Portál AbcLinuxu, 9. června 2024 08:41


Dotaz: otravný spam - blokace

16.11.2018 11:34 Standa
otravný spam - blokace
Přečteno: 1762×
Odpovědět | Admin
Ahoj, mám problém. Resp. věc, co mě otravuje. Mám kombinaci Postfix+Amavis+Spamassassin, ale začly mi chodit otravný maily. Třeba i 10x za den. Odesílatel a příjemce je moje adresa. Server, který to poslal je pokaždý jiný. Je možné to dát nějak na blacklist? 
Return-Path: <standa@xxxxxx.cz>
Delivered-To: standa@xxxxxx.cz
Received: from localhost (localhost [127.0.0.1])
	by xxxxxx.cz (Postfix) with ESMTP id E37CF276FB
	for <standa@xxxxxx.cz>; Fri, 16 Nov 2018 10:12:08 +0100 (CET)
Received: from xxxxxx.cz ([127.0.0.1])
	by localhost (server.loc [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id AYkVDcF1uNtM for <standa@xxxxxx.cz>;
	Fri, 16 Nov 2018 10:12:08 +0100 (CET)
Received: from [202.173.127.2] (unknown [202.173.127.2])
	by xxxxxx.cz (Postfix) with ESMTP id 0B23227689
	for <standa@xxxxxx.cz>; Fri, 16 Nov 2018 10:12:04 +0100 (CET)
Date: 16 Nov 2018 18:19:05 +0400
From: <standa@xxxxxx.cz>
X-Priority: 3
Message-ID: <276636082.201811161842@xxxxxx.cz>
To: <standa@xxxxxx.cz>
Subject: =?utf-8?B?VsOhxaEgw7rEjWV0IGJ5bCBuYXBhZGVu?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

16.11.2018 11:42 Electronic | skóre: 3
Rozbalit Rozbalit vše Re: otravný spam - blokace
Odpovědět | | Sbalit | Link | Blokovat | Admin

A co SPF ? https://cs.wikipedia.org/wiki/Sender_Policy_Framework

Max avatar 16.11.2018 12:02 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: otravný spam - blokace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nasadit SPF, ADSP, DKIM, DMARC a poté i filtry na mailserver, které to budou brát v potaz.
Zdar Max
Měl jsem sen ... :(
16.11.2018 12:29 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
DKIM na serveru mám, ale asi teda nefunguje tak, jak by měl
Max avatar 16.11.2018 13:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: otravný spam - blokace
Jedna věc je podepisovat maily (=odchozí traffic), druhá věc je mít na spamfiltru nastaveno, že nepodepsané má označovat jako spam (=příchozí traffic).
Jinak na diagnostiku nastavení doporučuji toto : www.mail-tester.com
Zdar Max
Měl jsem sen ... :(
16.11.2018 14:11 NN
Rozbalit Rozbalit vše Re: otravný spam - blokace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Deja vu -> http://www.abclinuxu.cz/poradna/linux/show/441335
17.11.2018 09:39 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak jsem si znovu nastavil DKIM, vygeneroval klíče, nastavil SPF, DMARC a DNS. V podstatě všechno funguje, ale není to dokonalý. Na mail-tester.com mám score 8.5 z 10. Například jsem si všiml, že při ověření DKIM mám informaci, že klíč není bezpečný: 
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key '201811._domainkey.domena.cz'
opendkim-testkey: key not secure
opendkim-testkey: key OK
Nejak se mi nedaří dopátrat toho, co to znamená.
17.11.2018 12:06 NN
Rozbalit Rozbalit vše Re: otravný spam - blokace
To znamena, ze na domene neni DNSSEC a nekdo by mohl DNS odpoved teoreticky podvrhnout.
18.11.2018 18:00 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Ahaa, Jak to můžu ještě ověřit? Doménu mám u forpsi a DNSSEC je tam zapnutý...
18.11.2018 14:06 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: otravný spam - blokace
To vsetko je sice pekne, ale pokial si to nastavoval na svoju domenu, tak ti to je na nic, pretoze tym si len zdoverihodnil svoju domenu/smtp server. Co ty potrebujes, je nastavit tieto "veci" na tvojom serveri, aby kontroloval prichadzajuce maily a na zaklade vysledku im potom patricke upravili spam skore.

Ak ti chodia maily akoze z tvojej domeny, ale nie su poslane lokalne, resp. zo serverov, ktore nemas v SPF, tak ich rovno zahadzuj.
18.11.2018 18:02 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Takže mám špatně nastavený Amavis? Nebo kde to mám nastavit?
18.11.2018 19:14 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Amavis jsem nemyslel, nějak jsem se v tom zamotal. Postfix tedy nastavím nějak takhle, aby přijímal jen SPF ověřené domény: https://serverfault.com/questions/726471/how-to-setup-postfix-to-check-spf-record-only-for-domains-that-i-want-to-check , že?
18.11.2018 20:39 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Příloha:
A ještě mám problém.. chodí mi mraky mailů, kterým se mění odesílatel i server.. je to spam, který má SPF a i DKIM 
Return-Path: honzawfksmyekadlec@trdpay.info
Delivered-To: xx@xx.cz
Received: from localhost (localhost [127.0.0.1])
	by xxx.cz (Postfix) with ESMTP id 35B65278B6
	for xx@xx.cz; Sun, 18 Nov 2018 19:56:47 +0100 (CET)
Authentication-Results: xxx.cz;
	dkim=pass (1024-bit key; unprotected) header.d=trdpay.info header.i=honzawfksmyekadlec@trdpay.info header.b="A5CN0aTt";
	dkim-atps=neutral
Received: from xxx.cz ([127.0.0.1])
	by localhost (server.xx.loc [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id a2rfn2QulWnb for xx@xx.cz;
	Sun, 18 Nov 2018 19:56:47 +0100 (CET)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=157.52.150.152; helo=internal.trdpay.info; envelope-from=honzawfksmyekadlec@trdpay.info; receiver=UNKNOWN 
Received: from internal.trdpay.info (internal.kettensage-at1.com [157.52.150.152])
	by xxx.cz (Postfix) with ESMTP id 8F3DE2769E
	for xx@xx.cz; Sun, 18 Nov 2018 19:56:45 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dkim; d=trdpay.info;
 h=Date:MIME-Version:Subject:To:Message-ID:Reply-To:From:List-Unsubscribe:Content-Type:Content-Transfer-Encoding; i=honzawfksmyekadlec@trdpay.info;
 bh=WgWePCx0mgrmS6SI/Hzaw/YlIRU=;
 b=A5CN0aTtuu1GMze4//oDg1DsNdijZQrssWOeLF9qqB3a51iLG7qysatX2TNhYAeay4SybmaJ/Hba
   0cm4LlcMDTpY0PD9rAt3D747Fc0nW8LDFxIZx+OrFbWHkDG6mBCWR66f8SF0uUm2XhO2LTiu8utI
   yPjUntmbnG1GFzY8lb4=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim; d=trdpay.info;
 b=ZKPPxAfOmmaw7n8G0rNdMsJ/Zsjerl892pbPAkGM9OyG4NK5TsexSJa7FDI8XnUbOlRYOb5RaeKv
   +xzGxUBeCFmr4DthKRZM5wmfQuypOOP5IplD2nqVxKF9GXHV/W0+DYJw8EnR3PIRWf9ZNA/FKpR7
   2JHli3XkNYLyXf1eakQ=;
Date: Sun, 18 Nov 2018 18:57:15 +0100
MIME-Version: 1.0
Subject: =?UTF-8?Q?M=C3=A1=C5=A1_u=C5=BE_dost_=C3=BAnavn=C3=A9ho_ru=C4=8Dn=C3=ADho_=C5=99ez=C3=A1n=C3=AD=3F_S_pilou_rakousk=C3=A9_kvality_bude_pr=C3=A1ce_snadn=C3=A1?=
To:  xx@xx.cz
X-Report-Abuse:  http://trdpay.info/aa.php?a=4zc913193907hwyp8t6eybn8a2qj1zqx0szn3c
Message-ID: opuhjhqyzb-JCZBJPREFTUINGZYUFBCDSJB@m.trdpay.info
Reply-To: honzawfksmyekadlec@trdpay.info
X-Priority: 1
From: =?UTF-8?Q?Honza_Kadlec?= honzawfksmyekadlec@trdpay.info
List-Unsubscribe:  http://trdpay.info/ub.php?b=4zc913193907hwyp8t6eybn8a2qj1zqx0szn3c
X-Mailer: Automizy
Content-Type: multipart/alternative; boundary=b1_sjx6aju7963cbndh3d8kjlw.qkPumAWLz; charset="UTF-8"
Content-Transfer-Encoding: 8bit

--b1_sjx6aju7963cbndh3d8kjlw.qkPumAWLz
Content-Type: text/plain; format=flowed; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Žádný odběr jsem si nevyžádal. Všechny ty url serverů odkazují na nějakou spamerskou službu 
Report Abuse: boundary.line.team247@gmail.com

Boundary line team
Dá se s tímhle nějak bojovat?
19.11.2018 00:58 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: otravný spam - blokace
Ano dá.....

Zjistit co mají ty maily společného a podle toho zaříznout příjem.

Třeba podle toho dkim pokud z toho serveru nepřijímáš legitimní maily, nebo podle IP nebo odesílatele nebo nějaké fráze.....
19.11.2018 07:39 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
V těch mailech jsem nenašel jediný společný znak.
19.11.2018 10:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: otravný spam - blokace
No tak blokovat jednotlivé servery co ti k tomu mám říct.....

Viz třeba u mě projdou maily pouze pro mě.... 
 --------------------- Postfix Begin ------------------------ 

        2   *Warning: Process limit reached, clients may delay          2
      202   *Warning: Anvil limit reached                  202
      268   Miscellaneous warnings                         268
 
  106.138K  Bytes accepted                             108,685
    3.262K  Bytes sent via SMTP                          3,340
  106.138K  Bytes delivered                            108,685
 ========   ==================================================
 
        4   Accepted                                     0.72%
      549   Rejected                                    99.28%
 --------   --------------------------------------------------
      553   Total                                      100.00%
 ========   ==================================================
 
        1   5xx Reject relay denied                      0.18%
        6   5xx Reject HELO/EHLO                         1.09%
      542   5xx Reject unknown user                     98.72%
 --------   --------------------------------------------------
      549   Total 5xx Rejects                          100.00%
 ========   ==================================================
 
     1112   Connections                                  1,112
      476   Connections lost (inbound)                     476
     1113   Disconnections                               1,113
        7   Removed from queue                               7
        4   Delivered                                        4
        3   Sent via SMTP                                    3
 
       46   Timeouts (inbound)                              46
       26   SMTP protocol violations                        26
        2   TLS connections (server)                         2
        3   TLS connections (client)                         3
 
        1   Postfix start                                    1
        1   Postfix stop                                     1
 
 
 ---------------------- Postfix End -------------------------
Prostě soubory access a header-checks.
19.11.2018 11:07 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
No asi jo. Oni ty všechny maily jsou jen pro mě a každý je z jiného serveru. Takže to je skoro boj s větrnými mlýny. Jak dostanu ten souhrn, co jsi poslal?
19.11.2018 11:15 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Ukázka, z jakých IP to chodí: 
68.183.65.155
104.248.76.244
157.52.150.172
199.189.27.103
199.189.27.108
199.189.27.113
199.189.27.118
142.93.146.195
185.234.183.191
209.97.132.193
68.183.164.41
68.183.77.176
19.11.2018 13:13 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: otravný spam - blokace
Proste blokuj vsetky prichadzajuce maily, kde From je "*@tvojadomena.tld".
19.11.2018 13:33 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
teď tu ale mluvím o mailech, kde FROM není z mé domény, ale z variabilních adres.. přesto je jejich DKIM i SPF v pořádku
19.11.2018 13:38 ttt
Rozbalit Rozbalit vše Re: otravný spam - blokace
Takže běžný spam. Není žádné zázračné řešení, můžeš si hrát s nastavením spamassasinu nebo jiného nástroje, který filtruje spam.
19.11.2018 13:41 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
Běžný spam s DKIM a SFP, jen to néé.
19.11.2018 15:29 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: otravný spam - blokace
Skus nakrmit SA tym SPAM-om, mne to celkom pomohlo.
19.11.2018 14:51 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
přidal jsem si pravidla 
iptables -A INPUT -s 185.234.183.17 -p tcp --dport 25 -j DROP
iptables -A INPUT -s 185.234.183.17 -j REJECT
atd. Teď koukám, že mi chodí další pořád z rozsahu 185.234.183.xx, poradáte, jak vytvořit pravidlo pro celý tenhle rozsah, prosím?
19.11.2018 20:04 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: otravný spam - blokace
Jednoduše 185.234.183.17/24 :-)
19.11.2018 20:48 JIntra
Rozbalit Rozbalit vše Re: otravný spam - blokace
Hmm.. Potřebuju zablokovat všechno, co začíná 185.234.183., 199.189.27., 142.93.152., 68.183.74., atd.
20.11.2018 01:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: otravný spam - blokace 
iptables -A INPUT -s 185.234.183.0/24 -j DROP
iptables -A INPUT -s 199.189.27.0/24 -j DROP
iptables -A INPUT -s 142.93.152.0/24 -j DROP
iptables -A INPUT -s 68.183.74.0/24 -j DROP
........

Ale na to je spíš lepší ipset jak je těch IP hodně viz:ipset: odlehčete přetíženým iptables

20.11.2018 08:50 Jindra
Rozbalit Rozbalit vše Re: otravný spam - blokace
Super, moc díky.
20.11.2018 19:25 Standa
Rozbalit Rozbalit vše Re: otravný spam - blokace
A je klid.. zatím:) 
cat /etc/ipset.conf 
create spam_net hash:net family inet hashsize 1024 maxelem 65536
add spam_net 206.189.0.0/16
add spam_net 209.97.132.0/24
add spam_net 199.189.27.0/24
add spam_net 185.234.183.0/24
add spam_net 104.183.65.0/24
add spam_net 68.183.77.0/24
add spam_net 103.225.128.0/24
add spam_net 68.183.74.0/24
add spam_net 142.93.152.0/24
add spam_net 157.52.150.0/24
add spam_net 142.93.146.0/24
add spam_net 68.183.65.0/24
create spam_ip hash:ip family inet hashsize 1024 maxelem 65536
Po startu serveru: 
ipset restore < /etc/ipset.conf
iptables -I INPUT -m set --match-set spam_net src -p tcp --dport 25 -j DROP
Ještě jednou díky všem, zejména Petrovi Šobáňovi;)
20.11.2018 00:55 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: otravný spam - blokace
Ten výpis posílá logwatch z fedory (logwatch-7.4.3-10.fc28.noarch).
9.8.2019 09:56 MKoch
Rozbalit Rozbalit vše Re: otravný spam - blokace
Mozna trochu offtopic, ale zacalo nam to chodit taky (nekolik stovek denne) a vsechny mejly jeden spolecny znak maji. Je to ten radek hlavicky List-Unsubscribe: http://trdpay.info/ub.php?b=4zc913193907hwyp8t6eybn8a2qj1zqx0szn3c Domena i ten hash jsou sice pokazde jine, ale ub.php je tam pokazde. Takze v postfixu do header_checks pridat radek /^List-Unsubscribe:.*ub.php.*/i REJECT zatim to funguje.
9.8.2019 10:21 NN
Rozbalit Rozbalit vše Re: otravný spam - blokace
Proc se obtezovat se zamitavou odpovedi spamerum? Dal bych tam rovnou DISCARD..
19.11.2018 10:51 Malý Mirko
Rozbalit Rozbalit vše Re: otravný spam - blokace
Áno da sa cez subor v firewalle: napr. /etc/csf/csf.deny tam blokovat vsetky IP adresy, alebo CIDR odkial prichadza spam. V poslednych dnoch je toho požehnane! Čisté šialenstvo :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.