SMTP: envfrom

[Eugene Grosbein]

Привет!

А вот такой envelope-from у спаммера, это зачем?
В maillog, с палкой:
(envelope-from |annparis...@ebay.com.au)

Eugene
--
Чисто вороньи стаи поют не так красиво.

[Valentin Davydov]

> From: Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org>
> Date: Wed, 03 Sep 2008 16:19:04 +0400

>
>А вот такой envelope-from у спаммера, это зачем?
>В maillog, с палкой:
>(envelope-from |annparis...@ebay.com.au)

Это они (адреса) у них (спаммеров) в базе так лежат. У меня в логе полно
rcp-to таких. Очень удобно для DISCARD-правила в access mapе.

Вал. Дав.

[Eugene Grosbein]

03 сен 2008, среда, в 12:40 KRAT, Valentin Davydov написал(а):

>>А вот такой envelope-from у спаммера, это зачем?
>>В maillog, с палкой:
>>(envelope-from |annparis...@ebay.com.au)

VD> Это они (адреса) у них (спаммеров) в базе так лежат. У меня в логе полно
VD> rcp-to таких. Очень удобно для DISCARD-правила в access mapе.

У меня совсем немного таких, чуть больше сотни за сутки, просто интересно,
зачем оно во from?

Eugene
--
Кто беден, тот себя и виновать!..
Выходит, не умеешь воровать!..
И так уж дали полную свободу,
Так что ж - еще пособья выдавать?..

[Andrey Ostanovsky]

Hello Valentin!

03 Sep 08 13:40, you wrote to Eugene Grosbein:

>> А вот такой envelope-from у спаммера, это зачем?
>> В maillog, с палкой:
>> (envelope-from |annparis...@ebay.com.au)

VD> Это они (адреса) у них (спаммеров) в базе так лежат. У меня в логе
VD> полно rcp-to таких. Очень удобно для DISCARD-правила в access mapе.

А вот у меня что-то не получается такого спаммера воткнуть в регэкспы для
milter-greylist. :(

Andrey

[Valentin Davydov]

> From: Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org>
> Date: Wed, 03 Sep 2008 16:57:32 +0400

>
> >>А вот такой envelope-from у спаммера, это зачем?
> >>В maillog, с палкой:
> >>(envelope-from |annparis...@ebay.com.au)
> VD> Это они (адреса) у них (спаммеров) в базе так лежат. У меня в логе полно
> VD> rcp-to таких. Очень удобно для DISCARD-правила в access mapе.
>
>У меня совсем немного таких, чуть больше сотни за сутки, просто интересно,
>зачем оно во from?

Спамеров нельзя рассматривать как живые существа, так что вопрос "зачем",
на мой взгляд, некорректен. А на вопрос "почему" я ответил.

Вал. Дав.

[Alexey Kouznetsov]

> >>А вот такой envelope-from у спаммера, это зачем?

> >>(envelope-from |annparis...@ebay.com.au)

> VD> Это они (адреса) у них (спаммеров) в базе так лежат. У меня в логе
> полно
> VD> rcp-to таких. Очень удобно для DISCARD-правила в access mapе.

> У меня совсем немного таких, чуть больше сотни за сутки, просто интересно,
> зачем оно во from?

Это у них бага такая, они про нее пока не знают, где-то емейлы поперли, а
там они были разделены |, вот это и попало в их базу А так как фромы они
берут из своей же базы, то имеем что имеем... посему пока по этому признаку
срубается очень весомое количество спама. А так как базы они не чистят, то
наварное оно будет долго маячить.

/Алексей

[mitrohin a.s.]

не знаю как для milter-greylist, но в /usr/share/sendmail/cf/README
есть пример проверки заголовка. я себе наваял такое...

LOCAL_CONFIG
Ksuser regex -a@MATCH ^\|

LOCAL_RULESETS

SLocal_check_mail
R$* $: . $| $1 $| $>Parse0 $>3 $1
R. $| $* $| $+ < @ $=w . > $* $: $1
R. $| $* $| $+ < @ $+ . > $* $: $(suser $2 $: . $) $| $1
R@MATCH $| $* $#error $: "553 Header Error [Bad user name: " $1 "]."
R. $| $* $: $1

/swp

[Andrey Ostanovsky]

Hello mitrohin!

03 Sep 08 22:36, you wrote to me:

>> А вот у меня что-то не получается такого спаммера воткнуть в
>> регэкспы для milter-greylist. :(
>>

ms> не знаю как для milter-greylist, но в /usr/share/sendmail/cf/README
ms> есть пример проверки заголовка. я себе наваял такое...

А у меня, как выяснилось, просто порт старый был, обновил до сегодняшней версии
- перестало ругаться на синтаксис.

Andrey

[Alexander Titaev]

Eugene Grosbein <Eugene_...@f1.n5006.z2.fidonet.org> wrote:
EG> Привет!

EG> А вот такой envelope-from у спаммера, это зачем?
EG> В maillog, с палкой:
EG> (envelope-from |annparis...@ebay.com.au)

для удобства фильтрации на уровне mail from

--
Sanyo mailto:t...@irk.ru

[Eugene Grosbein]

03 сен 2008, среда, в 15:43 KRAT, Alexander Titaev написал(а):

EG>> А вот такой envelope-from у спаммера, это зачем?
EG>> В maillog, с палкой:
EG>> (envelope-from |annparis...@ebay.com.au)

AT> для удобства фильтрации на уровне mail from

смишно

Eugene
--
Как лист увядший падает на душу...

[Alexander Titaev]

Eugene Grosbein <Eugene_...@f1.n5006.z2.fidonet.org> wrote:
EG> 03 сен 2008, среда, в 15:43 KRAT, Alexander Titaev написал(а):

EG>>> А вот такой envelope-from у спаммера, это зачем?
EG>>> В maillog, с палкой:
EG>>> (envelope-from |annparis...@ebay.com.au)
AT>> для удобства фильтрации на уровне mail from

EG> смишно

а ты какой ответ хотел? Зачем мне на абузу идут тонны спама? Что бы было
удобнее кормить асасина?

--
Sanyo mailto:t...@irk.ru

[Eugene Grosbein]

03 сен 2008, среда, в 17:16 KRAT, Alexey Kouznetsov написал(а):

>> У меня совсем немного таких, чуть больше сотни за сутки, просто интересно,
>> зачем оно во from?

AK> Это у них бага такая, они про нее пока не знают, где-то емейлы поперли, а
AK> там они были разделены |, вот это и попало в их базу А так как фромы они
AK> берут из своей же базы, то имеем что имеем... посему пока по этому
AK> признаку
AK> срубается очень весомое количество спама. А так как базы они не чистят, то
AK>
AK> наварное оно будет долго маячить.

Интересно, судя по всему будет отличный критерий - количество спама
с такими адресами в envfrom растет с каждым днем, хотя после других
проверок и просачивается не шибко много, но все же уже больше тысячи
в сутки.

Eugene
--
Рост воровства у нас неудержим,
И мы кривою роста дорожим:
Раз все воруют, значит, все при деле!..
Hа этом-то и держится режим!..