Форум системных администраторов

IT => Windows => MS Exchange => Тема начата: supervisor2005 от 28 сентября 2016, 16:19:09

Название: spam
Отправлено: supervisor2005 от 28 сентября 2016, 16:19:09
Добрый день!
Не особо разбираюсь в почтовых системах, прошу помощи. Не знаю какие данные представлять, что по мере необходимости буду выкладывать.
Проблема, приходит спам из своего же домена:  user@domain.ru  пользователь user не существует.

Что имеем из софта.
CenOS 6 на нем postfx работает как шлюз.

MS exchagnge  2013 SP1  на windows 2012 R2

Какие нужны логи выложу, если еще подскажете откуда их брать, будет вообще отлично.
Название: spam
Отправлено: Retif от 28 сентября 2016, 16:21:06
Проблема, приходит спам из своего же домена:  user@domain.ru  пользователь user не существует.
Для начала, посмотрите исходник письма, откуда оно идет.
Название: spam
Отправлено: shs от 28 сентября 2016, 16:25:34
откуда оно идет

поясню: посмотри в заголовке письма IP|имя хоста-отправителя


Updated: 28 September 2016, 16:26:07

http://www.antispam.ru/4user/reading-email-headers-translation.shtml
Название: spam
Отправлено: supervisor2005 от 28 сентября 2016, 17:20:22
Каждый раз разные.
Received: from pc4e156.ztv.ne.jp (unknown [61.125.155.156])
Received: from [111.92.73.71] (unknown [111.92.73.71])
Название: spam
Отправлено: shs от 28 сентября 2016, 17:34:55
Каждый раз разные.
Received: from pc4e156.ztv.ne.jp (unknown [61.125.155.156])
Received: from [111.92.73.71] (unknown [111.92.73.71])
Т.е почта приходит из внешнего мира. При этом внешний получатель отправляет письмо от произвольного (даже несуществующего) внутреннего пользователя. Значит нужно запретить слать письма от несуществующих внутренних пользователей и/или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаю
Название: spam
Отправлено: Retif от 28 сентября 2016, 17:39:39
или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаю
Ну вроде по дефолту оно и так есть, если автор не менял.

Только как это поможет, не понял. Изнутри же и так не идет спам, он идет снаружи, только в качестве отправителя указывается придуманный юзер из домена автора. Это уже с антиспамом работать надо, имхо.

Название: spam
Отправлено: shs от 28 сентября 2016, 17:45:16
Только как это поможет, не понял
назвался внутренним пользователем - будь любезен предъявить пароль этого пользователя.
Название: spam
Отправлено: supervisor2005 от 28 сентября 2016, 17:48:42
Спасибо за ответы.

Есть настроенный postfix и spamassassin.

настраивал с разных сайтов, если есть опыт настройки, могу логи выложить. 
Название: spam
Отправлено: kozb от 28 сентября 2016, 17:55:20
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :

1.  Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте https://habrahabr.ru/post/253705/.
2.  Использовать подпись исходящих сообщений DKIM https://habrahabr.ru/post/106589/.
3.  Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html

Название: spam
Отправлено: supervisor2005 от 28 сентября 2016, 18:16:09
Спасибо огромное.
Название: spam
Отправлено: shs от 28 сентября 2016, 18:18:51
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :

1.  Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте [url]https://habrahabr.ru/post/253705/[/url].
2.  Использовать подпись исходящих сообщений DKIM [url]https://habrahabr.ru/post/106589/[/url].
3.  Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском [url]http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html[/url]





Боюсь, это не совсем то. SPF и DKIM не поможет, если спамер отправляет почту при помощи вашего же сервера. Ваш сервер сам его любезно подпишет и отправит с прописанного в политике IP-адреса. Вам нужно именно запретить соединяться с вашим сервером внутренним пользователям без предварительной аутентификации.


Updated: 28 September 2016, 18:21:48

будет лучше, если вы покажете заголовок письма со спамом (чтобы понимать, что мы говорим имеено о том, с чем вам пришлось столкнуться).
Название: spam
Отправлено: kozb от 28 сентября 2016, 18:34:46
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.


supervisor2005 , возьмите весь header из сообщения и поместите на этот сайт http://mxtoolbox.com/EmailHeaders.aspx, он наглядно покажет откуда и куда пришло.
Название: spam
Отправлено: shs от 28 сентября 2016, 18:46:43
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.


Открытый релэй  пересылает почту от кого угодно кому угодно, я же говорю о том случае, когда атакующий извне соединяется с вашим сервером и отправляет письмо вашему пользователю от другого вашего пользователя вашим же сервером. В этом случае о релэе речь не идет.


Updated: 28 September 2016, 18:56:44

Было бы неплохо взглянуть на лог приема письма.
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 07:55:46
будет лучше, если вы покажете заголовок письма со спамом (чтобы понимать, что мы говорим имеено о том, с чем вам пришлось столкнуться).



Received: from EX-02.global.stolline.ru (192.168.208.19) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4 via Mailbox Transport; Wed, 28 Sep 2016 17:08:56 +0300
Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4; Wed, 28 Sep 2016 17:08:56 +0300
Received: from mail-01.global.stolline.ru (192.168.208.35) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server id
 15.0.1156.6 via Frontend Transport; Wed, 28 Sep 2016 17:08:56 +0300
Received: by mail-01.global.stolline.ru (Postfix, from userid 1000)
   id 31B8A2B07; Wed, 28 Sep 2016 17:08:05 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
   mail-01.global.stolline.ru
X-Spam-Flag: YES
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.8 required=6.0 tests=BAYES_50,
   RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_BRBL_LASTEXT,RCVD_IN_MSPIKE_BL,
   RCVD_IN_MSPIKE_L3,RCVD_IN_PBL,RCVD_IN_PSBL,RCVD_IN_XBL,RDNS_NONE autolearn=no
   autolearn_force=no version=3.4.0
X-Spam-Report: *  0.8 BAYES_50 BODY: Bayes spam probability is 40 to 60%
   *      [score: 0.5000]
   *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
   *      [Blocked - see <http://www.spamcop.net/bl.shtml?43.231.59.176>]
   *  2.7 RCVD_IN_PSBL RBL: Received via a relay in PSBL
   *      [43.231.59.176 listed in psbl.surriel.com]
   *  0.0 RCVD_IN_MSPIKE_L3 RBL: Low reputation (-3)
   *      [43.231.59.176 listed in bl.mailspike.net]
   *  3.3 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
   *      [43.231.59.176 listed in zen.spamhaus.org]
   *  0.4 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
   *  1.4 RCVD_IN_BRBL_LASTEXT RBL: No description available.
   *      [43.231.59.176 listed in bb.barracudacentral.org]
   *  0.0 RCVD_IN_MSPIKE_BL Mailspike blacklisted
   *  0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
Received: from [43.231.59.176] (unknown [43.231.59.176])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 2CEFDAD
   for <oleg@stolline.ru>; Wed, 28 Sep 2016 14:08:04 +0000 (UTC)
From: <scanner@stolline.ru>
Subject: *****SPAM***** Message from "CUKPR0985314"
To: <oleg@stolline.ru>
Date: Wed, 28 Sep 2016 19:38:03 +0530
Message-ID: <20160928193803567186257KX.DCSML-S000990000.E78BC9C8BA43A67B@stolline.ru>
MIME-Version: 1.0
Content-Type: multipart/mixed;
   boundary="_5ef182f19164b-7bfb6cae-06858ec0-1b20a-ec6879e08547630b4_"
X-Spam-Prev-Subject: Message from "CUKPR0985314"
Return-Path: scanner@stolline.ru
X-MS-Exchange-Organization-Network-Message-Id: b4152878-18de-4ad4-5456-08d3e7a8fc61
X-MS-Exchange-Organization-AuthSource: EX-01.global.stolline.ru
X-MS-Exchange-Organization-AuthAs: Anonymous

Название: spam
Отправлено: shs от 29 сентября 2016, 10:22:23
Цитировать
Received: from [43.231.59.176] (unknown [43.231.59.176])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 2CEFDAD
   for <oleg@stolline.ru>; Wed, 28 Sep 2016 14:08:04 +0000 (UTC)

Вот ваш спамер 43.231.59.176

Кстати, SpamAssassin уже пометил это письмо, как SPAM (см. subject), т.к. оно набрало 10.8, при пороге 6.0 (X-Spam-Status: Yes, score=10.8 required=6.0)

Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 10:43:22
Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?
К сожжению такое письмо приходи сразу 300 пользователям и каждому настраивать фильтр сложно.
Название: spam
Отправлено: shs от 29 сентября 2016, 11:01:20
Да, выше я немного ошибся, от подобных атак действительно поможет SPF и/или аутентификация ваших пользователей.

Если ваши пользователи могут посылать почту только из локальной сети вашей организации, то достаточно будет SPF, если вашим пользователям необходимо дать возможность посылать почту при помощи вашего сервера с любого адреса из  Интернет, то необходимо вводить требование аутентификации на принимающем сервере и исключать аутентифицированных пользователей от фильтрации по SPF.

Как-то так...


Updated: 29 September 2016, 11:02:06

Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?
К сожжению такое письмо приходи сразу 300 пользователям и каждому настраивать фильтр сложно.

Я 100 лет не работал с Exch. У него нет возможности настроить фильтр по контенту?  ???
Название: spam
Отправлено: Retif от 29 сентября 2016, 11:20:57
У него нет возможности настроить фильтр по контенту? 

Насколько я понял, у автора антиспам на постфиксе, нет?
Что имеем из софта.
CenOS 6 на нем postfx работает как шлюз.
Почему там его не рубить?


Updated: 29 September 2016, 11:22:04

или аутентификация ваших пользователей.
Если её автор специально не отключал, то она и так есть. По эксче она по дефолту включена.
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 11:26:16
SPF и DKIM настроен.   Возможно я случайно открыл open reley, когда делал возможность отправки из 1С сообщений.

Думаю можно задействовать анти-спам самого exch, и настроить фильтрацию.
Название: spam
Отправлено: Fray от 29 сентября 2016, 11:26:34
Насколько я понял, у автора антиспам на постфиксе, нет?
Постфикс добавил слово SPAM в тему и отправил дальше на Exch.
Надо в Exch создать правило по содержимому темы :pardon:


Updated: 29 September 2016, 11:27:09

можно задействовать анти-спам самого exch
Тоже как вариант :)
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 11:48:09
Постфикс добавил слово SPAM в тему и отправил дальше на Exch.

У меня spamassassin добавляет SPAM в тему.
Название: spam
Отправлено: Retif от 29 сентября 2016, 12:03:15
Постфикс добавил слово SPAM в тему и отправил дальше на Exch.
Надо в Exch создать правило по содержимому темы
Что мешает это сделать на эксче? только по слову SPAM все письма банить как-то неправильно, имхо, иногда может и ошибаться. Нужно конкретно в этом письме искать признаки, которые ему свойственны.

Возможно я случайно открыл open reley, когда делал возможность отправки из 1С сообщений.
Можно провериться на open relay. Гуглите "open relay check".
Название: spam
Отправлено: Fray от 29 сентября 2016, 12:04:31
только по слову SPAM все письма банить как-то неправильно, имхо, иногда может и ошибаться. Нужно конкретно в этом письме искать признаки, которые ему свойственны.
Надо конечно включить встроенную фильтрацию спама в Exch, но и отправлять в карантин по слову SPAM в теме тоже не помешает :)
Название: spam
Отправлено: Retif от 29 сентября 2016, 12:06:28
Надо конечно включить встроенную фильтрацию спама в Exch
Почему надо-то? Чтобы два антиспама было? :)


Updated: 29 September 2016, 12:07:39

но и отправлять в карантин по слову SPAM в теме тоже не помешает
Насколько я понимаю, так отмечаются подозрительные письма, которые не набрали количества баллов, выше 10-ки (или сколько там). Так что банить их неправильно.
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 12:17:47
Reley сейчас снаружи нет, вечером узнаю придет спам или нет.  Есть только одно правило, разрешающие отправку из 1С через exch. В разрешение прописаны локальные адреса машин.
Название: spam
Отправлено: Fray от 29 сентября 2016, 12:31:45
Чтобы два антиспама было?
Можно и три :)
Название: spam
Отправлено: shs от 29 сентября 2016, 12:31:55
Почему надо-то? Чтобы два антиспама было?
потому, что антиспам от спамассасина - очень мощная и гибкая штука, в отличие от. При правильной настройке от Exch ничего не потребуется, кроме контентной фильтрации и карантина.




Updated: 29 September 2016, 12:32:18

Чтобы два антиспама было?
Можно и три :)
Кстати, да.


Updated: 29 September 2016, 12:32:58

только по слову SPAM все письма банить как-то неправильно
там не только слово SPAM, там еще куча звездочек.
Название: spam
Отправлено: Retif от 29 сентября 2016, 12:33:22
Есть только одно правило, разрешающие отправку из 1С через exch
Покажите скриншот, где это у вас настроено?
Название: spam
Отправлено: shs от 29 сентября 2016, 12:37:13
Есть только одно правило, разрешающие отправку из 1С через exch
Покажите скриншот, где это у вас настроено?
А зачем тебе на него смотреть? Почту снаружи принимает другой сервер.
Название: spam
Отправлено: Retif от 29 сентября 2016, 12:43:38
shs, а-а, ну да, простите )) Сам забыл уже )

Чтобы два антиспама было?
Можно и три :)
А смысл? Если на одном все это можно сделать?
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 12:50:22
Покажите скриншот, где это у вас настроено?
(http://)
Название: spam
Отправлено: kozb от 29 сентября 2016, 15:34:43
Я не знаком с Spamassassin , но советую проверить как с его помощью это остановить.
По большому счету вам нужно определить что IP отправителя соответствует домену указанному в адресе отправителя,
Стандартная проверка PTR лишь проверяет наличие записи, а не соответсвие с доменом указанным в адресе отправителя.

Если у вас нет внешних источников, которые отсылают письма с вашым доменом, вы можете вообще запретить прием писем с вашего домена.
Название: spam
Отправлено: shs от 29 сентября 2016, 16:11:26
Если у вас нет внешних источников, которые отсылают письма с вашым доменом, вы можете вообще запретить прием писем с вашего домена.
Кстати, да  :idea:
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 16:12:11
Spamassassin определяет спам или нет и отклоняет если порог спама выше чем задан . Я вроде как запретил прием в postfix  от своего домена.
Посмотрим что получится. Если все удачно, напишу где и что сделал.
Название: spam
Отправлено: shs от 29 сентября 2016, 16:47:44
Spamassassin определяет спам или нет и отклоняет если порог спама выше чем задан
Я бы поступил осторожнее: маркировал бы эти письма при помощи SpamAssassin'а, а потом уже на Exch при помощи контентной фильтрации загонял бы это в какой-нить ящик, из которого бы время от времени удалял старые письма. Если произойдет ложно-положительное срабатывание, то всегда можно залезть в этот ящик-отстойник и выковырять из него нужное письмо.

Кроме того, рекомендую потренировать байесовский фильтр в спамассассине и выставить для него коэффициенты побольше, чем для остальных тестов. Хорошо обученный байес очень хорошо режет спам, который валится именно на вас.
Название: spam
Отправлено: supervisor2005 от 29 сентября 2016, 17:04:40
shs, спасибо за совет, попробую. Завтра отпишу есть спам или нет.
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 09:48:56
Добрый день!

Ситуация не поменялась, в 3 часа ночи пришло письмо от своего домена.

Проверил на open relay свой postfix

telnet 78.107.25.116 25
Trying 78.107.25.116...
Connected to 78.107.25.116.
Escape character is '^]'.
220 mail-01.global.stolline.ru ESMTP Postfix
HELO MAIL
250 mail-01.global.stolline.ru
MAIL FROM:<oleg@stolline.ru>
250 2.1.0 Ok
RCPT TO:<oleg@stolline.ru>
554 5.7.1 <oleg@stolline.ru>: Sender address rejected: Access denied
421 4.7.0 mail-01.global.stolline.ru Error: too many errors

Может есть статья как закрыть прием снаружи писем от своего домена?
 
Название: spam
Отправлено: shs от 30 сентября 2016, 11:00:13
Может есть статья как закрыть прием снаружи писем от своего домена?
возможно.

google it!
Название: spam
Отправлено: Fray от 30 сентября 2016, 11:06:13
И все-таки: можно же на Exchange сделать правило, которое будет редиректить помеченные сообщения в какой-нибудь общий ящик или папку...

[attachimg=1]
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 11:14:27
Опытным путем доказано что exch оправляет письма без авторизации через telnet внутри своей сети, причем при дефолтных настройка.
Создал правило на exch, которое в теме *****spam***** отправляет в другой ящик.
Название: spam
Отправлено: shs от 30 сентября 2016, 11:21:31
вот что нагуглилось, посмотрите: http://www.calculate-linux.ru/boards/6/topics/2499


Updated: 30 September 2016, 11:22:01

Опытным путем доказано что exch оправляет письма без авторизации через telnet внутри своей сети

у вас же снаружи почту принимает postfix
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 11:48:49
Fray, Это правило я создал, спасибо.
Но теперь и некоторые нормальные письма с yandex, mail  попадают в спам ящик
Название: spam
Отправлено: Fray от 30 сентября 2016, 11:50:17
Но теперь и некоторые нормальные письма с yandex, mail  попадают в спам ящик
Потому что postfix их помечает как возможный спам, так? Может подкрутить сам postfix тогда? В нем я не силен :)
Название: spam
Отправлено: shs от 30 сентября 2016, 11:51:34
Но теперь и некоторые нормальные письма с yandex, mail  попадают в спам ящик
В какой спам они попадают и на основании чего?
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 12:15:49
В какой спам они попадают и на основании чего?

Почему попадают в спам не знаю.

Received: from forward2o.cmail.yandex.net (unknown [37.9.109.243])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 0F222A3
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 08:09:04 +0000 (UTC)
Received: from mxback3g.mail.yandex.net (mxback3g.mail.yandex.net [77.88.29.164])
   by forward2o.cmail.yandex.net (Yandex) with ESMTP id 7364E20D5A
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 11:09:04 +0300 (MSK)
Received: from web5g.yandex.ru (web5g.yandex.ru [95.108.252.105])
   by mxback3g.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 7jdIJ1ehTs-94AS37vL;
   Fri, 30 Sep 2016 11:09:04 +0300
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1475222944;
   bh=iZwEQUsivEBDB5Cj2ZFWFrt5ZrNNWOLt6jyy4cRjCGQ=;
   h=From:To:Message-Id:Date;
   b=q3h3Xt8bmGDDgN8Oqx0TTFomyfrqke/+Olr/Higk5uM+8nEKOK/PtP8HC3Egqovcn
    pNlVnlSof2Y0/tMA5VDkWNIA1mhQGSH9YFRe/d1z3pvjOn/BNtZN+XrTXvUFCahWv1
    gzCsMp3XGgvS3K2GhypnpkQaJKjJujjrmKVaqogQ=
Authentication-Results: mxback3g.mail.yandex.net; dkim=pass header.i=@yandex.ru
Received: by web5g.yandex.ru with HTTP;
   Fri, 30 Sep 2016 11:09:04 +0300
From: =?utf-8?B?0JfQsNGF0LDRgNC+0LIg0JXQstCz0LXQvdC40Lk=?= <msprokat@yandex.ru>
To: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGA0LAg0JDQvdC00YDQtdC10LLQvdCwINCa0L7RgdGC0YvQu9C10LLQsA==?= <kostyleva@stolline.ru>
MIME-Version: 1.0
Message-ID: <2074941475222944@web5g.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Fri, 30 Sep 2016 11:09:04 +0300
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
Subject: *****SPAM*****
X-Spam-Prev-Subject: (nonexistent)
Return-Path: msprokat@yandex.ru
X-MS-Exchange-Organization-Network-Message-Id: 247afdc5-c409-431c-81c1-08d3e90914e9
X-MS-Exchange-Organization-AuthSource: EX-01.global.stolline.ru
X-MS-Exchange-Organization-AuthAs: Anonymous
Название: spam
Отправлено: shs от 30 сентября 2016, 12:18:12
Почему попадают в спам не знаю.
что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?
Название: spam
Отправлено: Retif от 30 сентября 2016, 12:24:53
Но теперь и некоторые нормальные письма с yandex, mail  попадают в спам ящик
А я предупреждал.
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 12:27:15
Почему попадают в спам не знаю.
что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?

После установки правила на exch.

Это правило помещает письма в почтовый ящик test-01 если в теме указано *****spam*****
Название: spam
Отправлено: Fray от 30 сентября 2016, 12:28:15
shs, в спец. ящик для спама.

Subject: *****SPAM*****
Ну так вот у него тема какая, потому и попадают :pardon: Ему видимо постфикс тему-то и пометил.

Retif, все норм :)
Название: spam
Отправлено: shs от 30 сентября 2016, 12:31:14
Это правило помещает письма в почтовый ящик test-01 если в теме указано ********
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.

Жду заголовков.
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 12:33:29
Если кто то хорошо разбирается, вот кусок postfix касаемо спама.

smtpd_client_restrictions =
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    permit_mynetworks,
    check_sender_access hash:/etc/postfix/access,
    check_helo_access regexp:/etc/postfix/helo,
    #reject_unknown_reverse_client_hostname,
    #reject_unknown_client_hostname,
    reject_unverified_sender,
    #reject_unknown_client,
    check_client_access regexp:/etc/postfix/dul_checks,
    permit

smtpd_helo_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/access,

    reject_rbl_client sbl-xbl.spamhaus.org,
    reject_rbl_client pbl.spamhaus.org,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client dul.dnsbl.sorbs.net,
    reject_rbl_client dnsbl.inps.de,
    reject_rbl_client b.barracudacentral.org,

    check_helo_access regexp:/etc/postfix/helo,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_helo_hostname,
    permit

smtpd_sender_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit

smtpd_recipient_restrictions =
    reject_unauth_pipelining,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_invalid_hostname,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_non_fqdn_hostname,
    reject_multi_recipient_bounce,
    check_recipient_access hash:/etc/postfix/roleaccount_exceptions
    permit
Название: spam
Отправлено: Retif от 30 сентября 2016, 12:33:30
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.
Поэтому, лучше так не делать, не трогать письма с пометкой
****SPAM****
Лучше взять и разобраться с тем письмом, с которого все началось. Понять, как ему прибавить баллов или в черный список занести по какому-то параметру.
Название: spam
Отправлено: shs от 30 сентября 2016, 12:35:09
Поэтому, лучше так не делать, не трогать письма с пометкой
Не согласен. Делаю именно так, и все счастливы.


Updated: 30 September 2016, 12:35:53

Лучше взять и разобраться с тем письмом, с которого все началось.
Началось с другого письма и по другому поводу.


Updated: 30 September 2016, 12:37:36

Если кто то хорошо разбирается, вот кусок postfix касаемо спама.
отметку ***SPAM*** ставит не postfix, а SpamAssassin
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 12:48:14
Собственно настройки spamassassina

# Добавляем запись к заголовку письма, если письмо определено как спам
rewrite_header Subject *****SPAM*****
# Доверенные сети
#trusted_networks
required_hits 6.0
report_safe 0
# Метод защиты файлов базы
lock_method flock
# Количество "очков", набрав которые письмо считается спамом
required_score 6.0
# Использовать Bayes алгоритмы при проверке почтовых сообщений
use_bayes 1
#bayes_path /etc/mail/spamassassin/bayes/bayes
# Автообучение Bayes
bayes_auto_learn 1
# Не активировать систему, пока она не обучится на некотором количестве писем
bayes_min_spam_num 200
bayes_min_ham_num 200
# Журналировать процесс обучения
bayes_learn_to_journal  1
# Выставляем права на файлы
bayes_file_mode         0666
# Не выполнять проверку по блэклистам. При установке параметра в 0 - опция будет включена
skip_rbl_checks        0



Updated: 30 September 2016, 12:50:41

Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.


Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4 via Mailbox Transport; Fri, 30 Sep 2016 11:09:24 +0300
Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server (TLS) id
 15.0.1156.6; Fri, 30 Sep 2016 11:09:20 +0300
Received: from mail-01.global.stolline.ru (192.168.208.35) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server id
 15.0.1156.6 via Frontend Transport; Fri, 30 Sep 2016 11:09:20 +0300
Received: by mail-01.global.stolline.ru (Postfix, from userid 1000)
   id 4FF29BC; Fri, 30 Sep 2016 11:09:08 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
   mail-01.global.stolline.ru
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.9 required=6.0 tests=BAYES_50,DKIM_SIGNED,
   DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM,HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,
   MIME_HTML_ONLY,MISSING_SUBJECT,RDNS_NONE,TVD_SPACE_RATIO_MINFP autolearn=no
   autolearn_force=no version=3.4.0
X-Spam-Report: *  0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
   *      (msprokat[at]yandex.ru)
   *  0.0 HTML_MESSAGE BODY: HTML included in message
   *  0.8 BAYES_50 BODY: Bayes spam probability is 40 to 60%
   *      [score: 0.5000]
   *  0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
   * -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author's
   *       domain
   *  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
   *      valid
   * -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
   *  0.4 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
   *  1.8 MISSING_SUBJECT Missing Subject: header
   *  0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
   *  2.5 TVD_SPACE_RATIO_MINFP Space ratio
Received: from forward2o.cmail.yandex.net (unknown [37.9.109.243])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 0F222A3
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 08:09:04 +0000 (UTC)
Received: from mxback3g.mail.yandex.net (mxback3g.mail.yandex.net [77.88.29.164])
   by forward2o.cmail.yandex.net (Yandex) with ESMTP id 7364E20D5A
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 11:09:04 +0300 (MSK)
Received: from web5g.yandex.ru (web5g.yandex.ru [95.108.252.105])
   by mxback3g.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 7jdIJ1ehTs-94AS37vL;
   Fri, 30 Sep 2016 11:09:04 +0300
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1475222944;
   bh=iZwEQUsivEBDB5Cj2ZFWFrt5ZrNNWOLt6jyy4cRjCGQ=;
   h=From:To:Message-Id:Date;
   b=q3h3Xt8bmGDDgN8Oqx0TTFomyfrqke/+Olr/Higk5uM+8nEKOK/PtP8HC3Egqovcn
    pNlVnlSof2Y0/tMA5VDkWNIA1mhQGSH9YFRe/d1z3pvjOn/BNtZN+XrTXvUFCahWv1
    gzCsMp3XGgvS3K2GhypnpkQaJKjJujjrmKVaqogQ=
Authentication-Results: mxback3g.mail.yandex.net; dkim=pass header.i=@yandex.ru
Received: by web5g.yandex.ru with HTTP;
   Fri, 30 Sep 2016 11:09:04 +0300
From: =?utf-8?B?0JfQsNGF0LDRgNC+0LIg0JXQstCz0LXQvdC40Lk=?= <msprokat@yandex.ru>
To: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGA0LAg0JDQvdC00YDQtdC10LLQvdCwINCa0L7RgdGC0YvQu9C10LLQsA==?= <kostyleva@stolline.ru>
MIME-Version: 1.0
Message-ID: <2074941475222944@web5g.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Fri, 30 Sep 2016 11:09:04 +0300
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
Subject: *****SPAM*****
X-Spam-Prev-Subject: (nonexistent)
Return-Path: msprokat@yandex.ru
X-MS-Exchange-Organization-Network-Message-Id: 247afdc5-c409-431c-81c1-08d3e90914e9
X-MS-Exchange-Organization-AuthSource: EX-01.global.stolline.ru
X-MS-Exchange-Organization-AuthAs: Anonymous
Название: spam
Отправлено: shs от 30 сентября 2016, 13:13:10
Смотрите, письмо подписано при помощи DKIM
   * -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author's   
*       domain   
*  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily   
*      valid   
* -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
спамеры обычно так не делают (если только им не удалось прогнать почту через чужой сервер, завладев реквизитами доступа к одному из аккаунтов)

При этом на основании этого (тесты DKIM_VALID_AU и DKIM_VALID) из общей оценки вычлось только по 0,1 балла. Я бы изменил эту настройку и предписал бы вычитать как минимум несколько балов



Updated: 30 September 2016, 13:14:34

Fix
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 13:18:42
При этом на основании (этого тесты DKIM_VALID_AU и DKIM_VALID) из общей оценки вычлось только по 0,1 балла. Я бы изменил эту настройку и предписал бы вычитать как минимум несколько балов

Я увеличил порог
required_hits 7.0 сделал
required_score 8.0 сделал
Название: spam
Отправлено: shs от 30 сентября 2016, 14:12:16
Я увеличил порог required_hits 7.0 сделалrequired_score 8.0 сделал
Цитировать
required_score n.nn (default: 5)
Set the score required before a mail is considered spam. n.nn can be an integer or a real number. 5.0 is the default setting, and is quite aggressive; it would be suitable for a single-user setup, but if you're an ISP installing SpamAssassin, you should probably set the default to be more conservative, like 8.0 or 10.0. It is not recommended to automatically delete or discard messages marked as spam, as your users will complain, but if you choose to do so, only delete messages with an exceptionally high score such as 15.0 or higher. This option was previously known as required_hits and that name is still accepted, but is deprecated.
Можно оставить только required_score

Увеличив порог, вы тем самым добились того, что многие спам письма успешно его минуют.
Вам надо было уменьшить количество балов, которые начисляются письму на основании того, что это письмо было подписано валидной подписью DKIM, напоример, прописав в конфигурационный файл SpamAssassin что-нить типа следующего:
score DKIM_VALID_AU  -5.0


Updated: 30 September 2016, 14:18:42

Для самообучения Байеса, которое у вас включено (bayes_auto_learn 1), можно добавить что-нить типа:
bayes_auto_learn_threshold_nonspam 0.1
bayes_auto_learn_threshold_spam 12.0

Это означает, что все письма, набравшие по всем тестам 12 и более балов будут использованы, как образец спама, а письма, набравшие менее 0,1  - как образец хама.

Пороги автообучения (я указал здесь 0.1 и 12)  выбирайте сами на основании ручного анализа ваших писем, прошедших через spamassassin и, естественно, установленного вами порога срабатывания (required_score)


Updated: 30 September 2016, 14:24:04

так же я бы уменьшил количество балов, которые начисляются письму за TVD_SPACE_RATIO
Цитировать
SpamAssassin Rule: TVD_SPACE_RATIO
Standard description: eval:tvd_vertical_words('0','10')

Explanation

According to a comment in the rules file "it's the ratio of spaces to non-spaces in each paragraph. apparently messages where generally there are lots of spaces mean the message is spam."
Extra space in HTML messages will be ignored in mail clients, but may not be ignored in pattern-matching filters. Slightly different messages may be sent to each recipient to avoid filtering.

Добавлять сразу 2,5 бала только лишь за то, что в каждом абзаце слишком много пробелов, - это, на мой взгляд, перебдеть сверх меры.



Updated: 30 September 2016, 14:45:39

После того, как Байес обучится, можно будет начать тонко подстраивать ему количество балов, которые он будет начислять письму. У меня сделано так:

# Bayesian Scores
score BAYES_99 10
score BAYES_95 6.0
score BAYES_80 3.0
score BAYES_60 2.5
score BAYES_50 2.2
score BAYES_40 1.0
score BAYES_20 0.3
score BAYES_05 -0.5
score BAYES_00 -3.0

При том, что порог срабатывания (required_score) у меня установлен в 6 балов.
Т.е. если Байес полагает, что письмо - спам на 95%, я сразу добавляю ему 6 баллов (т.е. такое письмо будет однозначно признано спамом). Если письмо будет признано спамом на 99%, то получит сразу +10 балов. Добрав еще 2 балла по другим тестам, это письмо превысит установленный мною порог автообучения 12 баллов и будет скормлено для обучения Байесу.
Название: spam
Отправлено: supervisor2005 от 30 сентября 2016, 15:46:35
shs,
Спасибо, попробую.
Название: spam
Отправлено: Fray от 30 сентября 2016, 15:48:34
supervisor2005, ;)

Цитировать
1.8 Если участник форума дал Вам хороший совет, который помог Вам в решении Вашей проблемы, не стоит размещать сообщения с благодарностями типа "Спасибо! Ты супер!!!" и т.п. Выражайте свою благодарность путем поднятия рейтинга конкретного участника.


(http://sysadminz.ru/Themes/default/images/kdm_up.png)
Название: spam
Отправлено: supervisor2005 от 06 октября 2016, 09:20:47
Добрый день!

Спам от собственного домена из вне удалось победить, если кто то использует postfix нужно в main.cf добавить правило reject_unverified_sender # проверка отправителя.
Еще вheader_checks - postfix добавил правило /^To:.*@mydomain\.ru/ REJECT.


Проблема решена, всем спасибо за участие.
Название: spam
Отправлено: shs от 06 октября 2016, 12:58:47
reject_unverified_sender
а не приведет ли это к тому, что почта от не
reject_unverified_sender # проверка отправителя.
Это не совсем то. Ведь спамеры могут пытаться отправить письма и c существующего у вас в системе адреса.

Да, и еще, выходит, ваш postfix должен знать о всех существующих пользователях exch, чтобы выполнять такую проверку? Или он эту проверку выполняет, соединяясь с exch?  ???
Название: spam
Отправлено: kozb от 06 октября 2016, 16:03:07
reject_unverified_sender
а не приведет ли это к тому, что почта от не
reject_unverified_sender # проверка отправителя.
Это не совсем то. Ведь спамеры могут пытаться отправить письма и c существующего у вас в системе адреса.

Да, и еще, выходит, ваш postfix должен знать о всех существующих пользователях exch, чтобы выполнять такую проверку? Или он эту проверку выполняет, соединяясь с exch?  ???
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.
Название: spam
Отправлено: shs от 06 октября 2016, 16:05:49
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
А, теперь дошло. Я неправильно понимал, как оно работает.
Но, опять-таки, если smtp отправителя - open relay, то проверка завершится успехом, так ведь?
Название: spam
Отправлено: kozb от 06 октября 2016, 16:08:25
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
А, теперь дошло. Я неправильно понимал, как оно работает.
Но, опять-таки, если smtp отправителя - open relay, то проверка завершится успехом, так ведь?
К сожалению да, но большинство недоспамеров все же может отсеить.
Название: spam
Отправлено: supervisor2005 от 06 октября 2016, 18:39:05
Основную проблему я с вашей помощью решил, а дальше по мере необходимости буду решать. Пока со спамом проблем нет.
Название: spam
Отправлено: supervisor2005 от 19 октября 2016, 13:20:48
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.

Добрый день!
Вот новая проблема, где прописать в postfix для приема noreply@domain.ru от моего домена?
Название: spam
Отправлено: Retif от 19 октября 2016, 13:33:19
supervisor2005, почему бы вам вопросы про postfix не писать в раздел Unix ?
Название: spam
Отправлено: shs от 19 октября 2016, 13:40:38
где прописать в postfix для приема noreply@domain.ru от моего домена?
чо?  ???
Название: spam
Отправлено: kozb от 19 октября 2016, 14:22:13
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.


Добрый день!
Вот новая проблема, где прописать в postfix для приема noreply@domain.ru от моего домена?



Я думаю что достаточно ввести noreply@domain.ru в белый лист. О том как создать белый лист смотрите тут http://www.odmin4eg.ru/2010/postfix-belyj-list-postfix-whitelist/
Название: spam
Отправлено: supervisor2005 от 19 октября 2016, 15:19:19
Retif, Сори, исправлюсь.

kozb,
Я думаю что достаточно ввести noreply@domain.ru в белый лист. О том как создать белый лист смотрите тут [url]http://www.odmin4eg.ru/2010/postfix-belyj-list-postfix-whitelist/[/url]


Спасибо.