info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
spamerstwo atakuje
13 views
Skip to first unread message
LFC
Mar 23, 2020, 9:40:02 AM3/23/20
to
Nie odnieśliście wrażenia, że spamerzy się ostatnio mocno zaktywizowali.
Aktywowałem sendmailowi port 587 i przy okazji prześledziłęm logi.
W secure od groma informacji saslautha o próbach zalogowania do smtp.
W maillogu od groma info z refused z zen spamhaus.org
Macie jakieś rozwiązanie, że np po 3, 4 nieudanych logowaniach z jednego
IP - host ma bana na jakiś czas?
I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl,
lapy.pl, zagan.pl, etc. Jest go coraz więcej.
Jak to gówno wychwytujecie? Można po IP, ale tych IP jest kilka i co
pewien czas się jednak zmieniają.
Serwer to sendmail za autoryzacją na centos 6
LFC
Aktywowałem sendmailowi port 587 i przy okazji prześledziłęm logi.
W secure od groma informacji saslautha o próbach zalogowania do smtp.
W maillogu od groma info z refused z zen spamhaus.org
Macie jakieś rozwiązanie, że np po 3, 4 nieudanych logowaniach z jednego
IP - host ma bana na jakiś czas?
I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl,
lapy.pl, zagan.pl, etc. Jest go coraz więcej.
Jak to gówno wychwytujecie? Można po IP, ale tych IP jest kilka i co
pewien czas się jednak zmieniają.
Serwer to sendmail za autoryzacją na centos 6
LFC
KIKI
Mar 23, 2020, 4:05:45 PM3/23/20
to
Ja proponuję banować duże korporacje, których produkty są teraz wciskane
byle wycofać gotówkę. Taki spam obecnie przy koronawirusie to draństwo.
Za próbę wciskania towarów gdy ludzie nie otrzymują wynagrodzenia to
draństwo.
Te domeny pisz.pl, zgora.pl, lapy.pl, zagan.pl i podobne są u mnie po
kilkadziesiąt dziennie, oczywiście odrzucane.
Niebieski nie pisze, bo wyciąłem wszystkie ich klasy IP.
Mam około 800 odrzucanych maili na dobę z czego przechodzi może 30 i
jeszcze kilka to spamy.
Nie pojmuję tych spamerów. Czy są jakieś badania czy spam poprawia im
sprzedaż?
Piotr Lechowicz
Mar 23, 2020, 8:07:11 PM3/23/20
to
W dniu 2020-03-23 o 14:34, LFC pisze:
> Aktywowałem sendmailowi port 587 i przy okazji prześledziłęm logi.
> W secure od groma informacji saslautha o próbach zalogowania do smtp.
> W maillogu od groma info z refused z zen spamhaus.org
> Macie jakieś rozwiązanie, że np po 3, 4 nieudanych logowaniach z jednego IP - host ma bana na jakiś czas?
fail2ban
/etc/fail2ban/filter.d/sendmail-auth.conf:
failregex = \w{14}: (\S+ )?\[<HOST>\]( \(may be forged\))?: possible SMTP attack: command=AUTH, count=\d+$
\[<HOST>\]( \(may be forged\))? did not issue MAIL\/EXPN\/VRFY\/ETRN during connection to MTA
Podobnie można filtrować te odrzucone przez zena.
> I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl, lapy.pl, zagan.pl, etc. Jest go coraz więcej.
> Jak to gówno wychwytujecie? Można po IP, ale tych IP jest kilka i co pewien czas się jednak zmieniają.
milter-regex
reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
envfrom /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e and envrcpt //
a potem fail2ban:
failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-
> Nie odnieśliście wrażenia, że spamerzy się ostatnio mocno zaktywizowali.
Ci od proponowania baz adresów? Tak.
> Aktywowałem sendmailowi port 587 i przy okazji prześledziłęm logi.
> W secure od groma informacji saslautha o próbach zalogowania do smtp.
> W maillogu od groma info z refused z zen spamhaus.org
> Macie jakieś rozwiązanie, że np po 3, 4 nieudanych logowaniach z jednego IP - host ma bana na jakiś czas?
/etc/fail2ban/filter.d/sendmail-auth.conf:
failregex = \w{14}: (\S+ )?\[<HOST>\]( \(may be forged\))?: possible SMTP attack: command=AUTH, count=\d+$
\[<HOST>\]( \(may be forged\))? did not issue MAIL\/EXPN\/VRFY\/ETRN during connection to MTA
Podobnie można filtrować te odrzucone przez zena.
> I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl, lapy.pl, zagan.pl, etc. Jest go coraz więcej.
> Jak to gówno wychwytujecie? Można po IP, ale tych IP jest kilka i co pewien czas się jednak zmieniają.
reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
envfrom /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e and envrcpt //
a potem fail2ban:
failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-
LFC
Mar 24, 2020, 2:40:02 AM3/24/20
to
W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
Nie decydowałem się na regexa bo w ten sposób wytnie również pocztę
użyteczną z takich domen, ale chyba zrobię to w spamassassinie, bo mam
tak skonfigurowane, że procmail przesuwa pocztę oznakowaną jako spam na
osobne konto, z którego ją odbieram i albo wywalam, albo przekazuję do
adresata jeżeli jest użyteczna.
Mam przy okazji jeszcze parę pytań odnośnie konfiguracji sendmaila,
które mnie właśnie ostatnio pokonały.
Sendmail jest tak ustawiony, że smtp działa na porcie 25 i jeżeli
użytkownik poczty loguje się z zewnątrz to może ją odebrać(port 110
STARTLS, lub SSL port 995), ale jeżeli chce wysłać pocztę, to o ile jest
na dynamicznym IP, a takie ma większość w domu, to sendmail odrzuca.
Znalazałem w sieci ustawienia konfigu, które umożliwiają wysyłanie
Odblokowałem port 587
DAEMON_OPTIONS(`port=submission, Name=MSA, M=Ea')
dorzuciłem do konfiguracji jeszcze
FEATURE(`delay_checks')
które podobno jest lekarstwem na odrzucanie połączeń z dynamicznych IP
przez sendmaila jeszcze przed autoryzacją i
FEATURE(require_rdns)
które ma byc lekarstwem na część spamerstwa.
Przez niedzielę było cicho i spokojnie, ale w poniedziałek zaczął się
festiwal spamerstwa
hosty waliły jak w kaczą dupę, Jak się zorientowałem to zdążyło się
namnożyć poczt w mqueue. Wziąłem je przesunąłem do innego katalogu, zeby
je potem przeanalizować i przywróciłem stara konfigurację sendmail i
znów jest spokój.
Jedna rzecz mnie zaskoczyła - cała masa hostów łaczyłą się z adresów
typu ::ff:www.xxx.yyy.zzz wyglądających na ipv6, a przecież mam
zdisablowaną obsługę ipv6 (ilość : lub f mogłą być inna, ale nie
zwróciłem na to w pierwszym momencie uwagi).
A zatem mam dwa istotne pytania:
1. Co jest grane z tymi adresamni?
2. Co zmienić w konfiguracji sendmaila, zeby umożliwiał wysyłkę z
zewnątrz ale bez takich ekscesów.
Cała masa tych poczt była sygnowana niby z mojej domeny od
nieistniejących userów.
Spraw robi się dość paląca, ze względu na koronę, bo zarzad i dyrekcja
chciałyby móc operować pocztą spoza firmy. Odbiór bez problemu, ale
wysyłak już nie, chyba, że ktoś ma stałe IP, jak ja w domy, wtedy nie ma
problemu.
LFC
LFC
użyteczną z takich domen, ale chyba zrobię to w spamassassinie, bo mam
tak skonfigurowane, że procmail przesuwa pocztę oznakowaną jako spam na
osobne konto, z którego ją odbieram i albo wywalam, albo przekazuję do
adresata jeżeli jest użyteczna.
Mam przy okazji jeszcze parę pytań odnośnie konfiguracji sendmaila,
które mnie właśnie ostatnio pokonały.
Sendmail jest tak ustawiony, że smtp działa na porcie 25 i jeżeli
użytkownik poczty loguje się z zewnątrz to może ją odebrać(port 110
STARTLS, lub SSL port 995), ale jeżeli chce wysłać pocztę, to o ile jest
na dynamicznym IP, a takie ma większość w domu, to sendmail odrzuca.
Znalazałem w sieci ustawienia konfigu, które umożliwiają wysyłanie
Odblokowałem port 587
DAEMON_OPTIONS(`port=submission, Name=MSA, M=Ea')
dorzuciłem do konfiguracji jeszcze
FEATURE(`delay_checks')
które podobno jest lekarstwem na odrzucanie połączeń z dynamicznych IP
przez sendmaila jeszcze przed autoryzacją i
FEATURE(require_rdns)
które ma byc lekarstwem na część spamerstwa.
Przez niedzielę było cicho i spokojnie, ale w poniedziałek zaczął się
festiwal spamerstwa
hosty waliły jak w kaczą dupę, Jak się zorientowałem to zdążyło się
namnożyć poczt w mqueue. Wziąłem je przesunąłem do innego katalogu, zeby
je potem przeanalizować i przywróciłem stara konfigurację sendmail i
znów jest spokój.
Jedna rzecz mnie zaskoczyła - cała masa hostów łaczyłą się z adresów
typu ::ff:www.xxx.yyy.zzz wyglądających na ipv6, a przecież mam
zdisablowaną obsługę ipv6 (ilość : lub f mogłą być inna, ale nie
zwróciłem na to w pierwszym momencie uwagi).
A zatem mam dwa istotne pytania:
1. Co jest grane z tymi adresamni?
2. Co zmienić w konfiguracji sendmaila, zeby umożliwiał wysyłkę z
zewnątrz ale bez takich ekscesów.
Cała masa tych poczt była sygnowana niby z mojej domeny od
nieistniejących userów.
Spraw robi się dość paląca, ze względu na koronę, bo zarzad i dyrekcja
chciałyby móc operować pocztą spoza firmy. Odbiór bez problemu, ale
wysyłak już nie, chyba, że ktoś ma stałe IP, jak ja w domy, wtedy nie ma
problemu.
LFC
LFC
LFC
Mar 26, 2020, 5:20:02 AM3/26/20
to
W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
> envfrom
> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
> and envrcpt //
>
Tu drugi taki sam zapis dla envrcpt?
> envfrom
> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
> and envrcpt //
>
> a potem fail2ban:
>
> failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-
>
>
Piotr Lechowicz
Mar 26, 2020, 7:16:06 AM3/26/20
to
W dniu 2020-03-26 o 10:19, LFC pisze:
Adres odbiorcy z envrcpt jest mi potrzebny do statystyk; ty możesz go wywalić.
Piotr
> W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
>
>> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
>> envfrom
>> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
>> and envrcpt //
>>
>
> Tu drugi taki sam zapis dla envrcpt?
>
Nie, to jest jeden zapis (pocięło linię) na envfrom z regexem AND na envrcpt dowolne.
>
>> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
>> envfrom
>> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
>> and envrcpt //
>>
>
> Tu drugi taki sam zapis dla envrcpt?
>
Adres odbiorcy z envrcpt jest mi potrzebny do statystyk; ty możesz go wywalić.
Piotr
LFC
Mar 26, 2020, 9:40:02 AM3/26/20
to
W dniu 26.03.2020 o 12:15, Piotr Lechowicz pisze:
OK, dzięki zacząłem się bawić fail2banem.
Rozumiem, ze z fail2ban.local można wywali wszystkie zapisy, które
dotycza aplikacji, które nas nie interesują a zostawić tylko np. ssh,
sendmail i dovecot?
LFC
Rozumiem, ze z fail2ban.local można wywali wszystkie zapisy, które
dotycza aplikacji, które nas nie interesują a zostawić tylko np. ssh,
sendmail i dovecot?
LFC
Piotr Lechowicz
Mar 26, 2020, 10:18:24 AM3/26/20
to
W dniu 2020-03-26 o 14:22, LFC pisze:
Pewnie, że można.
To jest twoja konfiguracja, która nadpisuje defaulta.
To jest twoja konfiguracja, która nadpisuje defaulta.
0 new messages