>много чего. на что обращать внимание?
адрес отсылающего узла - айпишник или домен.
>а как другие серваки будут авторизоватся?
никак. оно им не надо. авторизация действует только в рамках "отослать почту с тебя". или ты релеишь ее для всех подряд?
>низкие, в чем суть мода?
в том, что можно резать HTTP-запросы по содержанию.
http://www.opennet.ru/base/sec/mod_security2.txt.html
http://www.modsecurity.org/projects/mod ... index.html
>все логи читал, не помогло
не нашел отсылки спама? у нас когда-то слали через дырявый phpbb. если точно ничего такого нет - значит не через веб. тогда SMTP-auth.
спам! срочно!
tes+or, я не понял - в чем проблема?
Запрещаешь отправку почты со своего хоста без авторизации и наслаждаешься эффектом
По крайней мере, в логах MTA будет видно - просто и понятно - кто шлет спам.
В любом случае стоит посмотреть логи MTA - иногда спам шлется средствами сломаного ПО и может содержать характерные признаки - заголовки либо проставленное поле From:
Запрещаешь отправку почты со своего хоста без авторизации и наслаждаешься эффектом
По крайней мере, в логах MTA будет видно - просто и понятно - кто шлет спам.В любом случае стоит посмотреть логи MTA - иногда спам шлется средствами сломаного ПО и может содержать характерные признаки - заголовки либо проставленное поле From:
Опыт растет прямо пропорционально выведенному из строя оборудованию
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
повторяю еще раз, оно вообще не принимает почту снаружи для пересылки НЕ внутрь, с автоиизацией или без, почта работает ТОЛЬКО через белку именно из этих соображений.
в логах есть попытки отправки спама какбудто это открытый релэй, и успехом они не увенчались, естественно.
логи апача я курил, но особенно тщательно я курил логи самого эксима, там нет НИЧЕГО лишнего, я могу рассказать от кого и куда шло каждое сообщение. даже если почта бы ходила через дырявый вебскрипт, она всервно бы отобразилась в логах.
в логах есть попытки отправки спама какбудто это открытый релэй, и успехом они не увенчались, естественно.
логи апача я курил, но особенно тщательно я курил логи самого эксима, там нет НИЧЕГО лишнего, я могу рассказать от кого и куда шло каждое сообщение. даже если почта бы ходила через дырявый вебскрипт, она всервно бы отобразилась в логах.
-
leave
- Неотъемлемая часть форума
- Сообщения: 1055
- Зарегистрирован: 25 окт 2006, 14:50
- Откуда: minsk
- Контактная информация:
http://spamlinks.net/prevent-secure-relay-test.htm
проверься на всякий случай.
и покажи пример письма, из-за которого ты попадаешь в блеклисты.
и найди его же у себя.
find /var/spool/mail |xargs grep "уникальный_образец"
проверься на всякий случай.
и покажи пример письма, из-за которого ты попадаешь в блеклисты.
и найди его же у себя.
find /var/spool/mail |xargs grep "уникальный_образец"
tes+or, скрипты будут заходить на локалхост, авторизоваться и слать. В PHP нужная функция это позволяет, да и во всех нормальных движках ЕМНИП это есть.
Алгоритм прост:
1) Закрываешь доступ во внешний мир на 25 порт для всех юзеров кроме того под которым крутится MTA
2) На этом и все, только те кто шлет почту через SMTP с авторизацией могут что-то отправить, соответсвенно любой спам будет замечен в логах.
Ты по-моему упускаешь ключевой момент: чтобы слать спам не обязательно использовть твой MTA - можно слать PHP или CGI-скриптом, и ты _никак_ это не отследишь ни в логах MTA, ни в логах веб-сервера. Это ловится либо аудитом всех скриптов, либо сниффером в режиме реального времени - либо как я описал выше.
Все остальное - полумеры и паллиативный онанизм.
Алгоритм прост:
1) Закрываешь доступ во внешний мир на 25 порт для всех юзеров кроме того под которым крутится MTA
2) На этом и все, только те кто шлет почту через SMTP с авторизацией могут что-то отправить, соответсвенно любой спам будет замечен в логах.
Ты по-моему упускаешь ключевой момент: чтобы слать спам не обязательно использовть твой MTA - можно слать PHP или CGI-скриптом, и ты _никак_ это не отследишь ни в логах MTA, ни в логах веб-сервера. Это ловится либо аудитом всех скриптов, либо сниффером в режиме реального времени - либо как я описал выше.
Все остальное - полумеры и паллиативный онанизм.
Опыт растет прямо пропорционально выведенному из строя оборудованию
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
leave,
1.я проверялся, у меня все чисто.
2.сам бы рад видеть это письмо
3./var/spool/mail - там вообще пусто
Llama,
>tes+or, скрипты будут заходить на локалхост, авторизоваться и слать. В PHP нужная функция это позволяет, да и во всех нормальных движках ЕМНИП это есть.
для меня секрет как скрипт может отправлять почту кроме как через системный шелл. точнее я знаю как это в теории может выглядеть, но кажется обычно это реализуется именно через шелл, потому что никаких настроек по этому поводу я в своих форумах не видел. а я использую из стороннего вебсофта который шлет мыло тока phorum.
но всеравно, если я заблокирую коннектится изнутри наружу на 25ый порт для всех, кроме тех кто имеет guid и gid exim, то этого плохого человека я таки заблокирую, но очень хотелось бы выпалить, где он нашел дыру и что и куда шлет, в связи с чем я наверное буду ща tcpdumpить а потом разбирать вайршарком, чтобы хотябы зарегистрирровать факт.
кстати анализ http логов может помочь, потому что это скорее всего делается именно через http, через дыру в скриптах.
1.я проверялся, у меня все чисто.
2.сам бы рад видеть это письмо
3./var/spool/mail - там вообще пусто
Llama,
>tes+or, скрипты будут заходить на локалхост, авторизоваться и слать. В PHP нужная функция это позволяет, да и во всех нормальных движках ЕМНИП это есть.
для меня секрет как скрипт может отправлять почту кроме как через системный шелл. точнее я знаю как это в теории может выглядеть, но кажется обычно это реализуется именно через шелл, потому что никаких настроек по этому поводу я в своих форумах не видел. а я использую из стороннего вебсофта который шлет мыло тока phorum.
но всеравно, если я заблокирую коннектится изнутри наружу на 25ый порт для всех, кроме тех кто имеет guid и gid exim, то этого плохого человека я таки заблокирую, но очень хотелось бы выпалить, где он нашел дыру и что и куда шлет, в связи с чем я наверное буду ща tcpdumpить а потом разбирать вайршарком, чтобы хотябы зарегистрирровать факт.
кстати анализ http логов может помочь, потому что это скорее всего делается именно через http, через дыру в скриптах.
Вот тут а каментах почитай как слать с авторизацией.
http://www.php.net/manual/en/ref.mail.php
Если у тебя есть время на сниффер - это конечно хорошо и занимательно...
http://www.php.net/manual/en/ref.mail.php
Если у тебя есть время на сниффер - это конечно хорошо и занимательно...
Опыт растет прямо пропорционально выведенному из строя оборудованию
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
да у меня даже была автоизация, это не проблема, проблема в том, как остальные приложения авторизоватся будут, котоыре не умеют всего этого?
вобщем с тцпдампом я пока не буду ковырятся, я правила для айпитаблиц написал и буду их переписывать сужая круг поиска. пока вот спам жду.. не идет.
я кстати снова прикрутил mpm_peruser, так что получится с точностью до вхоста выпалить откуда именно спам валит, мне принципиально узнать кто мне так удружил.
вобщем с тцпдампом я пока не буду ковырятся, я правила для айпитаблиц написал и буду их переписывать сужая круг поиска. пока вот спам жду.. не идет.
я кстати снова прикрутил mpm_peruser, так что получится с точностью до вхоста выпалить откуда именно спам валит, мне принципиально узнать кто мне так удружил.
tes+or, проблема "как слать с авторизацией" - это совершгенно не твоя проблема. Максимум что ты должен - предоставить пользователю информауцию заблаговременно - пример кода, инофрмацию для авторизации и сведения о том, когда перестанет работать текущая схема.
Опыт растет прямо пропорционально выведенному из строя оборудованию
