[Exim-rusers] Anti Spam ACL
Proskurin Kirill
Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
кол-во спама ещё на этапе SMTP соединения.
Я ищу оптимальный набор таких правил, для своей будущей почтовой
системы. Давайте делится? У всех же есть интересные идеи.
Сейчас ACL представляют из себя следующее и мало полезное:
### Begin Checks HELO/EHLO
warn message = X-Spam-HELO-Dialup-DSL: Yes
log_message = not present HELO/EHLO greeting, send from $sender_address to $local_part@$domain.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if and { \
{!def:authenticated_id} \
{!def:sender_helo_name} \
} {1}{0} }
delay = 20s
warn message = X-Spam-HELO-Dialup-DSL: Yes
log_message = not valid HELO/EHLO ($sender_helo_name), send from $sender_address to $local_part@$doma
in.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if and { \
{!def:authenticated_id} \
{!match {$sender_helo_name}{\\.}} \
} {1}{0} }
delay = 20s
warn message = X-Spam-HELO-Dialup-DSL: Yes
log_message = HELO/EHLO in blacklist file, send from $sender_address to $local_part@$domain.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if !def:authenticated_id {1}{0}}
condition = ${lookup {$sender_helo_name}nwildlsearch{/var/db/exim/blacklist}{1}{0}}
delay = 20s
### ADD delay for dialup/dsl sender hosts.
warn message = X-Spam-HOSTNAME-Dialup-DSL: Yes
log_message = hostname in blacklist file, send from $sender_address to $local_part@$domain.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if !def:authenticated_id {1}{0}}
condition = ${lookup {$sender_host_name}nwildlsearch{/var/db/exim/blacklist}{1}{0}}
delay = 20s
warn message = X-Spam-HOSTNAME-Dialup-DSL: Yes
log_message = host lookup failed, send from $sender_address to $local_part@$domain.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if !def:authenticated_id {1}{0}}
condition = ${if eq{$host_lookup_failed} {1} {1}{0}}
delay = 20s
### SPF2 delay
warn log_message = $sender_host_address is not allowed to send mail \
from $sender_address_domain. $spf_smtp_comment
hosts = ! +relay_from_hosts : ! $interface_address : *
condition = ${if !def:authenticated_id {1}{0}}
spf = fail
delay = 20s
Вот эти мне нравятся:
### Bounces are never sent to more than one recipient
deny message = Legitimate bounces are never sent to more than one recipient.
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
senders = : postmaster@*
condition = ${if !def:authenticated_id {1}{0}}
condition = ${if >{$recipients_count}{1}{true}{false}}
delay = 20s
### Drop if more than 2 bad recipients
deny message = Too many failed recipients - count = $rcpt_fail_count
hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
condition = ${if !def:authenticated_id {1}{0}}
condition = ${if > {${eval:$rcpt_fail_count}}{1}{yes}{no}}
delay = 20s
#cat /var/db/exim/blacklist:
^.*\..*\..*\..*\..*\..*\..*
^.*ppp(\.|-|_).*
^.*pool(\.|-|_).*
^.*dsl(\.|-|_).*
^.*dial(\.|-|_).*
^.*dialup(\.|-|_).*
^.*dynamic(\.|-|_).*
^.*dyn-ip(\.|-|_).*
^.*nat(\.|-|_).*
^.*catv(\.|-|_).*
^.*cable(\.|-|_).*
^.*client(\.|-|_).*
^.*customer(\.|-|_).*
^.*dhcp(\.|-|_).*
^.*modem(\.|-|_).*
^.*node(\.|-|_).*
^.*user(\.|-|_).*
^.*chello(\.|-|_).*
^.*ipconnect(\.|-|_).*
^.*ip(\.|-|_).*
^.*\.ip\..*
^.*[0-9]{1,4}\.bbtec\.net
^.*[0-9]{1,3}\.comex\.ru
^.*[0-9]{1,3}\.rdm\.ru
^.*\.ipv4\.vnet\.ee
^.*net[0-9]\.gazsvyaz.ru
^.*-[0-9]{1,4}\.stv\.ru
^.*\.cl\.bestcom\.ru
^.*-[0-9]{1,4}\.fibertel\.com\.ar
^.*[0-9]{1,4}\.ez-net\.com
^.*[0-9]{1,4}\.zaural\.ru
P.S. Такие спорные вещи как грейлистинг предлагаю оставить за кадром.
;-)
--
С уважением,
Проскурин Кирилл mailto:k.pro...@fxclub.org
_______________________________________________
exim-users mailing list
exim-...@exim.org.ua
http://exim.org.ua/mailman/listinfo/exim-users
s...@sys-admin.org
> Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
> кол-во спама ещё на этапе SMTP соединения.
>
по какому то признаку (может subj, но он кодированный по разному)
заносить в белый лист в базу данных - и при приеме их не считать
спамом или повышать ham баллы
Vasiliy P. Melnik
>
> > Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
> > кол-во спама ещё на этапе SMTP соединения.
> >
> было бы хорошо например письма которые идут от нас на которые отвечают -
> по какому то признаку (может subj, но он кодированный по разному)
> заносить в белый лист в базу данных - и при приеме их не считать
> спамом или повышать ham баллы
проще адреса, на которые идут сообщения добавлять в вайт-листы.
неблагодарное это занятие сабжекты разгребать
--
-------------------------------------------------------------------------------
Vasiliy P. Melnik VPM-RIPE, VPM-UANIC
Alexander Titaev
Friday, October 31, 2008, 3:59:44 AM, you wrote:
PK> Здравствуйте, Exim-users.
PK> Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
PK> кол-во спама ещё на этапе SMTP соединения.
PK> Я ищу оптимальный набор таких правил, для своей будущей почтовой
PK> системы. Давайте делится? У всех же есть интересные идеи.
PK> Сейчас ACL представляют из себя следующее и мало полезное:
PK> ### Begin Checks HELO/EHLO
PK> warn message = X-Spam-HELO-Dialup-DSL: Yes
PK> log_message = not present HELO/EHLO greeting, send from $sender_address to $local_part@$domain.
PK> hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
PK> condition = ${if and { \
PK> {!def:authenticated_id} \
PK> {!def:sender_helo_name} \
PK> } {1}{0} }
PK> delay = 20s
PK> warn message = X-Spam-HELO-Dialup-DSL: Yes
PK> log_message = not valid HELO/EHLO ($sender_helo_name), send from $sender_address to $local_part@$doma
PK> in.
PK> hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
PK> condition = ${if and { \
PK> {!def:authenticated_id} \
PK> {!match {$sender_helo_name}{\\.}} \
PK> } {1}{0} }
PK> delay = 20s
а чем оно от предыдущего отличается? И зачем вообще принимать мессаги от тех кто
не говорит helo?
PK> warn message = X-Spam-HELO-Dialup-DSL: Yes
PK> log_message = HELO/EHLO in blacklist file, send from $sender_address to $local_part@$domain.
PK> hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
PK> condition = ${if !def:authenticated_id {1}{0}}
PK> condition = ${lookup
PK> {$sender_helo_name}nwildlsearch{/var/db/exim/blacklist}{1}{0}}
PK> delay = 20s
PK> ### ADD delay for dialup/dsl sender hosts.
PK> warn message = X-Spam-HOSTNAME-Dialup-DSL: Yes
PK> log_message = hostname in blacklist file, send from $sender_address to $local_part@$domain.
PK> hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
PK> condition = ${if !def:authenticated_id {1}{0}}
PK> condition = ${lookup
PK> {$sender_host_name}nwildlsearch{/var/db/exim/blacklist}{1}{0}}
PK> delay = 20s
базы по паленым helo и hostname должны несколько различаться. Например helo без
точки или mail.ru
У меня кроме того идет сравнение для тех кто юзает популярные helo c доменом второго уровня
полученного из $sender_host_name
defer
hosts = !195.239.174.43:!213.180.199.1:!194.25.134.0/24
condition = ${lookup{$sender_helo_name}wildlsearch{CONFDIR/popular_helo}{yes}{no}}
condition = ${if !eq{${sg{$sender_helo_name}{\N.*?([-a-z0-9]+)\.(\w+)$\N}{\$1.\$2}}}{${sg{$sender_host_nam
e}{\N.*?([-a-z0-9]+)\.(\w+)$\N}{\$1.\$2}}}{yes}{no}}
delay = 33s
message = Strange HELO.Try later.
PK> Вот эти мне нравятся:
PK> ### Bounces are never sent to more than one recipient
PK> deny message = Legitimate bounces are never sent to more than one recipient.
PK> hosts = ! +relay_from_hosts : ! 127.0.0.1 : *
PK> senders = : postmaster@*
PK> condition = ${if !def:authenticated_id {1}{0}}
PK> condition = ${if >{$recipients_count}{1}{true}{false}}
PK> delay = 20s
а боунсы разве от postmaster@ генерятся? Те во from: то он стоит, но в
mail from:<>
PK> #cat /var/db/exim/blacklist:
PK> ^.*ppp(\.|-|_).*
PK> ^.*pool(\.|-|_).*
PK> ^.*dsl(\.|-|_).*
PK> ^.*dial(\.|-|_).*
PK> ^.*dialup(\.|-|_).*
PK> ^.*dynamic(\.|-|_).*
PK> ^.*dyn-ip(\.|-|_).*
PK> ^.*nat(\.|-|_).*
PK> ^.*catv(\.|-|_).*
PK> ^.*cable(\.|-|_).*
PK> ^.*client(\.|-|_).*
PK> ^.*customer(\.|-|_).*
PK> ^.*dhcp(\.|-|_).*
PK> ^.*modem(\.|-|_).*
PK> ^.*node(\.|-|_).*
PK> ^.*user(\.|-|_).*
PK> ^.*chello(\.|-|_).*
PK> ^.*ipconnect(\.|-|_).*
PK> ^.*ip(\.|-|_).*
пойдут лесом все домены второго уровня , например mailuser.ru или pip.net
еще бывает полезно чекать адреса отправителей по локальной базе
deny
message = Mail is blocked, spam like sender email, contact ab...@dsi.ru.
condition = ${lookup{$sender_address}nwildlsearch{CONFDIR/badsenders}{yes}{no}}
lust#less badsenders
^n\.[0-9]{4,5}\.[0-9]{6,9}@.*
^(_|-|\|).+@.+$
^lin.*met@.+$
^akst.*sdgs@.+$
^\w+\d...@online.com.ua
^\w+\d...@online.ua
^\w+\d...@uol.ua
^\w+\d...@startua.com
^user\d{5}@*
^user\d...@msn.com$
^user\d...@aol.com$
^user\d...@hotmail.com$
^alex\d+.notes\d+.*
^\w+evge\.irkov.*
^\w+tonia\.ertoka.*
^\w+anton\.mash.*
*@elektrovint.info
*@mayridge.com
*@optonline.com
*@optonline.net
*@verticaltower.info
*@speedsend.net
ну и поскольку адреса часто генереные
deny
hosts = !+relay_hosts
log_message = Check Callout $sender_host_name $sender_address
condition = ${if and {\
{match{$sender_address_local_part}{\N[^aeiuoy]{5,}\N}} \
{!match{$sender_address_local_part}{\N(subscribe|bounce)\N}} \
}{yes}{no}}
!verify = sender/callout
--
Best regards,
Alexander mailto:t...@irk.ru
Proskurin Kirill
Отличные правки.
Я ещё вот добавил:
# Deny if in HELO my IP.
deny condition = ${if eq{$sender_helo_name}\
{$interface_address}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *
message = "My IP in your HELO. Deny."
Нужность этого под вопросом, хотя пару срабатываний было.
# Check for NULL characters in body.
deny message = Body contains $body_zerocount NUL charcter(s)
condition = ${if >{$body_zerocount}{0}{1}{0}}
--
С уважением,
Проскурин Кирилл.
Mykola Dzham
>
> > Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
> > кол-во спама ещё на этапе SMTP соединения.
> >
> было бы хорошо например письма которые идут от нас на которые отвечают -
> по какому то признаку (может subj, но он кодированный по разному)
> заносить в белый лист в базу данных - и при приеме их не считать
> спамом или повышать ham баллы
Запоминать Message-ID исходящих где-нибудь в базе, а потом для входящих
делать лукап значений References: и In-Reply-To: по этой базе?
╛
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
Proskurin Kirill
>> Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
>> кол-во спама ещё на этапе SMTP соединения.
>>
> было бы хорошо например письма которые идут от нас на которые отвечают -
> по какому то признаку (может subj, но он кодированный по разному)
> заносить в белый лист в базу данных - и при приеме их не считать
> спамом или повышать ham баллы
auto white list оп исходящей почте?
Совсем недавно тут кидал такой пример.
--
С уважением,
Проскурин Кирилл.
Alexander Shikoff
> s...@sys-admin.org wrote:
> >
> > > Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
> > > кол-во спама ещё на этапе SMTP соединения.
> > >
> > было бы хорошо например письма которые идут от нас на которые отвечают -
> > по какому то признаку (может subj, но он кодированный по разному)
> > заносить в белый лист в базу данных - и при приеме их не считать
> > спамом или повышать ham баллы
>
> Запоминать Message-ID исходящих где-нибудь в базе, а потом для входящих
> делать лукап значений References: и In-Reply-To: по этой базе?
Неплохая идея, но работать будет плохо вследствие того, что некоторые
MUA грешат тем, что не выставляют References: и In-Reply-To:
--
MINO-RIPE
Lystopad Olexandr
On Fri, Oct 31, 2008 at 10:38:50AM +0200
mino...@crete.org.ua wrote about "Re: [Exim-rusers] Anti Spam ACL":
> On Fri, Oct 31, 2008 at 10:33:51AM +0200, Mykola Dzham wrote:
> > s...@sys-admin.org wrote:
> > >
> > > > Не секрет что возможности ACL Exim`ма позволяют отбрасывать огромное
> > > > кол-во спама ещё на этапе SMTP соединения.
> > > >
> > > было бы хорошо например письма которые идут от нас на которые отвечают -
> > > по какому то признаку (может subj, но он кодированный по разному)
> > > заносить в белый лист в базу данных - и при приеме их не считать
> > > спамом или повышать ham баллы
> >
> > Запоминать Message-ID исходящих где-нибудь в базе, а потом для входящих
> > делать лукап значений References: и In-Reply-To: по этой базе?
>
> Неплохая идея, но работать будет плохо вследствие того, что некоторые
> MUA грешат тем, что не выставляют References: и In-Reply-To:
Так никто не говорил что не принимать такие письма, просто если есть
лукап, то отнестись к такому письму более снисходительно. :)
--
Olexandr Lystopad
Sergey A. Kobzar
> Alexander Titaev wrote:
> Отличные правки.
> Я ещё вот добавил:
> # Deny if in HELO my IP.
> deny condition = ${if eq{$sender_helo_name}\
> {$interface_address}{yes}{no}}
> hosts = !127.0.0.1 : !localhost : *
> message = "My IP in your HELO. Deny."
Да я вообще с подобными не заморачиваюсь:
deny message = The message was rejected because HELO is an IP address
condition = ${if isip{$sender_helo_name}{yes}{no}}
Нечего лепить в HELO какой-то IP без brackets.
Срабатываний по правилу хватает.
--
Sergey
Proskurin Kirill
> Friday, October 31, 2008, 9:24:45 AM, Proskurin wrote:
>
>> Alexander Titaev wrote:
>
>> Отличные правки.
>> Я ещё вот добавил:
>
>> # Deny if in HELO my IP.
>> deny condition = ${if eq{$sender_helo_name}\
>> {$interface_address}{yes}{no}}
>> hosts = !127.0.0.1 : !localhost : *
>> message = "My IP in your HELO. Deny."
>
> Да я вообще с подобными не заморачиваюсь:
>
> deny message = The message was rejected because HELO is an IP address
> condition = ${if isip{$sender_helo_name}{yes}{no}}
>
> Нечего лепить в HELO какой-то IP без brackets.
> Срабатываний по правилу хватает.
Вы нарушаете RFC 5321.
http://tools.ietf.org/html/rfc5321
В HELO должно быть FQDN OR IP litteral.
--
С уважением,
Проскурин Кирилл.
_______________________________________________
Le...@lena.kiev.ua
> еще бывает полезно чекать адреса отправителей по локальной базе
> deny
> message = Mail is blocked, spam like sender email, contact ab...@dsi.ru.
> condition = ${lookup{$sender_address}nwildlsearch{CONFDIR/badsenders}{yes}{no}}
>
> lust#less badsenders
> ^n\.[0-9]{4,5}\.[0-9]{6,9}@.*
> ^(_|-|\|).+@.+$
Адреса реальных людей:
---leshey---2001@***.ru
_veronika@***.by
__elle__@***.ru
_____sun_____@***.ru
_Alpha_@***.ru
> ^\w+\d...@online.com.ua
> ^\w+\d...@online.ua
> ^\w+\d...@uol.ua
> ^\w+\d...@startua.com
Среди email адресов моих знакомых в 25% localpart кончается цифрой:
~ $ egrep '[0-9]@' dossier | wc -l
786
~ $ fgrep '@' dossier | wc -l
3149
Чаще такие адреса встречаются на бесплатных сервисах почты типа mail.ru.
online.ua и отстальные три - домены как раз одного из таких сервисов,
см. http://mail.online.ua
> *@optonline.com
> *@optonline.net
Крупный американский провайдер.
Sergey A. Kobzar
> Sergey A. Kobzar wrote:
>> Friday, October 31, 2008, 9:24:45 AM, Proskurin wrote:
>>
>>> Alexander Titaev wrote:
>>
>>> Отличные правки.
>>> Я ещё вот добавил:
>>
>>> # Deny if in HELO my IP.
>>> deny condition = ${if eq{$sender_helo_name}\
>>> {$interface_address}{yes}{no}}
>>> hosts = !127.0.0.1 : !localhost : *
>>> message = "My IP in your HELO. Deny."
>>
>> Да я вообще с подобными не заморачиваюсь:
>>
>> deny message = The message was rejected because HELO is an IP address
>> condition = ${if isip{$sender_helo_name}{yes}{no}}
>>
>> Нечего лепить в HELO какой-то IP без brackets.
>> Срабатываний по правилу хватает.
> Вы нарушаете RFC 5321.
> http://tools.ietf.org/html/rfc5321
Ничего я не нарушаю.
> В HELO должно быть FQDN OR IP litteral.
IP literal != IP address
--
Sergey
Victor Cheburkin
On Fri, Oct 31, 2008 at 12:41 +0300, Proskurin Kirill wrote:
> >> Отличные правки.
> >> Я ещё вот добавил:
> >
> >> # Deny if in HELO my IP.
> >> deny condition = ${if eq{$sender_helo_name}\
> >> {$interface_address}{yes}{no}}
> >> hosts = !127.0.0.1 : !localhost : *
> >> message = "My IP in your HELO. Deny."
> >
> > Да я вообще с подобными не заморачиваюсь:
> >
> > deny message = The message was rejected because HELO is an IP address
> > condition = ${if isip{$sender_helo_name}{yes}{no}}
> >
> > Нечего лепить в HELO какой-то IP без brackets.
> > Срабатываний по правилу хватает.
>
> Вы нарушаете RFC 5321.
> http://tools.ietf.org/html/rfc5321
А вы не читая это утверждаете?
> В HELO должно быть FQDN OR IP litteral.
Угу, читать пункт 4.1.3 вышеуказанного RFC до просветления.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
Proskurin Kirill
> Hi, exim-users!
>
> On Fri, Oct 31, 2008 at 12:41 +0300, Proskurin Kirill wrote:
>
>>>> Отличные правки.
>>>> Я ещё вот добавил:
>>>> # Deny if in HELO my IP.
>>>> deny condition = ${if eq{$sender_helo_name}\
>>>> {$interface_address}{yes}{no}}
>>>> hosts = !127.0.0.1 : !localhost : *
>>>> message = "My IP in your HELO. Deny."
>>> Да я вообще с подобными не заморачиваюсь:
>>>
>>> deny message = The message was rejected because HELO is an IP address
>>> condition = ${if isip{$sender_helo_name}{yes}{no}}
>>>
>>> Нечего лепить в HELO какой-то IP без brackets.
>>> Срабатываний по правилу хватает.
>> Вы нарушаете RFC 5321.
>> http://tools.ietf.org/html/rfc5321
>
> А вы не читая это утверждаете?
>
>> В HELO должно быть FQDN OR IP litteral.
>
> Угу, читать пункт 4.1.3 вышеуказанного RFC до просветления.
>
P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
--
С уважением,
Проскурин Кирилл.
Victor Cheburkin
On Fri, Oct 31, 2008 at 11:41 +0200, Le...@lena.kiev.ua wrote:
> > еще бывает полезно чекать адреса отправителей по локальной базе
> > deny
> > message = Mail is blocked, spam like sender email, contact ab...@dsi.ru.
> > condition = ${lookup{$sender_address}nwildlsearch{CONFDIR/badsenders}{yes}{no}}
> >
> > lust#less badsenders
> > ^n\.[0-9]{4,5}\.[0-9]{6,9}@.*
> > ^(_|-|\|).+@.+$
>
> Адреса реальных людей:
> ---leshey---2001@***.ru
> _veronika@***.by
> __elle__@***.ru
> _____sun_____@***.ru
> _Alpha_@***.ru
>
> > ^\w+\d...@online.com.ua
> > ^\w+\d...@online.ua
> > ^\w+\d...@uol.ua
> > ^\w+\d...@startua.com
>
> Среди email адресов моих знакомых в 25% localpart кончается цифрой:
> ~ $ egrep '[0-9]@' dossier | wc -l
> 786
> ~ $ fgrep '@' dossier | wc -l
> 3149
Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
Лично я вижу как минимум проблемы при передаже такого адреса на обработку
внешним прогам, которые могут воспринять такой адрес как опцию и долго
ругаться.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Victor Cheburkin
On Fri, Oct 31, 2008 at 13:07 +0300, Proskurin Kirill wrote:
> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
Почту нужно слать через релеи провайдера, а провайдер должнен принимать
почту от своих клиентов вне зависимости от того, что прописано в HELO.
Если же кто-то считает себя сильно умным и шлет напрямую -- он должен
быть либо достаточно умным, чтобы прописать в HELO FQDN, либо быть
готовым к тому, что его пошлют.
В любом случае, спама так отбивается в сотню раз больше.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Maxim Morgunov
Вы писали 31 октября 2008 г., 18:07:12:
> Victor Cheburkin wrote:
>> Hi, exim-users!
>>
>> On Fri, Oct 31, 2008 at 12:41 +0300, Proskurin Kirill wrote:
>>
>>>>> Отличные правки.
>>>>> Я ещё вот добавил:
>>>>> # Deny if in HELO my IP.
>>>>> deny condition = ${if eq{$sender_helo_name}\
>>>>> {$interface_address}{yes}{no}}
>>>>> hosts = !127.0.0.1 : !localhost : *
>>>>> message = "My IP in your HELO. Deny."
>>>> Да я вообще с подобными не заморачиваюсь:
>>>>
>>>> deny message = The message was rejected because HELO is an IP address
>>>> condition = ${if isip{$sender_helo_name}{yes}{no}}
>>>>
>>>> Нечего лепить в HELO какой-то IP без brackets.
>>>> Срабатываний по правилу хватает.
>>> Вы нарушаете RFC 5321.
>>> http://tools.ietf.org/html/rfc5321
>>
>> А вы не читая это утверждаете?
>>
>>> В HELO должно быть FQDN OR IP litteral.
>>
>> Угу, читать пункт 4.1.3 вышеуказанного RFC до просветления.
>>
> Оу, я извиняюсь. Всегда понимал это иначе. :-(
> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
Идут лесом :)
warn
set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
drop
condition = ${if eq{$acl_c1}{} {1}{0}}
!authenticated = *
message = no host name found for you IP address!
P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
--
С уважением,
Maxim mailto:ad...@irmet.ru
Proskurin Kirill
> Hi, exim-users!
>
> On Fri, Oct 31, 2008 at 13:07 +0300, Proskurin Kirill wrote:
>
>> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
>> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
>
> Почту нужно слать через релеи провайдера, а провайдер должнен принимать
> почту от своих клиентов вне зависимости от того, что прописано в HELO.
> Если же кто-то считает себя сильно умным и шлет напрямую -- он должен
> быть либо достаточно умным, чтобы прописать в HELO FQDN, либо быть
> готовым к тому, что его пошлют.
> В любом случае, спама так отбивается в сотню раз больше.
Да я не спорю.
Только вот среди этих идиотов может быть ваш клиент.
У нас внизу здания живёт банк, не крупный, не маленький.
У них почтой заведует 50+ летний мужичёк, который еле понимает как она
вообще работает. Им кто-то там настроил sendmail и он уже работает не
первый год. Начались у нас проблемы с доставкой почты, позвонил, понял
что человек ну вообще не понимает как там всё работает, пришлось самому
спускаться к ним и смотреть что там да как.
И таких кадров много. Они могут вам в HELO сувать и свой IP и mycompany
и всё что угодно. И да их можно(и нужно) резать, но увы - они наши
наши клиенты так или иначе и почта от них должна ходить.
Простите за лирику.
--
С уважением,
Проскурин Кирилл.
George L. Yermulnik
On Fri, 31 Oct 2008 at 18:22:58 (+0800), Maxim Morgunov wrote:
> warn
> set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
> drop
> condition = ${if eq{$acl_c1}{} {1}{0}}
> !authenticated = *
> message = no host name found for you IP address!
> P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
Или Вы о них просто не знаете... Ну и специфика ведь разнится у вашей
фирмы и у, скажем, ISP.
--
George L. Yermulnik
[YZ-RIPE]
George L. Yermulnik
On Fri, 31 Oct 2008 at 13:27:25 (+0300), Proskurin Kirill wrote:
> >> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
> >> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
> > Почту нужно слать через релеи провайдера, а провайдер должнен принимать
> > почту от своих клиентов вне зависимости от того, что прописано в HELO.
> > Если же кто-то считает себя сильно умным и шлет напрямую -- он должен
> > быть либо достаточно умным, чтобы прописать в HELO FQDN, либо быть
> > готовым к тому, что его пошлют.
> > В любом случае, спама так отбивается в сотню раз больше.
> Да я не спорю.
> Только вот среди этих идиотов может быть ваш клиент.
whitelist'ы никто не отменял.
> У нас внизу здания живёт банк, не крупный, не маленький.
> У них почтой заведует 50+ летний мужичёк, который еле понимает как она
> вообще работает. Им кто-то там настроил sendmail и он уже работает не
> первый год. Начались у нас проблемы с доставкой почты, позвонил, понял
> что человек ну вообще не понимает как там всё работает, пришлось самому
> спускаться к ним и смотреть что там да как.
> И таких кадров много. Они могут вам в HELO сувать и свой IP и mycompany
> и всё что угодно. И да их можно(и нужно) резать, но увы - они наши
> наши клиенты так или иначе и почта от них должна ходить.
> Простите за лирику.
--
George L. Yermulnik
[YZ-RIPE]
Proskurin Kirill
> Hello!
>
> On Fri, 31 Oct 2008 at 13:27:25 (+0300), Proskurin Kirill wrote:
>
>>>> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
>>>> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
>
>>> Почту нужно слать через релеи провайдера, а провайдер должнен принимать
>>> почту от своих клиентов вне зависимости от того, что прописано в HELO.
>>> Если же кто-то считает себя сильно умным и шлет напрямую -- он должен
>>> быть либо достаточно умным, чтобы прописать в HELO FQDN, либо быть
>>> готовым к тому, что его пошлют.
>>> В любом случае, спама так отбивается в сотню раз больше.
>
>> Да я не спорю.
>> Только вот среди этих идиотов может быть ваш клиент.
>
> whitelist'ы никто не отменял.
Всех не завайтлистиш.
Это был просто пример уже существующего клиента, а если некто как раз
впервые нам пишет и предложением, бла, бла, много денег?
--
С уважением,
Проскурин Кирилл.
George L. Yermulnik
On Fri, 31 Oct 2008 at 13:30:59 (+0300), Proskurin Kirill wrote:
> > whitelist'ы никто не отменял.
> Всех не завайтлистиш.
> Это был просто пример уже существующего клиента, а если некто как раз
> впервые нам пишет и предложением, бла, бла, много денег?
У нас специфика разная: Вам важно получить свою почту и Вы сознательно
идёте на то, чтобы принимать почту, несоответствующую стандартам,
львиной долей коей является спам, а нам главное - защитить пользователей
от спама с минимальным процентом ложных срабатываний.
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Vasiliy P. Melnik
> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
А Вы не боитесь того, что в связи с вашей борьбой со спамом есть вероятность
потери некоторго процента нормальнйо почты ?
--
-------------------------------------------------------------------------------
Vasiliy P. Melnik VPM-RIPE, VPM-UANIC
_______________________________________________
Proskurin Kirill
> Hello!
>
> On Fri, 31 Oct 2008 at 13:30:59 (+0300), Proskurin Kirill wrote:
>
>>> whitelist'ы никто не отменял.
>
>> Всех не завайтлистиш.
>> Это был просто пример уже существующего клиента, а если некто как раз
>> впервые нам пишет и предложением, бла, бла, много денег?
>
> У нас специфика разная: Вам важно получить свою почту и Вы сознательно
> идёте на то, чтобы принимать почту, несоответствующую стандартам,
> львиной долей коей является спам, а нам главное - защитить пользователей
> от спама с минимальным процентом ложных срабатываний.
Да видимо вы правы.
P.S. Не сможете показать как вы фильтруете спам?
--
С уважением,
Проскурин Кирилл.
Victor Cheburkin
On Fri, Oct 31, 2008 at 13:27 +0300, Proskurin Kirill wrote:
> >> P.S. В любом случае - мы живём в неидеальном мире и не принимать почту
> >> от хостов подставляющих в HELO IP = терять некий процент нормальной почты.
> >
> > Почту нужно слать через релеи провайдера, а провайдер должнен принимать
> > почту от своих клиентов вне зависимости от того, что прописано в HELO.
> > Если же кто-то считает себя сильно умным и шлет напрямую -- он должен
> > быть либо достаточно умным, чтобы прописать в HELO FQDN, либо быть
> > готовым к тому, что его пошлют.
> > В любом случае, спама так отбивается в сотню раз больше.
>
> Да я не спорю.
> Только вот среди этих идиотов может быть ваш клиент.
>
> У нас внизу здания живёт банк, не крупный, не маленький.
> У них почтой заведует 50+ летний мужичёк, который еле понимает как она
> вообще работает. Им кто-то там настроил sendmail и он уже работает не
> первый год. Начались у нас проблемы с доставкой почты, позвонил, понял
> что человек ну вообще не понимает как там всё работает, пришлось самому
> спускаться к ним и смотреть что там да как.
>
> И таких кадров много. Они могут вам в HELO сувать и свой IP и mycompany
> и всё что угодно. И да их можно(и нужно) резать, но увы - они наши
> наши клиенты так или иначе и почта от них должна ходить.
>
> Простите за лирику.
Для таких вот "особо одаренных" делается "белый список", чтобы принимать
почту безусловно. И их не так уж и много, в сравнении с тем, сколько
едет спама.
Однако, каждый сам думает, на сколько сильно закручивать гайки -- кто-то
может вообще принимать все подряд, кто-то ставит дикие задержки +
грейлистинг + spamassassin + еще какая-то фигня, а кто-то просто закрывает
25й порт.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Victor Cheburkin
On Fri, Oct 31, 2008 at 13:30 +0300, Proskurin Kirill wrote:
> >> Да я не спорю.
> >> Только вот среди этих идиотов может быть ваш клиент.
> >
> > whitelist'ы никто не отменял.
>
> Всех не завайтлистиш.
Если нужно "всех", тогда снимайте фильтры. Если нужно пару десятков,
даже если и сотню IP/e-mail адресов -- все равно спама больше.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Victor Cheburkin
On Fri, Oct 31, 2008 at 12:27 +0200, George L. Yermulnik wrote:
> > warn
> > set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
>
> > drop
> > condition = ${if eq{$acl_c1}{} {1}{0}}
> > !authenticated = *
> > message = no host name found for you IP address!
>
> > P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
>
> Или Вы о них просто не знаете... Ну и специфика ведь разнится у вашей
> фирмы и у, скажем, ISP.
Мне интересно, что будет, если по каким-то причинам exim не сможет
достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Andrey Voitenkov
>>> warn
>>> set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
>>> drop
>>> condition = ${if eq{$acl_c1}{} {1}{0}}
>>> !authenticated = *
>>> message = no host name found for you IP address!
>>> P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
>> Или Вы о них просто не знаете... Ну и специфика ведь разнится у вашей
>> фирмы и у, скажем, ISP.
>
> Мне интересно, что будет, если по каким-то причинам exim не сможет
> достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
>
Весьма действенный способ избавиться от клиентов, особенно в условиях
кризиса актуально :)
--
mccloud@
Alexander Titaev
Friday, October 31, 2008, 5:41:32 PM, you wrote:
>> From: Alexander Titaev
>> еще бывает полезно чекать адреса отправителей по локальной базе
>> deny
>> message = Mail is blocked, spam like sender email, contact ab...@dsi.ru.
>> condition = ${lookup{$sender_address}nwildlsearch{CONFDIR/badsenders}{yes}{no}}
>>
>> lust#less badsenders
>> ^n\.[0-9]{4,5}\.[0-9]{6,9}@.*
>> ^(_|-|\|).+@.+$
Llku> Адреса реальных людей:
Llku> ---leshey---2001@***.ru
Llku> _veronika@***.by
Llku> __elle__@***.ru
Llku> _____sun_____@***.ru
Llku> _Alpha_@***.ru
угу, реальные mx для реального домена
freemail# dig mx gloster.co.uk
; <<>> DiG 9.4.2 <<>> mx gloster.co.uk
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61695
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 2, ADDITIONAL: 4
;; QUESTION SECTION:
;gloster.co.uk. IN MX
;; ANSWER SECTION:
gloster.co.uk. 86400 IN MX 20 smtp.saqnet.co.uk.
gloster.co.uk. 86400 IN MX 30 mail.saq.co.uk.
gloster.co.uk. 86400 IN MX 10 adsl.gloster.co.uk.
gloster.co.uk. 86400 IN MX 10 popmail.gloster.co.uk.
;; AUTHORITY SECTION:
gloster.co.uk. 86400 IN NS ns02.saqnet.co.uk.
gloster.co.uk. 86400 IN NS ns01.saqnet.co.uk.
;; ADDITIONAL SECTION:
adsl.gloster.co.uk. 86400 IN A 195.2.131.26
popmail.gloster.co.uk. 86400 IN A 195.2.140.151
ns02.saqnet.co.uk. 71385 IN A 195.2.156.65
ns01.saqnet.co.uk. 71385 IN A 195.2.130.209
;; Query time: 537 msec
;; SERVER: 195.206.40.175#53(195.206.40.175)
;; WHEN: Fri Oct 31 18:56:25 2008
;; MSG SIZE rcvd: 231
freemail# host 195.2.140.151
151.140.2.195.in-addr.arpa domain name pointer smtp-dial-151.saqnet.co.uk.
значит ли это, что я не должен юзать регексы dsl|dial ?
>> ^\w+\d...@online.com.ua
>> ^\w+\d...@online.ua
>> ^\w+\d...@uol.ua
>> ^\w+\d...@startua.com
Llku> Среди email адресов моих знакомых в 25% localpart кончается цифрой:
Llku> ~ $ egrep '[0-9]@' dossier | wc -l
Llku> 786
Llku> ~ $ fgrep '@' dossier | wc -l
Llku> 3149
freemail# grep -E '[0-9]@' /var/log/exim/mainlog | grep -cE 'P=e?smtp'
16683
у меня больше по любому
:)
Llku> Чаще такие адреса встречаются на бесплатных сервисах почты типа mail.ru.
Llku> online.ua и отстальные три - домены как раз одного из таких сервисов,
Llku> см. http://mail.online.ua
>> *@optonline.com
>> *@optonline.net
Llku> Крупный американский провайдер.
my be
каждое отбитое письмо сопровождается припиской contact ab...@dsi.ru
на abuse принимается все
жалоб как извне, так и от клиентов нет, если были то они были удовлетворены
посредством per user and per domain whitelist
а появились эти ограничения неспроста. В частности через online.com.ua судя по
хидерам писем бомбил какой то иркутский спамер, бомбил обильно, но заводил
аккаунты по маске. Переписка с abuse@online результата не дала - просто не
приходили ответы.
--
Best regards,
Alexander mailto:t...@irk.ru
George L. Yermulnik
On Fri, 31 Oct 2008 at 12:58:23 (+0200), Victor Cheburkin wrote:
> Мне интересно, что будет, если по каким-то причинам exim не сможет
> достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
Не оно?
--- cut ---
10.15 Temporary DNS errors when looking up host information
-----------------------------------------------------------
A temporary DNS lookup failure normally causes a defer action ...
--- cut ---
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Maxim Morgunov
Вы писали 31 октября 2008 г., 18:58:23:
> Hi, exim-users!
> On Fri, Oct 31, 2008 at 12:27 +0200, George L. Yermulnik wrote:
>> > warn
>> > set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
>>
>> > drop
>> > condition = ${if eq{$acl_c1}{} {1}{0}}
>> > !authenticated = *
>> > message = no host name found for you IP address!
>>
>> > P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
>>
>> Или Вы о них просто не знаете... Ну и специфика ведь разнится у вашей
>> фирмы и у, скажем, ISP.
> Мне интересно, что будет, если по каким-то причинам exim не сможет
> достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] sender verify defer for <pini...@irkutskenergo.ru>: host lookup did not complete
2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] F=<pini...@irkutskenergo.ru> temporarily rejected RCPT <ad...@irmet.ru>: Could not complete
sender verify
....
2008-10-31 13:39:47 1KvmjX-0001ur-Q0 <= pini...@irkutskenergo.ru H=(irkutskenergo.ru) [195.206.57.250] P=esmtp S=20275 id=B0298098F56FFE42839...@ID-ES2.id.irkutskenergo.ru from <pini...@irkutskenergo.ru> for ad...@irmet.ru
2008-10-31 13:39:47 1KvmjX-0001ur-Q0 => admin <ad...@irmet.ru> R=mysqluser T=mysql_delivery
2008-10-31 13:39:47 1KvmjX-0001ur-Q0 Completed
--
С уважением,
Maxim mailto:ad...@irmet.ru
Victor Cheburkin
On Fri, Oct 31, 2008 at 13:11 +0200, George L. Yermulnik wrote:
> > Мне интересно, что будет, если по каким-то причинам exim не сможет
> > достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
>
> Не оно?
>
> --- cut ---
> 10.15 Temporary DNS errors when looking up host information
> -----------------------------------------------------------
>
> A temporary DNS lookup failure normally causes a defer action ...
> --- cut ---
Ну дефернется оно, соответствующая переменная будет пустая и...
С dnsdb нужно аккуратнее, типа так:
${lookup dnsdb{ptr=$sender_host_address}{$value}{none}}
Чтобы когда нет бэкрезолва получалось "none", а когда ns недоступен -- ""
и проверять соответственно.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Victor Cheburkin
On Fri, Oct 31, 2008 at 19:19 +0800, Maxim Morgunov wrote:
> >> > warn
> >> > set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
> >>
> >> > drop
> >> > condition = ${if eq{$acl_c1}{} {1}{0}}
> >> > !authenticated = *
> >> > message = no host name found for you IP address!
> >>
> >> > P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
> >>
> >> Или Вы о них просто не знаете... Ну и специфика ведь разнится у вашей
> >> фирмы и у, скажем, ISP.
>
> > Мне интересно, что будет, если по каким-то причинам exim не сможет
> > достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
>
> 2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] sender verify defer for <pini...@irkutskenergo.ru>: host lookup did not complete
> 2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] F=<pini...@irkutskenergo.ru> temporarily rejected RCPT <ad...@irmet.ru>: Could not complete
> sender verify
> ....
> 2008-10-31 13:39:47 1KvmjX-0001ur-Q0 <= pini...@irkutskenergo.ru H=(irkutskenergo.ru) [195.206.57.250] P=esmtp S=20275 id=B0298098F56FFE42839...@ID-ES2.id.irkutskenergo.ru from <pini...@irkutskenergo.ru> for ad...@irmet.ru
> 2008-10-31 13:39:47 1KvmjX-0001ur-Q0 => admin <ad...@irmet.ru> R=mysqluser T=mysql_delivery
> 2008-10-31 13:39:47 1KvmjX-0001ur-Q0 Completed
И где видно, что нет именно бэкрезолва? exim проверяет и обратную запись и
прямую. если прямой нет/недоступна -- будет именно такая ситуация, если же
нет/не доступна обратная -- не факт, может и такая, а может и нет.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
George L. Yermulnik
On Fri, 31 Oct 2008 at 13:28:53 (+0200), Victor Cheburkin wrote:
> > > Мне интересно, что будет, если по каким-то причинам exim не сможет
> > > достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
> > Не оно?
> > --- cut ---
> > 10.15 Temporary DNS errors when looking up host information
> > -----------------------------------------------------------
> > A temporary DNS lookup failure normally causes a defer action ...
> > --- cut ---
> Ну дефернется оно, соответствующая переменная будет пустая и...
Как я понял, оно весь acl defer'нёт. Т.е. место warn в обсуждаемом acl
станет defer.
> С dnsdb нужно аккуратнее, типа так:
> ${lookup dnsdb{ptr=$sender_host_address}{$value}{none}}
> Чтобы когда нет бэкрезолва получалось "none", а когда ns недоступен -- ""
> и проверять соответственно.
--
George L. Yermulnik
[YZ-RIPE]
Victor Cheburkin
On Fri, Oct 31, 2008 at 13:41 +0200, George L. Yermulnik wrote:
> > > > Мне интересно, что будет, если по каким-то причинам exim не сможет
> > > > достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
>
> > > Не оно?
>
> > > --- cut ---
> > > 10.15 Temporary DNS errors when looking up host information
> > > -----------------------------------------------------------
>
> > > A temporary DNS lookup failure normally causes a defer action ...
> > > --- cut ---
>
> > Ну дефернется оно, соответствующая переменная будет пустая и...
>
> Как я понял, оно весь acl defer'нёт. Т.е. место warn в обсуждаемом acl
> станет defer.
Если будет именно так -- тогда нормально.
> > С dnsdb нужно аккуратнее, типа так:
>
> > ${lookup dnsdb{ptr=$sender_host_address}{$value}{none}}
>
> > Чтобы когда нет бэкрезолва получалось "none", а когда ns недоступен -- ""
> > и проверять соответственно.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
Le...@lena.kiev.ua
> Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
> адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
> Лично я вижу как минимум проблемы при передаже такого адреса на обработку
> внешним прогам, которые могут воспринять такой адрес как опцию и долго
> ругаться.
У sendmail есть опция:
-- Stop processing command flags and use the rest of the arguments
as addresses.
Соответственно и Exim такую же опцию командной строки имеет.
Реальные люди, у которых email адрес начинается с минуса, не подозревают,
что некоторые программисты - ламеры. Это не повод не принимать почту
от честных людей.
> From: Maxim Morgunov
> Идут лесом :)
>
> warn
> set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
>
> drop
> condition = ${if eq{$acl_c1}{} {1}{0}}
> !authenticated = *
> message = no host name found for you IP address!
>
> P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
> From: "George L. Yermulnik"
> > ложных срабатываний нет.
>
> Или Вы о них просто не знаете...
Вот именно.
> From: Victor Cheburkin
> Мне интересно, что будет, если по каким-то причинам exim не сможет
> достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
> From: "George L. Yermulnik"
> Не оно?
> --- cut ---
> 10.15 Temporary DNS errors when looking up host information
> A temporary DNS lookup failure normally causes a defer action ...
Не оно. Это про hostlists. А у Максима dnsdb в простейшем варианте.
> From: Maxim Morgunov
> 2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] sender verify defer for <pini...@irkutskenergo.ru>: host lookup did not complete
Это не тот пример. Это результат require verify=sender, а не lookup dnsdb.
> From: Alexander Titaev
> 151.140.2.195.in-addr.arpa domain name pointer smtp-dial-151.saqnet.co.uk.
>
> значит ли это, что я не должен юзать регексы dsl|dial ?
Значит, что не должны вот так в голом виде просто dsl|dial.
cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
109
Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
не подпадает. Каждый из них существенно длиннее, разборчивее.
> через online.com.ua судя по
> хидерам писем бомбил какой то иркутский спамер
И теперь четверть честных пользователей идет лесом.
> Переписка с abuse@online результата не дала
Честные пользователи об этом не подозревают.
Proskurin Kirill
> Значит, что не должны вот так в голом виде просто dsl|dial.
> cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
> 109
> Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
> не подпадает. Каждый из них существенно длиннее, разборчивее.
Не поделитесь?
--
С уважением,
Проскурин Кирилл.
George L. Yermulnik
On Fri, 31 Oct 2008 at 14:30:21 (+0200), Le...@lena.kiev.ua wrote:
> > Мне интересно, что будет, если по каким-то причинам exim не сможет
> > достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
> > From: "George L. Yermulnik"
> > Не оно?
> > --- cut ---
> > 10.15 Temporary DNS errors when looking up host information
> > A temporary DNS lookup failure normally causes a defer action ...
> Не оно. Это про hostlists. А у Максима dnsdb в простейшем варианте.
А это? =)
--- cut ---
The dnsdb lookup fails only if all the DNS lookups fail. If there is a
temporary DNS error for any of them, the behaviour is controlled by an optional
keyword followed by a comma that may appear before the record type. The
possible keywords are "defer_strict", "defer_never", and "defer_lax". With
"strict" behaviour, any temporary DNS error causes the whole lookup to defer.
With "never" behaviour, a temporary DNS error is ignored, and the behaviour is
as if the DNS lookup failed to find anything. With "lax" behaviour, all the
queries are attempted, but a temporary DNS error causes the whole lookup to
defer only if none of the other lookups succeed. The default is "lax", so the
following lookups are equivalent:
--- cut ---
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Alexander Titaev
Friday, October 31, 2008, 8:30:21 PM, you wrote:
>> 151.140.2.195.in-addr.arpa domain name pointer smtp-dial-151.saqnet.co.uk.
>>
>> значит ли это, что я не должен юзать регексы dsl|dial ?
Llku> Значит, что не должны вот так в голом виде просто dsl|dial.
Llku> cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
Llku> 109
Llku> Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
Llku> не подпадает. Каждый из них существенно длиннее, разборчивее.
adsl.gloster.co.uk туда тоже не попадает?
можно взглянуть?
>> через online.com.ua судя по
>> хидерам писем бомбил какой то иркутский спамер
Llku> И теперь четверть честных пользователей идет лесом.
это вывод на основе чего?
>> Переписка с abuse@online результата не дала
Llku> Честные пользователи об этом не подозревают.
а им нужно это знать?
--
Best regards,
Alexander mailto:t...@irk.ru
Victor Cheburkin
On Fri, Oct 31, 2008 at 14:30 +0200, Le...@lena.kiev.ua wrote:
> > Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
> > адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
> > Лично я вижу как минимум проблемы при передаже такого адреса на обработку
> > внешним прогам, которые могут воспринять такой адрес как опцию и долго
> > ругаться.
>
> У sendmail есть опция:
>
> -- Stop processing command flags and use the rest of the arguments
> as addresses.
>
> Соответственно и Exim такую же опцию командной строки имеет.
> Реальные люди, у которых email адрес начинается с минуса, не подозревают,
> что некоторые программисты - ламеры. Это не повод не принимать почту
> от честных людей.
Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
разрешают заводить такие адреса. Те, которые четко указывают, что такие
адреса будут некорректно обработаны -- не ламеры: я ж написал, что где-то
в RFC было такое же ограничение, просто искать лень.
А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
честный человек, а тебя все посылают и не принимают от тебя почту...
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Mykola Dzham
> Hi, exim-users!
>
> On Fri, Oct 31, 2008 at 14:30 +0200, Le...@lena.kiev.ua wrote:
>
> > > Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
> > > адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
> > > Лично я вижу как минимум проблемы при передаже такого адреса на обработку
> > > внешним прогам, которые могут воспринять такой адрес как опцию и долго
> > > ругаться.
> >
> > У sendmail есть опция:
> >
> > -- Stop processing command flags and use the rest of the arguments
> > as addresses.
> >
> > Соответственно и Exim такую же опцию командной строки имеет.
> > Реальные люди, у которых email адрес начинается с минуса, не подозревают,
> > что некоторые программисты - ламеры. Это не повод не принимать почту
> > от честных людей.
>
> Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
> разрешают заводить такие адреса. Те, которые четко указывают, что такие
> адреса будут некорректно обработаны -- не ламеры: я ж написал, что где-то
> в RFC было такое же ограничение, просто искать лень.
> А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
> честный человек, а тебя все посылают и не принимают от тебя почту...
А что Вам не нравится в таком адресе?
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
Victor Cheburkin
On Fri, Oct 31, 2008 at 14:54 +0200, Mykola Dzham wrote:
> > > > Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
> > > > адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
> > > > Лично я вижу как минимум проблемы при передаже такого адреса на обработку
> > > > внешним прогам, которые могут воспринять такой адрес как опцию и долго
> > > > ругаться.
> > >
> > > У sendmail есть опция:
> > >
> > > -- Stop processing command flags and use the rest of the arguments
> > > as addresses.
> > >
> > > Соответственно и Exim такую же опцию командной строки имеет.
> > > Реальные люди, у которых email адрес начинается с минуса, не подозревают,
> > > что некоторые программисты - ламеры. Это не повод не принимать почту
> > > от честных людей.
> >
> > Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
> > разрешают заводить такие адреса. Те, которые четко указывают, что такие
> > адреса будут некорректно обработаны -- не ламеры: я ж написал, что где-то
> > в RFC было такое же ограничение, просто искать лень.
> > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
> > честный человек, а тебя все посылают и не принимают от тебя почту...
>
> А что Вам не нравится в таком адресе?
Мне? Лично мне все нравится. Прикольно. Но вот только RFC не соответствует.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Golub Mikhail
> From: exim-user...@exim.org.ua [mailto:exim-users-
> bou...@exim.org.ua] On Behalf Of Mykola Dzham
> Sent: Friday, October 31, 2008 2:54 PM
> To: CIS Exim users mailing list
> Subject: Re: [Exim-rusers] Anti Spam ACL
>
> > в RFC было такое же ограничение, просто искать лень.
> > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что
> ты
> > честный человек, а тебя все посылают и не принимают от тебя почту...
>
> А что Вам не нравится в таком адресе?
Посмотрите http://en.wikipedia.org/wiki/E-mail_address (что первое выдал
Google), там есть ссылки на RFC.
he local-part of the e-mail address may use any of these ASCII characters:
* Uppercase and lowercase English letters (a-z, A-Z)
* Digits 0 through 9
* Characters ! # $ % & ' * + - / = ? ^ _ ` { | } ~
* Character . provided that it is not the first nor last character, nor
may it appear two or more times consecutively.
------------------------------------------
With best regards,
Golub Mikhail
Senior engineer
******************************************
Incom
Department of information technologies
Incom Business-Centre, Smolenskaya str,31/33
03005 Kiev Ukraine
Tel. (+380 44) 247-39-02 (int. 1243)
Mailto:Mikhai...@incom.ua
http://www.incom.ua
MG93-UANIC
Victor Cheburkin
On Fri, Oct 31, 2008 at 15:06 +0200, Golub Mikhail wrote:
> > > в RFC было такое же ограничение, просто искать лень.
> > > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что
> > ты
> > > честный человек, а тебя все посылают и не принимают от тебя почту...
> >
> > А что Вам не нравится в таком адресе?
>
> Посмотрите http://en.wikipedia.org/wiki/E-mail_address (что первое выдал
> Google), там есть ссылки на RFC.
> he local-part of the e-mail address may use any of these ASCII characters:
> * Uppercase and lowercase English letters (a-z, A-Z)
> * Digits 0 through 9
> * Characters ! # $ % & ' * + - / = ? ^ _ ` { | } ~
> * Character . provided that it is not the first nor last character, nor
> may it appear two or more times consecutively.
Мне, кстати, интересно, как будет обрабатываться адрес *@zuka.org ;-)
RFC такой адрес не противоречит.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Mykola Dzham
> Hi, exim-users!
>
> On Fri, Oct 31, 2008 at 14:54 +0200, Mykola Dzham wrote:
>
> > > > > Помнится, не все МТА/МУА, по крайней мере раньше, корректно обрабатывали
> > > > > адреса, которые начинаются с "-" когда-то это даже было отражено в RFC.
> > > > > Лично я вижу как минимум проблемы при передаже такого адреса на обработку
> > > > > внешним прогам, которые могут воспринять такой адрес как опцию и долго
> > > > > ругаться.
> > > >
> > > > У sendmail есть опция:
> > > >
> > > > -- Stop processing command flags and use the rest of the arguments
> > > > as addresses.
> > > >
> > > > Соответственно и Exim такую же опцию командной строки имеет.
> > > > Реальные люди, у которых email адрес начинается с минуса, не подозревают,
> > > > что некоторые программисты - ламеры. Это не повод не принимать почту
> > > > от честных людей.
> > >
> > > Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
> > > разрешают заводить такие адреса. Те, которые четко указывают, что такие
> > > адреса будут некорректно обработаны -- не ламеры: я ж написал, что где-то
> > > в RFC было такое же ограничение, просто искать лень.
> > > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
> > > честный человек, а тебя все посылают и не принимают от тебя почту...
> >
> > А что Вам не нравится в таком адресе?
>
> Мне? Лично мне все нравится. Прикольно. Но вот только RFC не соответствует.
Прощу прощения. Про то, что не может быть первым, упустил из виду.
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
_______________________________________________
Golub Mikhail
> > > > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться,
> что
> > > ты
> > > > честный человек, а тебя все посылают и не принимают от тебя
> почту...
> > >
> > > А что Вам не нравится в таком адресе?
> >
> > Посмотрите http://en.wikipedia.org/wiki/E-mail_address (что первое
> выдал
> > Google), там есть ссылки на RFC.
> > he local-part of the e-mail address may use any of these ASCII
> characters:
> > * Uppercase and lowercase English letters (a-z, A-Z)
> > * Digits 0 through 9
> > * Characters ! # $ % & ' * + - / = ? ^ _ ` { | } ~
> > * Character . provided that it is not the first nor last
> character, nor
> > may it appear two or more times consecutively.
>
> Мне, кстати, интересно, как будет обрабатываться адрес *@zuka.org ;-)
> RFC такой адрес не противоречит.
Эхх, есть еще Microsoft Exchange ... Так вот он не воспринимает адрес с
кавычками в локальной части.
Главное, это не противоречит RFC, Exim пропускает письмо (опускает кавычки
при проверке), и (!) Exchange его принимает по SMTP, а потом выплевывает,
что у него нет такого получателя (хотя если убрать кавычки, то получатель
есть).
Кстати, это когда-то обсуждалось в рассылке.
Для этого случая у меня есть правило (а потом добавил еще и %!/| в начале
адреса):
acl_check_predata:
...
# Блокируем адреса с кавычками и т.п. (Exchange их не понимает).
deny message = Bad address syntax in recipients. Please contact
postm...@incom.ua
condition = ${if
forany{$recipients}{match{${extract{1}{@}{$item}}}{^.*["%!/|]}}{yes}{no}}
log_message = REJECTED: Bad recipients addresses $recipients
И было в этой теме высказывание о грейлистинге.
Да, я тоже был противником.
Но при умном подходе в нем есть толк, хотя в последнее время все меньше -
спам-боты научились делать повторы.
А вот у некоторых встречал задержку при выдаче приветствия минуты в три -
вот это уже перебор :)
------------------------------------------
With best regards,
Golub Mikhail
Senior engineer
******************************************
Incom
Department of information technologies
Incom Business-Centre, Smolenskaya str,31/33
03005 Kiev Ukraine
Tel. (+380 44) 247-39-02 (int. 1243)
Mailto:Mikhai...@incom.ua
http://www.incom.ua
MG93-UANIC
_______________________________________________
George L. Yermulnik
On Fri, 31 Oct 2008 at 15:22:06 (+0200), Golub Mikhail wrote:
> # Блокируем адреса с кавычками и т.п. (Exchange их не понимает).
> deny message = Bad address syntax in recipients. Please contact
> postm...@incom.ua
> condition = ${if
> forany{$recipients}{match{${extract{1}{@}{$item}}}{^.*["%!/|]}}{yes}{no}}
> log_message = REJECTED: Bad recipients addresses $recipients
Не по топику, но просто интересно. Зачем так acl усложнён (condition
вместо local_parts)? Или специально из-за log_message?
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Golub Mikhail
> > deny message = Bad address syntax in recipients. Please contact
> > postm...@incom.ua
> > condition = ${if
> >
> forany{$recipients}{match{${extract{1}{@}{$item}}}{^.*["%!/|]}}{yes}{no
> }}
> > log_message = REJECTED: Bad recipients addresses $recipients
>
> Не по топику, но просто интересно. Зачем так acl усложнён (condition
> вместо local_parts)? Или специально из-за log_message?
Я же писал - обсуждалось ранее в переписке.
Если не можете найти или нет желания, то отвечу.
В check_rcpt переменную local_part получаем в чистом виде, т.е. без кавычек.
А вот дальше кавычки снова "возвращаются" на место.
------------------------------------------
With best regards,
Golub Mikhail
Senior engineer
******************************************
Incom
Department of information technologies
Incom Business-Centre, Smolenskaya str,31/33
03005 Kiev Ukraine
Tel. (+380 44) 247-39-02 (int. 1243)
Mailto:Mikhai...@incom.ua
http://www.incom.ua
MG93-UANIC
_______________________________________________
Lystopad Olexandr
On Fri, Oct 31, 2008 at 03:34:59PM +0300
k.pro...@fxclub.org wrote about "Re: [Exim-rusers] Anti Spam ACL":
> Le...@lena.kiev.ua wrote:
> > Значит, что не должны вот так в голом виде просто dsl|dial.
> > cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
> > 109
> > Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
> > не подпадает. Каждый из них существенно длиннее, разборчивее.
>
> Не поделитесь?
^([0-9]+-){3}[0-9]+\.sodobrasil\.net\.br\$
^([0-9]+-){3}[0-9]+\.pppoe\.yaroslavl\.ru\$
^0x[a-z0-9]{8}\..+\.(adsl-dhcp|dynamic\.dsl)\.tele\.dk\$
^lan([0-9]+-){2}[0-9]+\.interbild\.net\$
^([0-9]\.)+sta\.isp-thailand\.com\$
^([0-9]+-){3}[0-9]+\.broadband\.tenet\.odessa\.ua\$
^cable[0-9-]+\.dynamic\.sbb\.rs\$
И так далее :) 500+ шаблонов. Рубится достаточно много в процентном
соотношении.
Может у меня и сложно, но я уверен что ничего путевого не зарубил,
хотя бывает что кого-то приходится в white_list вносить. :)
Могу в приват выслать, если трудно писать свое. ;)
--
Olexandr Lystopad
Алексей Доморадов
>
> On Fri, Oct 31, 2008 at 15:06 +0200, Golub Mikhail wrote:
>
> > > > в RFC было такое же ограничение, просто искать лень.
> > > > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что
> > > ты
> > > > честный человек, а тебя все посылают и не принимают от тебя почту...
> > >
> > > А что Вам не нравится в таком адресе?
> >
> > Посмотрите http://en.wikipedia.org/wiki/E-mail_address (что первое выдал
> > Google), там есть ссылки на RFC.
> > he local-part of the e-mail address may use any of these ASCII characters:
> > * Uppercase and lowercase English letters (a-z, A-Z)
> > * Digits 0 through 9
> > * Characters ! # $ % & ' * + - / = ? ^ _ ` { | } ~
> > * Character . provided that it is not the first nor last character, nor
> > may it appear two or more times consecutively.
>
> Мне, кстати, интересно, как будет обрабатываться адрес *@zuka.org ;-)
> RFC такой адрес не противоречит.
Все остальные посты - обсуждение RFC и т.п. :(
Почему то многие пишут - "а вот у меня такие хитрые проверки, что ложных срабатываний почти нет", но при этом никто так и не показал ни одного условия. Мне очень интересна эта тема, но опыта использования exim очень мало, так что пока делиться нечем. Но ведь уверен, что у многих людей в этой переписке есть неплохой опыт. Но почему никто не хочет поделиться?
Было бы неплохо увидеть секции acl_check_xxx из ваших конфигов или вообще весь exim.conf (как это сделала Лена - http://wiki.exim.org/DbLessGreyListingC?action=AttachFile&do=view&target=Lena-eximconf-20081031.txt), если это не является государтсвенной тайной.
Алексей Доморадов
>
> On Fri, Oct 31, 2008 at 03:34:59PM +0300
> k.pro...@fxclub.org wrote about "Re: [Exim-rusers] Anti Spam ACL":
> > Le...@lena.kiev.ua wrote:
> > > Значит, что не должны вот так в голом виде просто dsl|dial.
> > > cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
> > > 109
> > > Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
> > > не подпадает. Каждый из них существенно длиннее, разборчивее.
> >
> > Не поделитесь?
>
>
> ^([0-9]+-){3}[0-9]+\.sodobrasil\.net\.br\$
> ^([0-9]+-){3}[0-9]+\.pppoe\.yaroslavl\.ru\$
> ^0x[a-z0-9]{8}\..+\.(adsl-dhcp|dynamic\.dsl)\.tele\.dk\$
> ^lan([0-9]+-){2}[0-9]+\.interbild\.net\$
> ^([0-9]\.)+sta\.isp-thailand\.com\$
> ^([0-9]+-){3}[0-9]+\.broadband\.tenet\.odessa\.ua\$
> ^cable[0-9-]+\.dynamic\.sbb\.rs\$
>
> И так далее :) 500+ шаблонов. Рубится достаточно много в процентном
> соотношении.
>
> Может у меня и сложно, но я уверен что ничего путевого не зарубил,
> хотя бывает что кого-то приходится в white_list вносить. :)
>
> Могу в приват выслать, если трудно писать свое. ;)
Le...@lena.kiev.ua
> > 109
> > Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
> > не подпадает. Каждый из них существенно длиннее, разборчивее.
>
> Не поделитесь?
http://lena.kiev.ua/blacklist_re_helo.txt
http://lena.kiev.ua/blacklist_re_hostname.txt
http://wiki.exim.org/DbLessGreyListingC?action=AttachFile&do=view&target=Lena-eximconf-20081101.txt
http://wiki.exim.org/DbLessGreyListingC
> From: "George L. Yermulnik"
> А это? =)
Да, это похоже.
> From: Alexander Titaev
> >> через online.com.ua судя по
> >> хидерам писем бомбил какой то иркутский спамер
>
> Llku> И теперь четверть честных пользователей идет лесом.
>
> это вывод на основе чего?
У четверти моих знакомых localpart в email адресе заканчивается цифрой.
Значит, теперь порядка четверть честных пользователей online.ua
не могут написать вашим пользователям. Далеко не каждый из
пользователей online.ua способен найти в письме-отлупе и понять фразу
"Mail is blocked, spam like sender email, contact ab...@dsi.ru.".
> >> Переписка с abuse@online результата не дала
>
> Llku> Честные пользователи об этом не подозревают.
>
> а им нужно это знать?
Это вам нужно предусматривать, что они об этом не подозревают, и
кому-то из них может понадобиться написать кому-то из ваших пользователей.
Вполне может быть, что уже писали. И обломились, не поняв отлупа,
ибо по-английски понимают только "хенде хох", "аусвайс" и "шнапс".
От этого облома пострадал не только отправитель, но и несостоявшийся
получатель - ваш пользователь. Есть более разборчивые методы борьбы
со спамом.
> From: Victor Cheburkin
> Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
> разрешают заводить такие адреса.
У этих ламеров есть честные пользователи. Пока вы не напишете в своем
конфиге отвергать email адреса, начинающиеся с минуса, они страдать не будут.
> А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
> честный человек, а тебя все посылают и не принимают от тебя почту...
Реальный адрес:
Julia...()rambler.ru
> From: "Golub Mikhail"
> # Блокируем адреса с кавычками и т.п. (Exchange их не понимает).
> deny message = Bad address syntax in recipients. Please contact
> postm...@incom.ua
> condition = ${if
> forany{$recipients}{match{${extract{1}{@}{$item}}}{^.*["%!/|]}}{yes}{no}}
> log_message = REJECTED: Bad recipients addresses $recipients
В дефолтном конфиге:
deny message = Restricted characters in address
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]
deny message = Restricted characters in address
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
То есть для входящих и исходящих писем ограничения разные.
Даже в дефолтном конфиге ограничение слишком жесткое, приходится править.
Например, вашему пользователю может понадобиться отправить письмо на
Ivan.Ivanov%p1.f234.n567.z...@ddt.demos.su (со знаком процента).
И с восклицательным знаком адреса бывают, с плюсом, знаком равенства.
> было в этой теме высказывание о грейлистинге.
> Да, я тоже был противником.
> Но при умном подходе в нем есть толк, хотя в последнее время все меньше -
> спам-боты научились делать повторы.
Пока еще редко.
dawnshade
я читаю в течении дня переписку, и, местами, удивляюсь.
сколько людей, столько мнений. и, как бы не спорили, тема несколько офтопик. обсуждать fqdn, ip literal, dnsbl, etc можно абстрагировано от мейлера и на других ресурсах долго, плодотворно и безуспешно. все равно все окажутся при своих мнениях, кроме нечитавших RFC. а теперь по фактам.
-----Original Message-----
From: Le...@lena.kiev.ua
To: exim-...@exim.org.ua
Date: Fri, 31 Oct 2008 18:12:27 +0200
Subject: Re: [Exim-rusers] Anti Spam ACL
> > >> через online.com.ua судя по
> > >> хидерам писем бомбил какой то иркутский спамер
> >
> > Llku> И теперь четверть честных пользователей идет лесом.
> >
> > это вывод на основе чего?
если отдельно взятый провайдер mail hosting не заботится о своей репутации, это его проблемы. если вам в магазине продали некачественную колбасу, завтра вы пойдете в другой магазин (ну может еще напишете петицию в ООН по дороге)
> У четверти моих знакомых localpart в email адресе заканчивается цифрой.
> Значит, теперь порядка четверть честных пользователей online.ua
> не могут написать вашим пользователям. Далеко не каждый из
> пользователей online.ua способен найти в письме-отлупе и понять фразу
> "Mail is blocked, spam like sender email, contact ab...@dsi.ru.".
>
> > >> Переписка с abuse@online результата не дала
> >
> > Llku> Честные пользователи об этом не подозревают.
> >
> > а им нужно это знать?
>
> Это вам нужно предусматривать, что они об этом не подозревают, и
> кому-то из них может понадобиться написать кому-то из ваших пользователей.
> Вполне может быть, что уже писали. И обломились, не поняв отлупа,
> ибо по-английски понимают только "хенде хох", "аусвайс" и "шнапс".
> От этого облома пострадал не только отправитель, но и несостоявшийся
> получатель - ваш пользователь. Есть более разборчивые методы борьбы
> со спамом.
про домохозяек знающих "nicth шисен" можете не рассказывать. когда им необходимо торент с любимым "дом2" скачать все проявляют чудеса изобретательности, а как прочесть баунс от письма так все невинные овечки.
> Реальный адрес:
> Julia...()rambler.ru
я рад за этого человека, ему никто никогда не напишет письмо. если я не ошибаюсь, то 2 точки подряд запрещены рекомендацией. вы мне напоминаете отдельно взятого японского ISP который патчил все почтовые решения в их ведении дабы понимали оные адреса, в целях защиты от спама. им было все равно что остальной "валидный" интернет их не увидит. им был интересен свой мирок (история абсолютно реальная).
> То есть для входящих и исходящих писем ограничения разные.
> Даже в дефолтном конфиге ограничение слишком жесткое, приходится править.
> Например, вашему пользователю может понадобиться отправить письмо на
> Ivan.Ivanov%p1.f234.n567.z...@ddt.demos.su (со знаком процента).
> И с восклицательным знаком адреса бывают, с плюсом, знаком равенства.
честно, можно сколь угодно теоретизировать о сферическом фидо в вакууме, сейчас оно умерло.
> > было в этой теме высказывание о грейлистинге.
> > Да, я тоже был противником.
> > Но при умном подходе в нем есть толк, хотя в последнее время все меньше -
> > спам-боты научились делать повторы.
к несчастью умных применений грейлистинга я видел очень мало.
-=дальше по остальным пунктам программы.
- добавлять в вайтлист по исходящим несколько неправильно в провайдерском случае. был не один и не 2 случая "я вот послала дочке рекламу а она не шлется". форвардили спам. есть боты, вытаскивающие релей из аутлука и отправляющие трэш на релей.
- тема про "50+ летнего мужичка" раскрывается достаточно просто. на стол начальства кладется записка вида такой-то такого-то числа нарушив протокол передачи данных писем в отдельно взятой сети иторнет пытался влить килограмм неумных писем (ака спам), поэтому наш сервер, соблюдая рекомендации requiest for comments такие письма не принимает. рекомендую "50+летнегомужичка уволить по несоответсвию должности или перевести на должность дворника" подпись, дата.
- >Эхх, есть еще Microsoft Exchange ...
желающим я могу выслать документ по косяком оного. он вам не понравится. их очень много (я не прентедую на полноту).
- >"никто так и не показал ни одного условия"
и никто не покажет. людям платят деньги та то что они пишут правила, то что здесь появится проидексируют через пару дней. после прочтут спамеры. дальше понятно. зачем?
опции про косяки програмеров я пропущу, я их много видел.
P.S. все вышеизложеное сильное ИМХО, можно не комментить.
Victor Cheburkin
On Fri, Oct 31, 2008 at 18:12 +0200, Le...@lena.kiev.ua wrote:
> > From: Victor Cheburkin
>
> > Не, что некоторые программеры -- ламеры, это я давно знаю. Но которые
> > разрешают заводить такие адреса.
>
> У этих ламеров есть честные пользователи. Пока вы не напишете в своем
> конфиге отвергать email адреса, начинающиеся с минуса, они страдать не будут.
Честно -- пока не видел честных пользователей, емейл которых начинается
с [-.|/]
> > А еще можно завести адрес вида ...zuka...@zuka.org и жаловаться, что ты
> > честный человек, а тебя все посылают и не принимают от тебя почту...
>
> Реальный адрес:
> Julia...()rambler.ru
Противоречит RFC. Т.е. такие в принципе давать нельзя.
> > From: "Golub Mikhail"
>
> > # Блокируем адреса с кавычками и т.п. (Exchange их не понимает).
> > deny message = Bad address syntax in recipients. Please contact
> > postm...@incom.ua
> > condition = ${if
> > forany{$recipients}{match{${extract{1}{@}{$item}}}{^.*["%!/|]}}{yes}{no}}
> > log_message = REJECTED: Bad recipients addresses $recipients
>
> В дефолтном конфиге:
>
> deny message = Restricted characters in address
> domains = +local_domains
> local_parts = ^[.] : ^.*[@%!/|]
> deny message = Restricted characters in address
> domains = !+local_domains
> local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
>
> То есть для входящих и исходящих писем ограничения разные.
Не "входящих и исходящих писем", а локальных и "проходящих" пользователей.
Очень разные понятия.
> Даже в дефолтном конфиге ограничение слишком жесткое, приходится править.
> Например, вашему пользователю может понадобиться отправить письмо на
> Ivan.Ivanov%p1.f234.n567.z...@ddt.demos.su (со знаком процента).
> И с восклицательным знаком адреса бывают, с плюсом, знаком равенства.
Да, "%" уже давно не используется по назначению, но если где-то таки
используется -- это будет open relay со всеми вытекающими.
% был сделан для адресов вида login%dom...@provider.ru чтобы релеить
домены, которые дальше едут по uucp.
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
_______________________________________________
Maxim Morgunov
Вы писали 31 октября 2008 г., 20:30:21:
>> From: Maxim Morgunov
>> Идут лесом :)
>>
>> warn
>> set acl_c1 = ${lookup dnsdb{ptr=$sender_host_address}}
>>
>> drop
>> condition = ${if eq{$acl_c1}{} {1}{0}}
>> !authenticated = *
>> message = no host name found for you IP address!
>>
>> P.S. Знаю, что не правильно. =) Но ложных срабатываний нет.
>> From: "George L. Yermulnik"
>> > ложных срабатываний нет.
>>
>> Или Вы о них просто не знаете...
> Вот именно.
Уверен.
>> From: Victor Cheburkin
>> Мне интересно, что будет, если по каким-то причинам exim не сможет
>> достучаться до DNS? Вся почта нафиг пойдет, или что-то таки пролезет?
>> From: "George L. Yermulnik"
>> Не оно?
>> --- cut ---
>> 10.15 Temporary DNS errors when looking up host information
>> A temporary DNS lookup failure normally causes a defer action ...
> Не оно. Это про hostlists. А у Максима dnsdb в простейшем варианте.
>> From: Maxim Morgunov
>> 2008-10-31 11:45:37 H=(irkutskenergo.ru) [195.206.57.250] sender verify defer for <pini...@irkutskenergo.ru>: host lookup did not complete
> Это не тот пример. Это результат require verify=sender, а не lookup dnsdb.
В любом случае письмо, которое не смогло слукапится сейчас,
слукапилось потом и пришло. Остальные лесом. А если мне хоть один раз
кто нибудь из соседней конторы позвонит и скажет что у нас не доходят
до вас письма, я задумаюсь над данным правилом, а пока пусть идут
лесом. Думаю дискуссия продолжать бессмысленно :)
--
С уважением,
Maxim mailto:ad...@irmet.ru
Alexander Titaev
Saturday, November 1, 2008, 12:12:27 AM, you wrote:
>>
>> это вывод на основе чего?
Llku> У четверти моих знакомых localpart в email адресе заканчивается цифрой.
Llku> Значит, теперь порядка четверть честных пользователей online.ua
Llku> не могут написать вашим пользователям. Далеко не каждый из
Llku> пользователей online.ua способен найти в письме-отлупе и понять фразу
Llku> "Mail is blocked, spam like sender email, contact ab...@dsi.ru.".
мне нравится эта апроксимация личного опыта на чужой, версия что кроме спама в
виде \w+\d...@online.ua сюда более ничего не залетает в голову видимо не приходит. Версия
что почты с этих доменов вообще исчезающе мало на общем фоне, тоже как то проходит мимо.
к вопросу о цифрах
freemail# unzip -p "/var/log/exim/mainlog.200810*" | grep -E '@(online.com.ua|online.ua|uol.ua|startua.com)' | grep -Ec 'P=e?smtp'
19
из них 13 это переписка между 2 адресатами, 4 исходящих, 9 входящих
6 только входящих с 3 адресов на 1, 2 и 3 получателей (с высокой вероятностью
тот же спам)
freemail# ll /var/log/exim/mainlog.200810*
-rw-r--r-- 1 mailnull mail 46338162 2 окт 01:01 /var/log/exim/mainlog.20081001
-rw-r--r-- 1 mailnull mail 46645377 3 окт 01:01 /var/log/exim/mainlog.20081002
-rw-r--r-- 1 mailnull mail 44292525 4 окт 01:01 /var/log/exim/mainlog.20081003
-rw-r--r-- 1 mailnull mail 44652156 5 окт 01:01 /var/log/exim/mainlog.20081004
-rw-r--r-- 1 mailnull mail 27304787 6 окт 01:01 /var/log/exim/mainlog.20081005
-rw-r--r-- 1 mailnull mail 39842743 7 окт 01:01 /var/log/exim/mainlog.20081006
-rw-r--r-- 1 mailnull mail 51318221 8 окт 01:01 /var/log/exim/mainlog.20081007
-rw-r--r-- 1 mailnull mail 48866812 9 окт 01:01 /var/log/exim/mainlog.20081008
-rw-r--r-- 1 mailnull mail 47129619 10 окт 01:01 /var/log/exim/mainlog.20081009
-rw-r--r-- 1 mailnull mail 45724791 11 окт 01:01 /var/log/exim/mainlog.20081010
-rw-r--r-- 1 mailnull mail 38193124 12 окт 01:01 /var/log/exim/mainlog.20081011
-rw-r--r-- 1 mailnull mail 30544522 13 окт 01:01 /var/log/exim/mainlog.20081012
-rw-r--r-- 1 mailnull mail 43295262 14 окт 01:01 /var/log/exim/mainlog.20081013
-rw-r--r-- 1 mailnull mail 44643837 15 окт 01:01 /var/log/exim/mainlog.20081014
-rw-r--r-- 1 mailnull mail 46529038 16 окт 01:01 /var/log/exim/mainlog.20081015
-rw-r--r-- 1 mailnull mail 44673843 17 окт 01:01 /var/log/exim/mainlog.20081016
-rw-r--r-- 1 mailnull mail 42106877 18 окт 01:01 /var/log/exim/mainlog.20081017
-rw-r--r-- 1 mailnull mail 49823950 19 окт 01:01 /var/log/exim/mainlog.20081018
-rw-r--r-- 1 mailnull mail 29529721 20 окт 01:01 /var/log/exim/mainlog.20081019
-rw-r--r-- 1 mailnull mail 32416240 21 окт 01:01 /var/log/exim/mainlog.20081020
-rw-r--r-- 1 mailnull mail 39505899 22 окт 01:01 /var/log/exim/mainlog.20081021
-rw-r--r-- 1 mailnull mail 43189044 23 окт 01:01 /var/log/exim/mainlog.20081022
-rw-r--r-- 1 mailnull mail 44566170 24 окт 01:01 /var/log/exim/mainlog.20081023
-rw-r--r-- 1 mailnull mail 44587910 25 окт 01:01 /var/log/exim/mainlog.20081024
-rw-r--r-- 1 mailnull mail 27720607 26 окт 01:01 /var/log/exim/mainlog.20081025
-rw-r--r-- 1 mailnull mail 18778054 27 окт 01:01 /var/log/exim/mainlog.20081026
-rw-r--r-- 1 mailnull mail 38223800 28 окт 01:01 /var/log/exim/mainlog.20081027
-rw-r--r-- 1 mailnull mail 49436799 29 окт 01:01 /var/log/exim/mainlog.20081028
-rw-r--r-- 1 mailnull mail 47864660 30 окт 01:01 /var/log/exim/mainlog.20081029
-rw-r--r-- 1 mailnull mail 47372773 31 окт 01:01 /var/log/exim/mainlog.20081030
-rw-r--r-- 1 mailnull mail 45279484 1 ноя 01:01 /var/log/exim/mainlog.20081031
и что делать в этих условиях, если каждую ночь вливают на 1-2 т аккаунтов спам,
администрация удаленного сервера бездействуют, а единственный критерий отлова
это маска на адрес, тк содержимое всякий раз разное?
>> >> Переписка с abuse@online результата не дала
>>
>> Llku> Честные пользователи об этом не подозревают.
>>
>> а им нужно это знать?
Llku> Это вам нужно предусматривать, что они об этом не подозревают, и
Llku> кому-то из них может понадобиться написать кому-то из ваших пользователей.
Llku> Вполне может быть, что уже писали. И обломились, не поняв отлупа,
Llku> ибо по-английски понимают только "хенде хох", "аусвайс" и "шнапс".
Llku> От этого облома пострадал не только отправитель, но и несостоявшийся
Llku> получатель - ваш пользователь. Есть более разборчивые методы борьбы
Llku> со спамом.
например?
а про adsl где
--
Best regards,
Alexander mailto:t...@irk.ru
Andrey N. Oktyabrski
>> значит ли это, что я не должен юзать регексы dsl|dial ?
>
> Значит, что не должны вот так в голом виде просто dsl|dial.
> cat blacklist_re_helo blacklist_re_hostname | egrep '(dsl|dial)' | wc -l
> 109
> Однако smtp-dial-151.saqnet.co.uk ни под один из таких 109 из моих регэкспов
> не подпадает. Каждый из них существенно длиннее, разборчивее.
отлуп. Если за это просто накидываются штрафные баллы, ложные
срабатывания отдельных фильтров перестают быть фатальными. Важна общая
сумма.
Lystopad Olexandr
> > ^([0-9]+-){3}[0-9]+\.sodobrasil\.net\.br\$
> > ^([0-9]+-){3}[0-9]+\.pppoe\.yaroslavl\.ru\$
> > ^0x[a-z0-9]{8}\..+\.(adsl-dhcp|dynamic\.dsl)\.tele\.dk\$
> > ^lan([0-9]+-){2}[0-9]+\.interbild\.net\$
> > ^([0-9]\.)+sta\.isp-thailand\.com\$
> > ^([0-9]+-){3}[0-9]+\.broadband\.tenet\.odessa\.ua\$
> > ^cable[0-9-]+\.dynamic\.sbb\.rs\$
> >
> > И так далее :) 500+ шаблонов. Рубится достаточно много в процентном
> > соотношении.
> >
> > Может у меня и сложно, но я уверен что ничего путевого не зарубил,
> > хотя бывает что кого-то приходится в white_list вносить. :)
> >
> > Могу в приват выслать, если трудно писать свое. ;)
> Если можно, то лучше сюда, чтобы все, кому надо могли использовать. Можно атачем.
Критика приветствуется.
Файл создавался не один день и возможны косяки в нем. Хотя давно не
было нареканий на шаблоны.
--
Olexandr Lystopad
Le...@lena.kiev.ua
> если отдельно взятый провайдер mail hosting не заботится о своей репутации,
> это его проблемы.
Не только. У этого СНГшного провайдера есть ничего не подозревающие честные
пользователи, некоторые из них весьма вероятно являются корреспондентами
ваших пользователей. А вы ведь со спамом боретесь ради ваших пользователей?
Или так, абстрактно?
> если вам в магазине продали некачественную колбасу, завтра вы пойдете
> в другой магазин (ну может еще напишете петицию в ООН по дороге)
Не видно пользователю, что колбаса некачественная.
> > Реальный адрес:
> > Julia...()rambler.ru
>
> я рад за этого человека, ему никто никогда не напишет письмо.
Голову дадите на отсечение, что никто? А вот например Exim отрелеит
письмо такому нелокальному получателю, если вы не постараетесь это
специально запретить. И Рамблер его наверно примет.
> если я не ошибаюсь, то 2 точки подряд запрещены рекомендацией.
Незакодированные русские буквы в Subject всегда были запрещены.
И тем не менее весь рунет их годами использовал.
Есть несколько RFC насчет cookies, а все плюют и используют
Netscape cookie specification. В свежайшем RFC о email есть
парочка ляпов, это обсуждали в англоязычной exim-users.
Соответствие или несоответствие стандартам - плохой критерий для
принятия решения, доставить письмо или отвергнуть.
Если, конечно, вам идеалы не важнее пользователей.
> можно сколь угодно теоретизировать о сферическом фидо в вакууме, сейчас оно умерло.
Не умерло, а почти умерло. Две большие разницы. Есть пользователи,
до сих пор. Живые люди. Про email некоторые говорят точно так же,
что мол умерло, из-за спама. И посмотрели бы на нашу возню здесь свысока.
> From: Victor Cheburkin
> пока не видел честных пользователей, емейл которых начинается
> с [-.|/]
А я с минуса видела, как и с подчеркивания.
Вот еще (с @ вместо скобок):
| Cc: -----------()mail.ru
| Subject: Вопрос
| X-Mailer: mPOP Web-Mail 2.19
|
| Лена большое вам спасибо за помощь.
...
> Не "входящих и исходящих писем", а локальных и "проходящих" пользователей.
> Очень разные понятия.
Разные. Но "входящие/исходящие" доходчивее, чтобы сразу представить себе
типичные случаи. Нагляднее.
> > Даже в дефолтном конфиге ограничение слишком жесткое, приходится править.
> > Например, вашему пользователю может понадобиться отправить письмо на
> > Ivan.Ivanov%p1.f234.n567.z...@ddt.demos.su (со знаком процента).
> > И с восклицательным знаком адреса бывают, с плюсом, знаком равенства.
>
> Да, "%" уже давно не используется по назначению, но если где-то таки
> используется -- это будет open relay со всеми вытекающими.
Это не open relay, а реально действующий гейт, кому попало не релеящий.
На почтовую конференцию (типа этой, только на другую тему и на yahooGroups),
которую я веду, сейчас подписан такой адрес. Так что хотя редко, но
используется по назначению.
> From: Maxim Morgunov
> если мне хоть один раз
> кто нибудь из соседней конторы позвонит и скажет что у нас не доходят
> до вас письма, я задумаюсь над данным правилом, а пока пусть идут
> лесом.
Проблема в том, что отправителю остается только гадать,
письмо не дошло или на него не ответили. Отлупа может не быть,
или отлуп может потеряться (кстати, Exim грешит потерей отлупов
при малейшем чихе).
Когда почта служебная, редко когда контора - абсолютный монополист.
Отправив письма нескольким конкурентам, новый заказчик купит у того,
от кого получит ответ. Если ответа не было, то потенциальный заказчик не будет
раздумывать почему - потому что работники халтурщики или потому что
письмо не дошло. И отлуп "ваше письмо похоже на спам" тоже не способствует
выбору вас вместо конкурентов.
> From: Alexander Titaev
> и что делать в этих условиях, если каждую ночь вливают на 1-2 т аккаунтов спам
До сих пор?
> а про adsl где
Я привела ссылки на мои regexp. Прием почты с adsl.gloster.co.uk у меня
не запрещен.
Alexander Titaev
Saturday, November 1, 2008, 5:20:10 PM, you wrote:
>> и что делать в этих условиях, если каждую ночь вливают на 1-2 т аккаунтов спам
Llku> До сих пор?
уже нет, но выждать надо. Тем более что из выше приведенной статистики видно
насколько это актуально.
>> а про adsl где
Llku> Я привела ссылки на мои regexp. Прием почты с adsl.gloster.co.uk у меня
Llku> не запрещен.
ну а будет adsl-2.gloster.*
дело же не в этом, false positives не избежать, просто их нужно соотносить со
спамом.
--
Best regards,
Alexander mailto:t...@irk.ru
Alexander Shikoff
ОГО! Вы немало потрудились ;) Примите в знак уважения комментарий :)
Я добавляю в начало regexpа (?i) чтобы проверки не учитывали регистр - мало ли что:
^(?i)\d+\.\d+\.\d+.\d+\.static-hyd\.vsnl\.net\.in$
--
MINO-RIPE
Alexander Shikoff
> Проблема в том, что отправителю остается только гадать,
> письмо не дошло или на него не ответили. Отлупа может не быть,
> или отлуп может потеряться (кстати, Exim грешит потерей отлупов
> при малейшем чихе).
--
MINO-RIPE
Le...@lena.kiev.ua
> > Проблема в том, что отправителю остается только гадать,
> > письмо не дошло или на него не ответили. Отлупа может не быть,
> > или отлуп может потеряться (кстати, Exim грешит потерей отлупов
> > при малейшем чихе).
> Оппа. А можно подробнее? Никогда не замечал подобного.
Я наверно слишком резко выразилась. Сыграли эмоции от того, что когда я
пользовалась почтой на web-хостинге с cPanel и Exim, баунсы до меня
нередко не доходили (хотя не всегда). Но они как-то признались, что
для снижения load average периодически удаляют все письма в очереди.
И еще:
The last two settings in the main part of the default configuration are
concerned with messages that have been "frozen" on Exim's queue.
When a message is frozen, Exim no longer continues to try to deliver it.
Freezing occurs when a bounce message encounters a permanent failure
because the sender address of the original message that caused the bounce
is invalid, so the bounce cannot be delivered. This is probably the most
common case, but there are also other conditions that cause freezing,
and frozen messages are not always bounce messages.
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d
The first of these options specifies that failing bounce messages are
to be discarded after 2 days on the queue. The second specifies that
any frozen message (whether a bounce message or not) is to be timed out
(and discarded) after a week. In this configuration, the first setting
ensures that no failing bounce message ever lasts a week.
-----
If freeze_tell is set, Exim generates a warning message whenever it freezes
something, unless the message it is freezing is a locally-generated bounce
message. (Without this exception there is the possibility of looping.)
s...@sys-admin.org
>>> хотя бывает что кого-то приходится в white_list вносить. :)
>>>
спасибо, а вайтлист тоже можно?
Lystopad Olexandr
On Sat, Nov 01, 2008 at 02:41:23PM +0200
s...@sys-admin.org wrote about "Re: [Exim-rusers] Anti Spam ACL":
>
> >>> хотя бывает что кого-то приходится в white_list вносить. :)
> >>> Критика приветствуется.
> >>>
> спасибо, а вайтлист тоже можно?
Да там пара респондентов из пулов крупных адсл-провайдеров.
Не более. У каждого, думаю такое уже есть. Просто несколько ip, от
которых я принимаю всю почту.
--
Olexandr Lystopad
Sasha Usov
Выловил у себя дыру в релее - кто-то шлет через меня с
аутентификацией. Адреса mail from начинаются с notice, но возможно и
другие есть. Потом приходя и боунсы... В общем... Как спасаться? SSL?
У меня сейчас обычная PLAIN (LOGIN).
[ESMTPA | srv_auth_login:test]
not...@ocalacccu.com
2008-11-01 17:07:00 66.178.203.6 mail.talanproducts.com User
2008-11-01 17:07:00 skip content checks for authenticated sender
urbanasa...@hotmail.com
2008-11-01 17:07:04 dnslookup->remote_smtp 65.54.244.40 mx2.hotmail.com
SMTP error from remote mail server after RCPT TO:<urbanasa...@hotmail.com>:
host mx2.hotmail.com [65.54.244.40]: 550 Requested action not taken: mailbox unavailable
urbanexp...@aol.com
2008-11-01 17:07:04 dnslookup->remote_smtp 64.12.138.120 mailin-02.mx.aol.com
SMTP error from remote mail server after MAIL FROM:<not...@ocalacccu.com>:
host mailin-02.mx.aol.com [64.12.138.120]: 550 REQUESTED ACTION NOT TAKEN: DNS FAILURE
urban-forestry-...@worldnet.att.net
2008-11-01 17:07:05 dnslookup->remote_smtp 12.102.240.23 gateway2.worldnet.att.net
SMTP error from remote mail server after MAIL FROM:<not...@ocalacccu.com> SIZE=3781:
host gateway2.worldnet.att.net [12.102.240.23]: 550-77.222.131.250 blocked by ldap:
ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks
urban-fores...@worldnet.att.net
2008-11-01 17:07:05 dnslookup->remote_smtp 12.102.240.23 gateway2.worldnet.att.net
SMTP error from remote mail server after MAIL FROM:<not...@ocalacccu.com> SIZE=3781:
host gateway2.worldnet.att.net [12.102.240.23]: 550-77.222.131.250 blocked by ldap:
ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks
[TLSv1:DHE-RSA-AES256-SHA:256]
urban...@lake.stark.k12.oh.us
2008-11-01 17:07:05 dnslookup->remote_smtp 208.108.121.248 sparcc.mx.esu.k12.oh.us
--
Sasha Usov
<bless...@gmail.com>
Alexander Shikoff
>
> Выловил у себя дыру в релее - кто-то шлет через меня с
> аутентификацией. Адреса mail from начинаются с notice, но возможно и
> другие есть. Потом приходя и боунсы... В общем... Как спасаться? SSL?
> У меня сейчас обычная PLAIN (LOGIN).
>
> [ESMTPA | srv_auth_login:test]
Пароль небось тоже test?
Отключайте этот логин.
Варианты дальнейших действий:
1) Оставляете метод LOGIN, но запрещаете аутентификацию для незащищенных
TLS соединений.
2) Внедряете метод СRAM-MD5.
--
MINO-RIPE
Sasha Usov
Вы писали 2 ноября 2008 г., 9:44:51:
> On Sat, Nov 01, 2008 at 05:17:40PM +0200, Sasha Usov wrote:
>>
>> Выловил у себя дыру в релее - кто-то шлет через меня с
>> аутентификацией. Адреса mail from начинаются с notice, но возможно и
>> другие есть. Потом приходя и боунсы... В общем... Как спасаться? SSL?
>> У меня сейчас обычная PLAIN (LOGIN).
>>
>> [ESMTPA | srv_auth_login:test]
> ^^^^^^^^
> Пароль небось тоже test?
> Отключайте этот логин.
> Варианты дальнейших действий:
> 1) Оставляете метод LOGIN, но запрещаете аутентификацию для незащищенных
> TLS соединений.
> 2) Внедряете метод СRAM-MD5.
Надо же - не заметил [ESMTPA | srv_auth_login:test]
В выводе exilog-а этого не видно. Только, когда скопировал выделением
весь блок лога по пписьму, оказывается, и эта строка там есть...
Спасибо за внимательность - уже легче (не надо сниферами упражняться).
TLS... Еще нормального сертификата не доводилось делать,
самоподписаные не нравятся клиентским приложениям ;)
Придеться заняться.
Sasha Usov
Вы писали 2 ноября 2008 г., 9:44:51:
> On Sat, Nov 01, 2008 at 05:17:40PM +0200, Sasha Usov wrote:
>>
>> Выловил у себя дыру в релее - кто-то шлет через меня с
>> аутентификацией. Адреса mail from начинаются с notice, но возможно и
>> другие есть. Потом приходя и боунсы... В общем... Как спасаться? SSL?
>> У меня сейчас обычная PLAIN (LOGIN).
>>
>> [ESMTPA | srv_auth_login:test]
> ^^^^^^^^
> Пароль небось тоже test?
Мда, в десятку - пароль оказался тоже test. И воровать не надо.
Узнаю какой админ создавал.....
Alexander Shikoff
> > Варианты дальнейших действий:
> > 1) Оставляете метод LOGIN, но запрещаете аутентификацию для незащищенных
> > TLS соединений.
> > 2) Внедряете метод СRAM-MD5.
>
> Надо же - не заметил [ESMTPA | srv_auth_login:test]
> В выводе exilog-а этого не видно. Только, когда скопировал выделением
> весь блок лога по пписьму, оказывается, и эта строка там есть...
> Спасибо за внимательность - уже легче (не надо сниферами упражняться).
>
> TLS... Еще нормального сертификата не доводилось делать,
> самоподписаные не нравятся клиентским приложениям ;)
> Придеться заняться.
Можно потратиться на подписанный центром сертификации... Они вроде не особо
дорого стоят. Можно даже Визой/Мастеркардом заплатить.
--
MINO-RIPE
Sasha Usov
Вы писали 2 ноября 2008 г., 18:14:02:
> On Sun, Nov 02, 2008 at 09:56:31AM +0200, Sasha Usov wrote:
>> > Варианты дальнейших действий:
>> > 1) Оставляете метод LOGIN, но запрещаете аутентификацию для незащищенных
>> > TLS соединений.
>> > 2) Внедряете метод СRAM-MD5.
>>
>> Надо же - не заметил [ESMTPA | srv_auth_login:test]
>> В выводе exilog-а этого не видно. Только, когда скопировал выделением
>> весь блок лога по пписьму, оказывается, и эта строка там есть...
>> Спасибо за внимательность - уже легче (не надо сниферами упражняться).
>>
>> TLS... Еще нормального сертификата не доводилось делать,
>> самоподписаные не нравятся клиентским приложениям ;)
>> Придеться заняться.
> Можно потратиться на подписанный центром сертификации... Они вроде не особо
> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
Скорее всего так и будет.
--
Sasha Usov
<bless...@gmail.com>
Sergey A. Kobzar
> TLS... Еще нормального сертификата не доводилось делать,
> самоподписаные не нравятся клиентским приложениям ;)
А можно поподробнее? А то пользуюсь самоподписанными сертификатами уже
несколько лет и проблем не замечал.
> Придеться заняться.
--
Sergey
Sasha Usov
> Sunday, November 2, 2008, 9:56:31 AM, Sasha wrote:
>
>
>> TLS... Еще нормального сертификата не доводилось делать,
>> самоподписаные не нравятся клиентским приложениям ;)
>>
>
> А можно поподробнее? А то пользуюсь самоподписанными сертификатами уже
> несколько лет и проблем не замечал.
>
>
>> Придеться заняться.
>>
>
>
>
>
>
Thunderbird (да и Bat) предупреждает, что сертификат левый, ибо подписан
самим собой и не пользуется доверием. Принимаешь - добавляешь в
исключения (правда при этом последующее подключение может просто не
состояться, а уже не предлагает принять сертификат, ибо принят).
Может на работающий алгоритм создания правильных сертификатов пошлете?
Sergey A. Kobzar
> А я заметил, когда пытаешься через самоподписаный подключаться,
> Mozilla Thunderbird (да и Bat) предупреждает, что сертификат левый,
> ибо подписан самим собой и не пользуется доверием.
Ну один раз кнопочку нажать Add to Trusted занятие не из тяжелых IMHO.
> Принимаешь -
> добавляешь в исключения (правда при этом последующее подключение
> может просто не состояться, а уже не предлагает принять сертификат,
> ибо принят).
Т.е.?
> Может на работающий алгоритм создания правильных сертификатов пошлете?
Ну так предупреждение логично. Я вижу 3 выхода:
1. Использовать чужой центр сертификации и платить за это деньги.
2. Использовать свой цент и потратить на его настройку некоторое время.
3. Попросить пользователей нажать кнопочку Add to Trusted.
№3 естественно не подходит если вы крупная организация предоставляющая
соотв. услуги и мнение пользователей о вас вам дорого.
Впрочем мы уже в глубоком ОТ :).
--
Sergey
s...@sys-admin.org
>> Можно потратиться на подписанный центром сертификации... Они вроде не особо
>> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
>>
> Скорее всего так и будет.
>
проблем небыло, даже техподдержка есть
Andrey Anastassiev
>>> Можно потратиться на подписанный центром сертификации... Они вроде не особо
>>> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
>>>
>>>
>> Скорее всего так и будет.
>>
>>
> пользуюсь бесплатными от http://www.cacert.org/
> проблем небыло, даже техподдержка есть
>
Mykola Dzham
> s...@sys-admin.org пишет:
> >>> Можно потратиться на подписанный центром сертификации... Они вроде не особо
> >>> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
> >>>
> >>>
> >> Скорее всего так и будет.
> >>
> >>
> > пользуюсь бесплатными от http://www.cacert.org/
> > проблем небыло, даже техподдержка есть
> >
> Так у них у самих самоподписной :)
А какой еще может быть у центра сертификации? ;)
Оно то конечно да, может быть подписанный другим центром сертификации,
но тогда зачем этот центр?
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
Andrey Anastassiev
> Andrey Anastassiev wrote:
>
>> s...@sys-admin.org пишет:
>>
>>>>> Можно потратиться на подписанный центром сертификации... Они вроде не особо
>>>>> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
>>>>>
>>>>>
>>>>>
>>>> Скорее всего так и будет.
>>>>
>>>>
>>>>
>>> пользуюсь бесплатными от http://www.cacert.org/
>>> проблем небыло, даже техподдержка есть
>>>
>>>
>> Так у них у самих самоподписной :)
>>
>
> А какой еще может быть у центра сертификации? ;)
> Оно то конечно да, может быть подписанный другим центром сертификации,
> но тогда зачем этот центр?
>
>
SSL) и прочие не возмущались что "невозможно проверить достоверность
предъявленного сертификата".
Mykola Dzham
> Mykola Dzham пишет:
> > Andrey Anastassiev wrote:
> >
> >> s...@sys-admin.org пишет:
> >>
> >>>>> Можно потратиться на подписанный центром сертификации... Они вроде не особо
> >>>>> дорого стоят. Можно даже Визой/Мастеркардом заплатить.
> >>>>>
> >>>>>
> >>>>>
> >>>> Скорее всего так и будет.
> >>>>
> >>>>
> >>>>
> >>> пользуюсь бесплатными от http://www.cacert.org/
> >>> проблем небыло, даже техподдержка есть
> >>>
> >>>
> >> Так у них у самих самоподписной :)
> >>
> >
> > А какой еще может быть у центра сертификации? ;)
> > Оно то конечно да, может быть подписанный другим центром сертификации,
> > но тогда зачем этот центр?
> >
> >
> Имелось ввиду что бы эксплорер, firefox, thunderbird (при использовании
> SSL) и прочие не возмущались что "невозможно проверить достоверность
> предъявленного сертификата".
Это обычно достигается внесением корневого сертификата центра
сертификации в инсталяции этих программ (тем самым каналы, по которым мы
получаем инсталяции этих программ, автоматически считаются надежными,
что, естественно далеко не всегда правда). Да, cacert.org мною там
замечен не был. Но кто знает, может по крайней мере в мозиловские
продукты он со временем попадет (очень сомневаюсь что некоммерческий
центр сертификации сможет попасть в базу IE)
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
_______________________________________________
Sasha Usov
Вы писали 3 ноября 2008 г., 19:33:56:
> Andrey Anastassiev wrote:
>> Mykola Dzham пишет:
>> >
>> Имелось ввиду что бы эксплорер, firefox, thunderbird (при использовании
>> SSL) и прочие не возмущались что "невозможно проверить достоверность
>> предъявленного сертификата".
> Это обычно достигается внесением корневого сертификата центра
> сертификации в инсталяции этих программ (тем самым каналы, по которым мы
> получаем инсталяции этих программ, автоматически считаются надежными,
> что, естественно далеко не всегда правда). Да, cacert.org мною там
> замечен не был. Но кто знает, может по крайней мере в мозиловские
> продукты он со временем попадет (очень сомневаюсь что некоммерческий
> центр сертификации сможет попасть в базу IE)
А как же многочисленные сайты, все имеют сертификаты исключительно от
пары-тройки всемирных центров и только потому считаются безопасными?
Офффтоп наверное...
--
Sasha Usov
<bless...@gmail.com>
Mykola Dzham
> Здравствуйте, Mykola.
>
> Вы писали 3 ноября 2008 г., 19:33:56:
>
> > Andrey Anastassiev wrote:
> >> Mykola Dzham пишет:
> >> >
> >> Имелось ввиду что бы эксплорер, firefox, thunderbird (при использовании
> >> SSL) и прочие не возмущались что "невозможно проверить достоверность
> >> предъявленного сертификата".
>
> > Это обычно достигается внесением корневого сертификата центра
> > сертификации в инсталяции этих программ (тем самым каналы, по которым мы
> > получаем инсталяции этих программ, автоматически считаются надежными,
> > что, естественно далеко не всегда правда). Да, cacert.org мною там
> > замечен не был. Но кто знает, может по крайней мере в мозиловские
> > продукты он со временем попадет (очень сомневаюсь что некоммерческий
> > центр сертификации сможет попасть в базу IE)
>
> А как же многочисленные сайты, все имеют сертификаты исключительно от
> пары-тройки всемирных центров и только потому считаются безопасными?
Почему пары-тройки? Я у себя в фаерфоксе насчитал больше 50 корневых
сертификатов центров сертификации. Сколько их в IE сейчас сказать не
могу.
> Офффтоп наверное...
Таки да. Так что если еще есть вопросы/замечания по сертификатам то
пожалуйста в приват.
--
LEFT-(UANIC|RIPE)
JID: lev...@jabber.net.ua
PGP fingerprint: 2A0B 7423 51AF B19B 74D5 31CA 2BFF 42F1 8094 7652
_______________________________________________
Алексей Доморадов
> > Sunday, November 2, 2008, 9:56:31 AM, Sasha wrote:
> >
> >
> >> TLS... Еще нормального сертификата не доводилось делать,
> >> самоподписаные не нравятся клиентским приложениям ;)
> >>
> >
> > А можно поподробнее? А то пользуюсь самоподписанными сертификатами уже
> > несколько лет и проблем не замечал.
> >
> >
> >> Придеться заняться.
> >>
> >
> >
> >
> >
> >
> А я заметил, когда пытаешься через самоподписаный подключаться, Mozilla
> Thunderbird (да и Bat) предупреждает, что сертификат левый, ибо подписан
> самим собой и не пользуется доверием. Принимаешь - добавляешь в
> исключения (правда при этом последующее подключение может просто не
> состояться, а уже не предлагает принять сертификат, ибо принят).
>
>
> Может на работающий алгоритм создания правильных сертификатов пошлете?
Сейчас разницы между самопидписанным сертификатом и сертификатом от cacert.org нет. Кроме того, они удаляют почти все поля из сертификата, если это имеет для вас значение.
Как вариант можно глянуть здесь - http://www.sys-adm.org.ua/security/ssl-howto.php
З.Ы.
все корневые сертификаты центров сертификации - самоподписанные ;) А отличие лишь в том, что они добавлены в windows/linux/другие ОС. Если у вас есть АД, то с помощью ГП сертификат очень легко добавить в Trusted.