Проблема, приходит спам из своего же домена: user@domain.ru пользователь user не существует.Для начала, посмотрите исходник письма, откуда оно идет.
откуда оно идет
Каждый раз разные.Т.е почта приходит из внешнего мира. При этом внешний получатель отправляет письмо от произвольного (даже несуществующего) внутреннего пользователя. Значит нужно запретить слать письма от несуществующих внутренних пользователей и/или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаю
Received: from pc4e156.ztv.ne.jp (unknown [61.125.155.156])
Received: from [111.92.73.71] (unknown [111.92.73.71])
или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаюНу вроде по дефолту оно и так есть, если автор не менял.
Только как это поможет, не понялназвался внутренним пользователем - будь любезен предъявить пароль этого пользователя.
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :
1. Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте [url]https://habrahabr.ru/post/253705/[/url].
2. Использовать подпись исходящих сообщений DKIM [url]https://habrahabr.ru/post/106589/[/url].
3. Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском [url]http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html[/url]
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.
будет лучше, если вы покажете заголовок письма со спамом (чтобы понимать, что мы говорим имеено о том, с чем вам пришлось столкнуться).
Received: from [43.231.59.176] (unknown [43.231.59.176])
by mail-01.global.stolline.ru (Postfix) with ESMTP id 2CEFDAD
for <oleg@stolline.ru>; Wed, 28 Sep 2016 14:08:04 +0000 (UTC)
Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?К сожжению такое письмо приходи сразу 300 пользователям и каждому настраивать фильтр сложно.
Я 100 лет не работал с Exch. У него нет возможности настроить фильтр по контенту? ???Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?К сожжению такое письмо приходи сразу 300 пользователям и каждому настраивать фильтр сложно.
У него нет возможности настроить фильтр по контенту?
Что имеем из софта.Почему там его не рубить?
CenOS 6 на нем postfx работает как шлюз.
или аутентификация ваших пользователей.Если её автор специально не отключал, то она и так есть. По эксче она по дефолту включена.
Насколько я понял, у автора антиспам на постфиксе, нет?Постфикс добавил слово SPAM в тему и отправил дальше на Exch.
можно задействовать анти-спам самого exchТоже как вариант :)
Постфикс добавил слово SPAM в тему и отправил дальше на Exch.
Постфикс добавил слово SPAM в тему и отправил дальше на Exch.Что мешает это сделать на эксче? только по слову SPAM все письма банить как-то неправильно, имхо, иногда может и ошибаться. Нужно конкретно в этом письме искать признаки, которые ему свойственны.
Надо в Exch создать правило по содержимому темы
Возможно я случайно открыл open reley, когда делал возможность отправки из 1С сообщений.Можно провериться на open relay. Гуглите "open relay check".
только по слову SPAM все письма банить как-то неправильно, имхо, иногда может и ошибаться. Нужно конкретно в этом письме искать признаки, которые ему свойственны.Надо конечно включить встроенную фильтрацию спама в Exch, но и отправлять в карантин по слову SPAM в теме тоже не помешает :)
Надо конечно включить встроенную фильтрацию спама в ExchПочему надо-то? Чтобы два антиспама было? :)
но и отправлять в карантин по слову SPAM в теме тоже не помешаетНасколько я понимаю, так отмечаются подозрительные письма, которые не набрали количества баллов, выше 10-ки (или сколько там). Так что банить их неправильно.
Чтобы два антиспама было?Можно и три :)
Почему надо-то? Чтобы два антиспама было?потому, что антиспам от спамассасина - очень мощная и гибкая штука, в отличие от. При правильной настройке от Exch ничего не потребуется, кроме контентной фильтрации и карантина.
Кстати, да.Чтобы два антиспама было?Можно и три :)
только по слову SPAM все письма банить как-то неправильнотам не только слово SPAM, там еще куча звездочек.
Есть только одно правило, разрешающие отправку из 1С через exchПокажите скриншот, где это у вас настроено?
А зачем тебе на него смотреть? Почту снаружи принимает другой сервер.Есть только одно правило, разрешающие отправку из 1С через exchПокажите скриншот, где это у вас настроено?
А смысл? Если на одном все это можно сделать?Чтобы два антиспама было?Можно и три :)
Покажите скриншот, где это у вас настроено?(http://)
Если у вас нет внешних источников, которые отсылают письма с вашым доменом, вы можете вообще запретить прием писем с вашего домена.Кстати, да :idea:
Spamassassin определяет спам или нет и отклоняет если порог спама выше чем заданЯ бы поступил осторожнее: маркировал бы эти письма при помощи SpamAssassin'а, а потом уже на Exch при помощи контентной фильтрации загонял бы это в какой-нить ящик, из которого бы время от времени удалял старые письма. Если произойдет ложно-положительное срабатывание, то всегда можно залезть в этот ящик-отстойник и выковырять из него нужное письмо.
Может есть статья как закрыть прием снаружи писем от своего домена?возможно.
Опытным путем доказано что exch оправляет письма без авторизации через telnet внутри своей сети
Но теперь и некоторые нормальные письма с yandex, mail попадают в спам ящикПотому что postfix их помечает как возможный спам, так? Может подкрутить сам postfix тогда? В нем я не силен :)
Но теперь и некоторые нормальные письма с yandex, mail попадают в спам ящикВ какой спам они попадают и на основании чего?
В какой спам они попадают и на основании чего?
Почему попадают в спам не знаю.что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?
Но теперь и некоторые нормальные письма с yandex, mail попадают в спам ящикА я предупреждал.
Почему попадают в спам не знаю.что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?
Subject: *****SPAM*****Ну так вот у него тема какая, потому и попадают :pardon: Ему видимо постфикс тему-то и пометил.
Это правило помещает письма в почтовый ящик test-01 если в теме указано ********Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.Поэтому, лучше так не делать, не трогать письма с пометкой
****SPAM****
Поэтому, лучше так не делать, не трогать письма с пометкойНе согласен. Делаю именно так, и все счастливы.
Лучше взять и разобраться с тем письмом, с которого все началось.Началось с другого письма и по другому поводу.
Если кто то хорошо разбирается, вот кусок postfix касаемо спама.отметку ***SPAM*** ставит не postfix, а SpamAssassin
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.
* -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author'sспамеры обычно так не делают (если только им не удалось прогнать почту через чужой сервер, завладев реквизитами доступа к одному из аккаунтов)
* domain
* 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
* valid
* -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
При этом на основании (этого тесты DKIM_VALID_AU и DKIM_VALID) из общей оценки вычлось только по 0,1 балла. Я бы изменил эту настройку и предписал бы вычитать как минимум несколько балов
Я увеличил порог required_hits 7.0 сделалrequired_score 8.0 сделал
required_score n.nn (default: 5)Можно оставить только required_score
Set the score required before a mail is considered spam. n.nn can be an integer or a real number. 5.0 is the default setting, and is quite aggressive; it would be suitable for a single-user setup, but if you're an ISP installing SpamAssassin, you should probably set the default to be more conservative, like 8.0 or 10.0. It is not recommended to automatically delete or discard messages marked as spam, as your users will complain, but if you choose to do so, only delete messages with an exceptionally high score such as 15.0 or higher. This option was previously known as required_hits and that name is still accepted, but is deprecated.
SpamAssassin Rule: TVD_SPACE_RATIO
Standard description: eval:tvd_vertical_words('0','10')
Explanation
According to a comment in the rules file "it's the ratio of spaces to non-spaces in each paragraph. apparently messages where generally there are lots of spaces mean the message is spam."
Extra space in HTML messages will be ignored in mail clients, but may not be ignored in pattern-matching filters. Slightly different messages may be sent to each recipient to avoid filtering.
# Bayesian Scores
score BAYES_99 10
score BAYES_95 6.0
score BAYES_80 3.0
score BAYES_60 2.5
score BAYES_50 2.2
score BAYES_40 1.0
score BAYES_20 0.3
score BAYES_05 -0.5
score BAYES_00 -3.0
1.8 Если участник форума дал Вам хороший совет, который помог Вам в решении Вашей проблемы, не стоит размещать сообщения с благодарностями типа "Спасибо! Ты супер!!!" и т.п. Выражайте свою благодарность путем поднятия рейтинга конкретного участника.
reject_unverified_senderа не приведет ли это к тому, что почта от не
reject_unverified_sender # проверка отправителя.Это не совсем то. Ведь спамеры могут пытаться отправить письма и c существующего у вас в системе адреса.
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.reject_unverified_senderа не приведет ли это к тому, что почта от неreject_unverified_sender # проверка отправителя.Это не совсем то. Ведь спамеры могут пытаться отправить письма и c существующего у вас в системе адреса.
Да, и еще, выходит, ваш postfix должен знать о всех существующих пользователях exch, чтобы выполнять такую проверку? Или он эту проверку выполняет, соединяясь с exch? ???
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.А, теперь дошло. Я неправильно понимал, как оно работает.
К сожалению да, но большинство недоспамеров все же может отсеить.Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.А, теперь дошло. Я неправильно понимал, как оно работает.
Но, опять-таки, если smtp отправителя - open relay, то проверка завершится успехом, так ведь?
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.
где прописать в postfix для приема noreply@domain.ru от моего домена?чо? ???
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.
Добрый день!
Вот новая проблема, где прописать в postfix для приема noreply@domain.ru от моего домена?
Я думаю что достаточно ввести noreply@domain.ru в белый лист. О том как создать белый лист смотрите тут [url]http://www.odmin4eg.ru/2010/postfix-belyj-list-postfix-whitelist/[/url]