce --html --ignore /etc/cxs/cxs.ignore --MD5 --options MSGchnZDv --qoptions Mv --quiet --report /var/log/cxscron.relaxch.log --script /etc/cxs/htaccessdisable.pl --sizemax 1000000 --ssl --summary --nosversionscan --timemax 30 --nounofficial --user relaxch --virusscan --voptions mhexT --xtra /etc/cxs/cxs.xtra)

Scanning /home/relaxch:

'/home/relaxch/.trash/ssend.php' # SUID permission set (md5sum:ba76616a57e52cc63a09ca876c334268) # GUID permission set

----------- SCAN SUMMARY -----------
Scanned directories: 979
Scanned files: 7185
Ignored items: 19
Suspicious matches: 2
Viruses found: 0
Fingerprint matches: 0
Data scanned: 220.14 MB
Scan time/item: 0.015 sec
Scan time: 126.159 sec

Üdv,

https://www.ers.trendmicro.com/reputations/

a fentivel találkozott már valaki ?

Mert én most igen, küldtek egy emailt, hogy DUL listába kerültem, ez ISPk általi "dinamikus lista" elvileg.

De egy darab email szerverrel nem találkoztam eddig, akik ezt a listát használták volna.

Egészen a mai napig :)

Bár tény, ISP mögött (nem, T*, nem D* nem U*, nem ilyen gagyi XYvarosNET* , megnevezni nem akarom, de olyan isp aki ugyan szolgáltat többé kevésbé lakossági netet is, de inkább a vállalati szféra a profil) üzemelő komplett mail rendszerről van szó, de ez a cím fixen ki lett osztva.

Gondolom előzőleg kerülhetett be valahogy a rendszerükbe ez a fixen kiosztott IP.

Bár végülis hivatalos remove request után gyakorlatilag ~4 óra elteltével már ki is szedték ezt az adott IP-t az RBL+ / DUL listából.
mxtoolbox check szerint (direkt le lett ellenőrizve többször is) ez a fixIP 103 *BL listából 0 találatot produkált. És a mai napig 0 találat van rá.

Fura, mert ezzel a szolgáltatóval már több helyen került kiépítésre levelező szerver és sehol nem futottam még bele ebbe a TrendMicros* RBL listába.

Csak most pont egy olyan helyre kellett volna mailt küldeni ahol ezt a TrendMicros RBL listát használják.

Hm. végülis csak self-note, de azért érdekelnek a tapasztalatok :)

Üdv!

Sajnos egy nemrég telepített mailszerverről a levelek gmailes fióknál spambe érkeznek. Tudtommal minden jól be van állítva, de úgy tűnik mégsem. DKIM, SPF, DMARC, rendben van.
teljesen tanácstalan vagyok hol keressem a hibát.

Alább látható a SPAM-be érkezett levél. (az ip címek és hostok, csak minta adatok)

A szerveren CentOS 7 és Cpanel van.

Tud valaki segíteni, hogy mi lehet a probléma?


Delivered-To: gmailescim@gmail.com
Received: by 10.176.89.35 with SMTP id n32csp5179666uad;
Wed, 7 Mar 2018 13:36:51 -0800 (PST)
X-Google-Smtp-Source: AG47ELvUlqO8AaEhYFQVWfcZITnkZbeEBLGnTxMNfiIOrOzwKPCEwiXRrBfmMorMlqdjEOERNPQv
X-Received: by 10.223.161.144 with SMTP id u16mr21328015wru.137.1520458611408;
Wed, 07 Mar 2018 13:36:51 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1520458611; cv=none;
d=google.com; s=arc-20160816;
b=0VKenMQBTvl8Hb6S6NVAqbe0lHU65XCPzYAvBneoZ07gjxev66cP2juvFJ/LzZ8oxs
p8d5qB58aP1VwO90ia9RovEa1qe18QpIXilm5G6KbdzTRc5QlvpY+lPtOdQ0h/RuSfOg
LVa+bt+6LBlubwAufZaMEmVskLJ15aVJFJkOfamFl6wPtsQwnAw5dD7spZI88aIskyES
1Dx5YZDR754zRUpsp9jav8Zlt6rS0HgM+sJWdCqqNDKLwTLEXqScSfhA6/YqGjwR8g2x
XLlLPNIf1p0IV98CTpIPV7w2g5N3ISnYawJg2G10xP3Ft0+OYbACatbTm48rWHcP5V+n
Nowg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=to:date:message-id:subject:mime-version:content-transfer-encoding
:from:dkim-signature:arc-authentication-results;
bh=xeGYKOV4vOODlBsSHrDcvmrnRn9qwikHPKjhKczwMsQ=;
b=u3Y4OaxWe+UGnW+VqTvncHha35nZWXIOQAAICr1o+bzVsz+SMZXxfWkVsAJsul7YM9
jB+GYow6eO3ijsGkb1Fk98JYBeYXyDNdOHN5+1B28zh3x2azMgNoeA/37H8iJ+oL6NOB
74ocVRDyreNIq+nIDbGJ/m38CmInHIof4Fc/v2G8+apMMTSJes1odqZUOj4yOvDRc3p/
x+UjBFlL1/eSbESg4AWL/x5LDjTwpa9OcbUcRQ+jROtRkX6JDAwg6LCeA1EpmQtJNYr6
tRBYY3bp/JKa1NRqxxxUe3jugmkKDWlzu/NU+QR4FTfvUNg8oR2cyKraOG/SKaFpPSAQ
WpRw==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@sajatdomain.hu header.s=default header.b=EEsm49Fn;
spf=pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) smtp.mailfrom=info@sajatdomain.hu;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=sajatdomain.hu
Return-Path:
Received: from serverhostname.hu (serverhostname.hu. [123.124.125.126])
by mx.google.com with ESMTPS id g109si450946wrd.443.2018.03.07.13.36.51
for
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Wed, 07 Mar 2018 13:36:51 -0800 (PST)
Received-SPF: pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) client-ip=123.124.125.126;
Authentication-Results: mx.google.com;
dkim=pass header.i=@sajatdomain.hu header.s=default header.b=EEsm49Fn;
spf=pass (google.com: domain of info@sajatdomain.hu designates 123.124.125.126 as permitted sender) smtp.mailfrom=info@sajatdomain.hu;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=sajatdomain.hu
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=sajatdomain.hu; s=default; h=To:Date:Message-Id:Subject:Mime-Version:
Content-Transfer-Encoding:Content-Type:From:Sender:Reply-To:Cc:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=xeGYKOV4vOODlBsSHrDcvmrnRn9qwikHPKjhKczwMsQ=; b=EEsm49FnB4Exz6gluJFmchV+hH
I2PyKlvXBpPp2FBL73nX6Rix+xhiosV6dceZYXjjR40lvVI+ROqR4dn4Unna6cu4wbP+8kJJLbqcx
KqxBilcL7mZZPcUoCUT4xwIg+1EHjt9NQE4n4gZdabM8nPS9u/WgDDQG/dlap+eOMfsOqj1G3vcfR
F8qHr1+SDDbzUKyZmnw4cmgqFoVdfoYXYMwkV3m0AvIjEYPHJi4hd/FY5NpLY6eHM1rxTVOQ8X/W+
gtD1goo+dE3/usMpLJTFTrXVUiue1c4SMZl7oq1uRp525CgrcyA9xtQYaGYbOjKshfdjs8i8rVLQZ
I0TWI3ug==;
Received: from [86.101.105.234] (port=59504 helo=[192.168.0.17])
by serverhostname.hu with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.89_1)
(envelope-from )
id 1etgjy-0006Ar-UZ
for gmailescim@gmail.com; Wed, 07 Mar 2018 22:36:50 +0100
From: sajatdomain
Content-Type: text/plain;
charset=utf-8
Content-Transfer-Encoding: quoted-printable
Mime-Version: 1.0 (Mac OS X Mail 11.2 \(3445.5.20\))
Subject: ez igy ok
Message-Id: <955C5592-2936-4EAA-8509-817047BF1B38@sajatdomain.hu>
Date: Wed, 7 Mar 2018 22:36:50 +0100
To: =?utf-8?B?QmVyZW5jc2kgTcOhdMOp?=
X-Mailer: Apple Mail (2.3445.5.20)
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - serverhostname.hu
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - sajatdomain.hu
X-Get-Message-Sender-Via: serverhostname.hu: authenticated_id: info@sajatdomain.hu
X-Authenticated-Sender: serverhostname.hu: info@sajatdomain.hu
X-Source:
X-Source-Args:
X-Source-Dir:

rem=C3=A9lhet=C5=91leg

Adott egy CRM rendszer elég sok felhasználóval és azok emailcímével. Azt szeretném megoldani, hogy csak azoktól fogadjon el a levelezőszerver emailt, akik léteznek a crm rendszerben. A többinek csak egy automata válasz menne. Csinált már valaki ilyet?
postfix-el szeretném megoldani.

Van néhány ember aki folyamatosan nekem küld levelet egy, az enyémhez hasonló nevű ismerősüknek. Már többször figyelmeztettem őket, de a levelek továbbra is jönnek, mikor pártpropaganda, mikor valami szerződés vagy éppen bírósági per dokumentumok jutottak kívánatlanul a postaládámba. Legutóbb azt írtam nekik, hogy ha továbbra sem képesek az ismerősük címére küldeni leveleiket, akkor felíratom őket az összes fellelhető gayporn, faroknövelő, viagrás, stb. oldalra, hogy legyen mivel szórakozzanak.
Létezik ilyen szolgáltatás, ahol egyszeri címmegadással több tucatnyi spamre fel lehet iratkozni?

Üdv!

Na fussunk neki mégegyszer.

Aki esetleg MailScannert használna az válaszoljon lehetőleg :) Trollok kíméljenek.

Környezet: Centos7, postfix, mailscanner -> ehhez tartozó razor,pyzor,spamassassin,clamav, stb. cuccok.

A Mailscanner vs. postfix működésére csak annyiban térnék ki, hogy nem milter és egyéb alapokon megy, hanem gyakorlatilag "reuseolja" az incoming / holding spoolokat. Mind1 is, aki MailScannerezik tudja hogy van.

Az alap setup:

levél bejön postfixhez -> queueba bekerül -> mailscanner megtalálja -> scanneli -> továbbít vissza postfix -> az meg a megfelelő helyre (user postafiók).

Ezzel eddig nem is lenne semmi gond.

Adott egy XXXX domain, aminél be van állítva SPF, DKIM, DMARC. Rendben működik. A spam szűrés rész is MS (MailScanner nem Microsoft) -el.

Igen ám, de ha adott esetben én kifelé szeretnék küldeni levelet és pl nem az adott irodából, hanem mondjuk otthonról rendesen SASL AUTH módon, akkor bizony a szerveren lévő MS megjelöli az emailt, mint lehetséges SPAM, mivel az adott "client-ip" szerepel az adott RBL listákban.

Egy részlet: https://pastebin.com/1MRbabD4

Ezáltal a "saját" mailscannerem szűr tökön, mivel hiába rendes authed user által jön a mail, ő bizony megnézni az RBLben a client-ip -re vonatkozó részeket is.

Ezáltal kb. mindegy honnan küldöm (kivéve ha az irodából) így is úgy is spamként lesz jelölve.

Kis googlizás után kiderült, hogy ez nem mostani keletű probléma... Megoldások terén sajnos csak annyi volt, hogy az RBL listákat oldja meg az MTA, ami valahol jogos is (révén a postfixben több lehetőséged van RBL listák alapján szűrni, mint MSben, pl recipient, clientnek külön szabály, stb).

Ezzel csak annyi gondom van, hogy akkor viszont b.szhatom a MailWatch statisztikákat, ami viszont jó lenne ha menne.

Akik foglalatoskodnak MailScanner setupokkal, esetleg erre nincs valami Custom* rule, vagy valami megoldás?

Mert ha más nem akkor "kidobom" az MS általi RBL ellenőrzést + ezáltal a statisztikát és ráhagyom a postfixre.

ps.: ha csak bydefault irodai gépek lennének az adott helyen, akkor ez nem lenne gond. De itt szeretnének emailt küldeni telefonról is (spam lesz perpill... ) vagy akár hazavitt laptopról is (spam lesz szintén perpill...) :/

Előre is köszi :)

Üdv
-krix-

Ügyfél szeretne hírlevelet küldeni. Szolgáltató T-online üzleti, fix ip, ezen üzemeltetnek saját SMTP-t.

T-online szerint így max napi 1000 levelet tudnak kiküldeni, ennél többet nem, mert szűrik.

Ti is ennyiről tudtok? Megoldás lehet, a sendgrid vagy egyéb SMTP szolgáltatás bérlése? A helpdeskes szerint nem, mert azt is szűrik, és így külső SMTP-vel max 50db levél küldhető.

Igaz ez? Mi a megoldás?

Köszönöm a válaszokat előre is!

Sziasztok,

cpanel-es eximem van, greylistet, RBL listákat használok, csillámpónis szolgáltató kitiltva, spamassassint és eddig kezelhető mértékű SPAM jött.
Ennek vége lett 1 hete, és özönlik a frissen (újra)regisztrált domainekről a tökéletesen szépen megszerkesztett, főleg grafikát tartalmazó mail.

Általában a levelekben csak egy továbbugró link található.

kafkasitiraf.com
kardharmedia.com

többek között ide ugrik: http://tartas javitas.com

Mit lehet ezekkel kezdeni?

Sziasztok! Mostanában folyton olyan IP-ket kapok itthon a telekomtól, ami spamhaus feketelistás, pl: 81.183.96.0/19 is listed on the Policy Block List (PBL)

Emiatt thunderbird levelezőben, nem tudok kiküldeni leveleket bizonyos helyekre, mert: Hiba történt a levél küldése közben. A levelezőkiszolgáló válasza:
https://www.spamhaus.org/query/ip/81.183.127.

Mit lehetne ezzel kezdeni? Fix IP-t nem lehet otthonra kérni, szóval mi lehet még a megoldás?