Автор Тема: spam  (Прочитано 2696 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« : 28 Сентября 2016, 16:19:09 »
Добрый день!
Не особо разбираюсь в почтовых системах, прошу помощи. Не знаю какие данные представлять, что по мере необходимости буду выкладывать.
Проблема, приходит спам из своего же домена:  user@domain.ru  пользователь user не существует.

Что имеем из софта.
CenOS 6 на нем postfx работает как шлюз.

MS exchagnge  2013 SP1  на windows 2012 R2

Какие нужны логи выложу, если еще подскажете откуда их брать, будет вообще отлично.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7663
  • Рейтинг: 77
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
spam
« Ответ #1 : 28 Сентября 2016, 16:21:06 »
Проблема, приходит спам из своего же домена:  user@domain.ru  пользователь user не существует.
Для начала, посмотрите исходник письма, откуда оно идет.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #2 : 28 Сентября 2016, 16:25:34 »
откуда оно идет

поясню: посмотри в заголовке письма IP|имя хоста-отправителя


Updated: 28 September 2016, 16:26:07

http://www.antispam.ru/4user/reading-email-headers-translation.shtml

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #3 : 28 Сентября 2016, 17:20:22 »
Каждый раз разные.
Received: from pc4e156.ztv.ne.jp (unknown [61.125.155.156])
Received: from [111.92.73.71] (unknown [111.92.73.71])

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #4 : 28 Сентября 2016, 17:34:55 »
Каждый раз разные.
Received: from pc4e156.ztv.ne.jp (unknown [61.125.155.156])
Received: from [111.92.73.71] (unknown [111.92.73.71])
Т.е почта приходит из внешнего мира. При этом внешний получатель отправляет письмо от произвольного (даже несуществующего) внутреннего пользователя. Значит нужно запретить слать письма от несуществующих внутренних пользователей и/или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаю

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7663
  • Рейтинг: 77
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
spam
« Ответ #5 : 28 Сентября 2016, 17:39:39 »
или ввести обязательную аутентификацию на почтовом сервере для внутренних пользователей. Можно ли это сделать на Exch - не знаю
Ну вроде по дефолту оно и так есть, если автор не менял.

Только как это поможет, не понял. Изнутри же и так не идет спам, он идет снаружи, только в качестве отправителя указывается придуманный юзер из домена автора. Это уже с антиспамом работать надо, имхо.


Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #6 : 28 Сентября 2016, 17:45:16 »
Только как это поможет, не понял
назвался внутренним пользователем - будь любезен предъявить пароль этого пользователя.

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #7 : 28 Сентября 2016, 17:48:42 »
Спасибо за ответы.

Есть настроенный postfix и spamassassin.

настраивал с разных сайтов, если есть опыт настройки, могу логи выложить. 

Оффлайн kozb

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 1
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Израиль
spam
« Ответ #8 : 28 Сентября 2016, 17:55:20 »
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :

1.  Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте https://habrahabr.ru/post/253705/.
2.  Использовать подпись исходящих сообщений DKIM https://habrahabr.ru/post/106589/.
3.  Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html


Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #9 : 28 Сентября 2016, 18:16:09 »
Спасибо огромное.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #10 : 28 Сентября 2016, 18:18:51 »
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :

1.  Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте https://habrahabr.ru/post/253705/.
2.  Использовать подпись исходящих сообщений DKIM https://habrahabr.ru/post/106589/.
3.  Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html





Боюсь, это не совсем то. SPF и DKIM не поможет, если спамер отправляет почту при помощи вашего же сервера. Ваш сервер сам его любезно подпишет и отправит с прописанного в политике IP-адреса. Вам нужно именно запретить соединяться с вашим сервером внутренним пользователям без предварительной аутентификации.


Updated: 28 September 2016, 18:21:48

будет лучше, если вы покажете заголовок письма со спамом (чтобы понимать, что мы говорим имеено о том, с чем вам пришлось столкнуться).
« Последнее редактирование: 28 Сентября 2016, 18:27:00 от shs »

Оффлайн kozb

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 1
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Израиль
spam
« Ответ #11 : 28 Сентября 2016, 18:34:46 »
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.


supervisor2005 , возьмите весь header из сообщения и поместите на этот сайт http://mxtoolbox.com/EmailHeaders.aspx, он наглядно покажет откуда и куда пришло.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #12 : 28 Сентября 2016, 18:46:43 »
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.


Открытый релэй  пересылает почту от кого угодно кому угодно, я же говорю о том случае, когда атакующий извне соединяется с вашим сервером и отправляет письмо вашему пользователю от другого вашего пользователя вашим же сервером. В этом случае о релэе речь не идет.


Updated: 28 September 2016, 18:56:44

Было бы неплохо взглянуть на лог приема письма.
« Последнее редактирование: 28 Сентября 2016, 19:04:53 от shs »

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #13 : 29 Сентября 2016, 07:55:46 »
будет лучше, если вы покажете заголовок письма со спамом (чтобы понимать, что мы говорим имеено о том, с чем вам пришлось столкнуться).



Received: from EX-02.global.stolline.ru (192.168.208.19) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4 via Mailbox Transport; Wed, 28 Sep 2016 17:08:56 +0300
Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4; Wed, 28 Sep 2016 17:08:56 +0300
Received: from mail-01.global.stolline.ru (192.168.208.35) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server id
 15.0.1156.6 via Frontend Transport; Wed, 28 Sep 2016 17:08:56 +0300
Received: by mail-01.global.stolline.ru (Postfix, from userid 1000)
   id 31B8A2B07; Wed, 28 Sep 2016 17:08:05 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
   mail-01.global.stolline.ru
X-Spam-Flag: YES
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.8 required=6.0 tests=BAYES_50,
   RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_BRBL_LASTEXT,RCVD_IN_MSPIKE_BL,
   RCVD_IN_MSPIKE_L3,RCVD_IN_PBL,RCVD_IN_PSBL,RCVD_IN_XBL,RDNS_NONE autolearn=no
   autolearn_force=no version=3.4.0
X-Spam-Report: *  0.8 BAYES_50 BODY: Bayes spam probability is 40 to 60%
   *      [score: 0.5000]
   *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
   *      [Blocked - see <http://www.spamcop.net/bl.shtml?43.231.59.176>]
   *  2.7 RCVD_IN_PSBL RBL: Received via a relay in PSBL
   *      [43.231.59.176 listed in psbl.surriel.com]
   *  0.0 RCVD_IN_MSPIKE_L3 RBL: Low reputation (-3)
   *      [43.231.59.176 listed in bl.mailspike.net]
   *  3.3 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
   *      [43.231.59.176 listed in zen.spamhaus.org]
   *  0.4 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
   *  1.4 RCVD_IN_BRBL_LASTEXT RBL: No description available.
   *      [43.231.59.176 listed in bb.barracudacentral.org]
   *  0.0 RCVD_IN_MSPIKE_BL Mailspike blacklisted
   *  0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
Received: from [43.231.59.176] (unknown [43.231.59.176])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 2CEFDAD
   for <oleg@stolline.ru>; Wed, 28 Sep 2016 14:08:04 +0000 (UTC)
From: <scanner@stolline.ru>
Subject: *****SPAM***** Message from "CUKPR0985314"
To: <oleg@stolline.ru>
Date: Wed, 28 Sep 2016 19:38:03 +0530
Message-ID: <20160928193803567186257KX.DCSML-S000990000.E78BC9C8BA43A67B@stolline.ru>
MIME-Version: 1.0
Content-Type: multipart/mixed;
   boundary="_5ef182f19164b-7bfb6cae-06858ec0-1b20a-ec6879e08547630b4_"
X-Spam-Prev-Subject: Message from "CUKPR0985314"
Return-Path: scanner@stolline.ru
X-MS-Exchange-Organization-Network-Message-Id: b4152878-18de-4ad4-5456-08d3e7a8fc61
X-MS-Exchange-Organization-AuthSource: EX-01.global.stolline.ru
X-MS-Exchange-Organization-AuthAs: Anonymous


Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4225
  • Рейтинг: 84
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #14 : 29 Сентября 2016, 10:22:23 »
Цитата
Received: from [43.231.59.176] (unknown [43.231.59.176])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 2CEFDAD
   for <oleg@stolline.ru>; Wed, 28 Sep 2016 14:08:04 +0000 (UTC)

Вот ваш спамер 43.231.59.176

Кстати, SpamAssassin уже пометил это письмо, как SPAM (см. subject), т.к. оно набрало 10.8, при пороге 6.0 (X-Spam-Status: Yes, score=10.8 required=6.0)

Поччему бы вам такие письма не отфильтровывать на основании того, что subject содержит строку *****SPAM*****?