[Exim-rusers] Отсечение писем "самому себе"
Vladimir Mevsha
Я в последнее время стал получать много спам писем, в которых в качестве
адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
и получателя идентичны, и в связи с этим появилось желание делать reject
таких писем на уровне МТА.
Могут ли при этом появиться какие-то "подводные камни", и использует ли
кто такой "дополнительный" метод фильтрации спама?
Правильно ли будет сравнивать как ((домен отправителя и домен
получателя) и (local_part отправителя и local_part получателя))?
Также буду благодарен, если кто-то поделится работающим acl (можно в личку).
С Уважением, Владимир Мевша.
_______________________________________________
exim-users mailing list
exim-...@exim.org.ua
http://exim.org.ua/mailman/listinfo/exim-users
Гнилицкий Дмитрий
2. Если прием производится шлюзом (как у меня), то проверять что "свой" отправитель пишет с внутреннего хоста:
deny
!hosts = +relay_from_hosts
senders = +domain_users
message = RELAY???
logwrite = STAGE[RCPT-FAIL]:ID=$acl_m19:Denied as relay
Vladimir Mevsha пишет:
George L. Yermulnik
On Wed, 03 Dec 2008 at 17:04:40 (+0200), Vladimir Mevsha wrote:
> Я в последнее время стал получать много спам писем, в которых в качестве
> адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> и получателя идентичны, и в связи с этим появилось желание делать reject
> таких писем на уровне МТА.
> Могут ли при этом появиться какие-то "подводные камни", и использует ли
> кто такой "дополнительный" метод фильтрации спама?
> Правильно ли будет сравнивать как ((домен отправителя и домен
> получателя) и (local_part отправителя и local_part получателя))?
> Также буду благодарен, если кто-то поделится работающим acl (можно в личку).
Если не заморачиваться наличием подводных камней у этой идеи (а их можно
нарыть), то примерно так:
acl_check_rcpt:
reject message = mailfrom cannot be equal to rcptto
condition = ${if eq{$local_part@$domain}{$sender_address} {yes}{no}}
--
George L. Yermulnik
[YZ-RIPE]
Golub Mikhail
> From: exim-user...@exim.org.ua [mailto:exim-users-
> bou...@exim.org.ua] On Behalf Of Vladimir Mevsha
> Sent: Wednesday, December 03, 2008 5:05 PM
> To: exim-...@exim.org.ua
> Subject: [Exim-rusers] Отсечение писем "самому себе"
>
> Здравствуйте.
>
> Я в последнее время стал получать много спам писем, в которых в
> качестве
> адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> и получателя идентичны, и в связи с этим появилось желание делать reject
> таких писем на уровне МТА.
Создайте для своего (своих) доменов политики SPF и выполняйте их проверку.
Чужие хосты в нее попадать не будут (если вы же их не включите в политику) и
будут отсеиваться письма с вашими адресами в качетсве отправителя но не с
ваших сетей.
И прислушайтесь к совету - свои должны быть аутентифицированы и для них не
выполнять проверку.
------------------------------------------
С уважением,
Голуб Михаил
******************************************
Компания Инком
Бизнес-центр Инком, ул. Смоленская, 31/33
г. Киев 03005 Украина
http://www.incom.ua
MG93-UANIC
Golub Mikhail
А вы самому себе письма не пишите? :) - такое иногда наблюдаю.
Или тогда надо ваши условия дополнять ...
------------------------------------------
С уважением,
Голуб Михаил
******************************************
Компания Инком
Бизнес-центр Инком, ул. Смоленская, 31/33
г. Киев 03005 Украина
http://www.incom.ua
MG93-UANIC
_______________________________________________
Lystopad Olexandr
А такой вариант после пропускания аутентифицированных юзеров
покритикуйте:
warn sender_domains = +local_domains
message = Our customers must be authenticated! Sorry, we reject all other!
log_message = WARN:: bad sender from SENDER , MAILFROMRCPTTO
Я пока наблюдаю за ним, еще не включил.
On Wed, Dec 03, 2008 at 05:10:50PM +0200
postm...@amstor.ua wrote about "Re: [Exim-rusers] Отсечение писем "самому себе"":
> 1. Свои пользователи должны быть аутентифицированы.
> 2. Если прием производится шлюзом (как у меня), то проверять что "свой" отправитель пишет с внутреннего хоста:
> deny
> !hosts = +relay_from_hosts
> senders = +domain_users
> message = RELAY???
> logwrite = STAGE[RCPT-FAIL]:ID=$acl_m19:Denied as relay
>
> Vladimir Mevsha пишет:
> > Здравствуйте.
> >
> > Я в последнее время стал получать много спам писем, в которых в качестве
> > адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> > и получателя идентичны, и в связи с этим появилось желание делать reject
> > таких писем на уровне МТА.
> > Могут ли при этом появиться какие-то "подводные камни", и использует ли
> > кто такой "дополнительный" метод фильтрации спама?
> > Правильно ли будет сравнивать как ((домен отправителя и домен
> > получателя) и (local_part отправителя и local_part получателя))?
> > Также буду благодарен, если кто-то поделится работающим acl (можно в личку).
--
Olexandr Lystopad
George L. Yermulnik
On Wed, 03 Dec 2008 at 17:20:32 (+0200), Golub Mikhail wrote:
> > Если не заморачиваться наличием подводных камней у этой идеи (а их
> > можно
> > нарыть), то примерно так:
> > acl_check_rcpt:
> > reject message = mailfrom cannot be equal to rcptto
> > condition = ${if eq{$local_part@$domain}{$sender_address}
> > {yes}{no}}
> А вы самому себе письма не пишите? :)
А Вы письма целиком не читаете? =)
Первая фраза моего поста?
> - такое иногда наблюдаю.
За мной? =)
> Или тогда надо ваши условия дополнять ...
Естесственно. Я всего лишь дал направление и ответ на вопрос
топикстартера.
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
George L. Yermulnik
On Wed, 03 Dec 2008 at 18:47:12 (+0300), Lystopad Olexandr wrote:
> А такой вариант после пропускания аутентифицированных юзеров
> покритикуйте:
> warn sender_domains = +local_domains
> message = Our customers must be authenticated! Sorry, we reject all other!
> log_message = WARN:: bad sender from SENDER , MAILFROMRCPTTO
> Я пока наблюдаю за ним, еще не включил.
Мой камент касается только работы ISP: много (довольно много)
пользователей используют всегда один и тот же mailfrom, подключаясь
через разных провайдеров. Поэтому ситуация, когда пользователь
us...@isp.com шлёт почту своему контрагенту us...@isp.com, но через
рилей isp2.net, довольно распространена.
Плюс ко всему этому (но это редкость) сторонние списки рассылок,
реализованные не через листменеджеры, а банально через алиасы...
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Lystopad Olexandr
On Wed, Dec 03, 2008 at 05:53:51PM +0200
y...@yz.kiev.ua wrote about "Re: [Exim-rusers] Отсечение писем "самому себе"":
> On Wed, 03 Dec 2008 at 18:47:12 (+0300), Lystopad Olexandr wrote:
> > А такой вариант после пропускания аутентифицированных юзеров
> > покритикуйте:
>
> > warn sender_domains = +local_domains
> > message = Our customers must be authenticated! Sorry, we reject all other!
> > log_message = WARN:: bad sender from SENDER , MAILFROMRCPTTO
>
> > Я пока наблюдаю за ним, еще не включил.
>
> Мой камент касается только работы ISP: много (довольно много)
> пользователей используют всегда один и тот же mailfrom, подключаясь
> через разных провайдеров. Поэтому ситуация, когда пользователь
> us...@isp.com шлёт почту своему контрагенту us...@isp.com, но через
> рилей isp2.net, довольно распространена.
Ну в моем случае такого не будет, потому что у меня exim на четырех
разных портах сидит, еще не было случая, чтобы к не было доступа
откуда-либо. Поэтому достучаться к _своему_ почтовику в моем случае
можно почти всегда.
> Плюс ко всему этому (но это редкость) сторонние списки рассылок,
> реализованные не через листменеджеры, а банально через алиасы...
Ну эту мысль я покурю... спасибо.
--
Olexandr Lystopad
Alexander Shikoff
> Здравствуйте.
>
> Я в последнее время стал получать много спам писем, в которых в качестве
> адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> и получателя идентичны, и в связи с этим появилось желание делать reject
> таких писем на уровне МТА.
> Могут ли при этом появиться какие-то "подводные камни", и использует ли
> кто такой "дополнительный" метод фильтрации спама?
> Правильно ли будет сравнивать как ((домен отправителя и домен
> получателя) и (local_part отправителя и local_part получателя))?
> Также буду благодарен, если кто-то поделится работающим acl (можно в личку).
Я делаю так:
# ---- Deny mail from external addressess from local/virtual domains
# ---- Skip authenticated users
deny
message = Authentication needed to send mail from my domain from external IP!
!authenticated = *
!hosts = +int_hosts
sender_domains = +virtual_domains : +local_domains
domains = +virtual_domains : +local_domains
--
MINO-RIPE
Le...@lena.kiev.ua
> Я в последнее время стал получать много спам писем, в которых в качестве
> адреса отправителя указан мой почтовый адрес
А я нет. Хотя попыток спама по 5 тысяч в сутки. Но прорываются единицы,
причем не с моим адресом отправителя. То есть мой антиспам отсекает
такой спам между прочим. А вот вам и другим пользователям вашего
почтового сервера могут понадобиться письма от самих себя. В некоторых
почтовых конференциях типа этой адрес отправителя не изменяется.
Кроме того, вашему пользователю может понадобиться быстро проверить,
работает ли почта, а самый простой способ это сделать - отправить
письмо на свой же форвардер (например на mail.ru), отправляющий
письмо обратно этому же пользователю.
Вот готовый антиспам, работающий, ресурсов не жрущий, созданный с
главной целью минимизировать false positives (случаи, когда
честное письмо ошибочно классифицировано как спам), но показавший
и высокую эффективность в отсечении спама и вирусов, причем
задержки честных писем (на 5-30 минут) бывают крайне редко, пользуйтесь:
http://wiki.exim.org/DbLessGreyListingRun
И не будет у вас проблемы со спамом с вашим адресом отправителя.
Такой спам будет отсекаться другими способами. А когда случится
ситуация, что вам должно прийти честное письмо с вашим адресом
отправителя, оно придет.
Le...@lena.kiev.ua
George L. Yermulnik
On Wed, 03 Dec 2008 at 19:12:20 (+0200), Le...@lena.kiev.ua wrote:
> почтового сервера могут понадобиться письма от самих себя. В некоторых
> почтовых конференциях типа этой адрес отправителя не изменяется.
Хидер From не изменяется, а вот Envelope-From (smtp mail from)
изменяется.
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Le...@lena.kiev.ua
а envelope-from / Return-Path ($sender_address). В большинстве конференций
envelope-from меняется, но не во всех.
> From: Vladimir Mevsha
> Я в последнее время стал получать много спам писем, в которых в качестве
> адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> и получателя идентичны, и в связи с этим появилось желание делать reject
> таких писем на уровне МТА.
> Могут ли при этом появиться какие-то "подводные камни"
Еще один подводный камень: один ваш пользователь может отправить
письмо другому вашему пользователю или вам. Через релей ("SMTP-сервер")
провайдера, а не через ваш, т.е. на вашем сервере аутентификации не будет.
Я вот сейчас грепнула мои логи, кроме моих исходящих писем
(с аутентификацией, на нестандартный порт)
и почты из скриптов на той же машине, где MTA (в $sender_host_address пусто),
нашлись еще случаи, когда я отправляю из дома через релей провайдера
письма на ящик моего пользователя на моем сервере.
Еще нашлись случаи, когда я отправляю письмо с мобилки
через релей мобильного оператора, копия моего исходящего письма идет
в мой ящик (настройка "копия себе"). Некоторым провайдерам
(в частности и моему домашнему, и моему мобильному) лень бороться со
своими затрояненными пользователями, они просто закрыли исходящие
TCP-соединения на порт 25, можно отправлять только через их релей.
Штатный почтовый клиент в некоторых мобилках не настолько продвинутый,
чтобы можно было настроить отправку через нестандартный порт
с аутентификацией.
Еще этот же вопрос недавно задавали в англоязычной exim-users,
там что-то говорили что Paypal и какие-то еще службы могут отправлять
с адресом пользователя в envelope-from (я не вникала).
Le...@lena.kiev.ua
отправителя, все 7 были отвергнуты моим антиспамом (Корея, 2 раза Китай,
2 раза IP в моем локальном черном списке, имя хоста в моем локальном
черном списке, IP в CBL и грейлистинг сработал - повтора не было).
И еще нашлось вот что: релей моего провайдера (тоже Exim) делает
verify sender callout и verify recipient callout defer_ok
всей той почты, которую он релеит. Вот и нашлись вызовы моего rcpt acl
с моим адресом отправителя - это когда я отправляла письма моему
пользователю: за 2 секунды сначала проверка отправителя
(helo, mail from:<>, rcpt to:<мой адрес>, quit), потом проверка получателя
(helo, mail from:<мой адрес>, rcpt to:<адрес моего пользователя> - пошло
на грейлистинг из-за helo вместо ehlo, но это безвредно из-за defer_ok, quit),
потом передача письма через новое соединение (теперь уже с ehlo, а не helo,
и с TLS).
Vladimir Mevsha
> P.S. Используйте мой конфиг, приложенный к той странике wiki.
Несколько дней назад изучал Ваш конфиг с тех же страничек wiki на
предмет реализации антиспама и greylisting (правда мой выбор упал на
реализацию через perl-скрипт из-за нежелания пересобирать exim в debian,
маленькая нагрузка это позволяет), заметил один нюанс: у Вас встречается
использование dsbl.org, а на ихнем сайте написано "dsbl is gone" и что
база у них сейчас пустая. Есть предположения, что они оживут?
Le...@lena.kiev.ua
> мой выбор упал на
> реализацию через perl-скрипт из-за нежелания пересобирать exim в debian
Для варианта http://wiki.exim.org/DbLessGreyListingRun
пересобирать не нужно.
Грейлистинг хорош только в комплексе с другими мерами.
Отправлять на грейлистинг надо не всех подряд, а только подозрительных.
> у Вас встречается
> использование dsbl.org, а на ихнем сайте написано "dsbl is gone"
Спасибо, это я не отследила. Надеялась, что оживут. Теперь надежды уже нет.
Жалко. Мне его сейчас нехватает, ведь open relays пробивают грейлистинг,
а deny по большинству других черных списков я не хочу из-за риска
false positives. В njabl открытых релеев мало:
Open relays: 3125
Multi-stage open relays: 1
Может кто-то знает еще список open relays?
Alex
-----Original Message-----
From:
To:
Date: Dec 03, 2008 19:34:08
Subject:
>
> Здравствуйте.
>
> Я в последнее время стал получать много спам писем, в которых в качестве
> адреса отправителя указан мой почтовый адрес, тоесть адреса отправителя
> и получателя идентичны, и в связи с этим появилось желание делать reject
> таких писем на уровне МТА.
> Могут ли при этом появиться какие-то "подводные камни", и использует ли
> кто такой "дополнительный" метод фильтрации спама?
> Правильно ли будет сравнивать как ((домен отправителя и домен
> получателя) и (local_part отправителя и local_part получателя))?
> Также буду благодарен, если кто-то поделится работающим acl (можно в личку).
>
> С Уважением, Владимир Мевша.
>
Я заюзал SPF для этого дела. Не хочу,что б спам от моего имени приходил не только мне,но и людям.
Собираем экзим с WITH_SPF= yes и добавляем это:
deny spf = fail
hosts = !127.0.0.1 : !localhost : !+relay_from_hosts: *
message = "$spf_header_comment"
Не забудь указать SPF запись в DNS.
По SPF тут http://old.openspf.org/dns.html
s...@sys-admin.org
> Создайте для своего (своих) доменов политики SPF и выполняйте их проверку.
> Чужие хосты в нее попадать не будут
> И прислушайтесь к совету - свои должны быть аутентифицированы и для них не
> выполнять проверку.
>
пароли воровать
кстати самому себе пользователи пишут постоянно - используют почту как
записную книжку, очень удобно
Golub Mikhail
From: s...@sys-admin.org [mailto:s...@sys-admin.org]
Sent: Saturday, December 06, 2008 10:52 PM
To: exim...@gmn.org.ua; CIS Exim users mailing list
Subject: Re: [Exim-rusers] Отсечение писем "самому себе"
Создайте для своего (своих) доменов политики SPF и выполняйте их проверку.
Чужие хосты в нее попадать не будут
а если пользователи с левых заграничных интернетов пишут, всех не включишь
Для этого должна быть возможность пользоваться своим сервером для отправки с
любой точки Интернет.