спам! срочно!

[tes+or]

вобщем поднял я почту, раздал ее людям, не прошло и пары дней как стучатся жалуются - почта не ходит. смотрю - ее режет по блэклистам. спам, надо понимать.

вопрос - как боротся? я бы почитал доки конечно, но есть два фактора которые снижают осмысленность такого подхода - во первых срочно, потому что у меня или даунтайм или я попадаю во все новые блэклисты и во вторых - у меня особая конфигурация, дело в том, что я вообще не использую pop3 а imap использую только локально для squirell вебморды.

и в связи со вторым фактором у меня появилась идея надежной защиты от спама.
1.для тех кто подключился с адреса 127.0.0.1, т.е. зашел через вебморду разрешать отправлять куда угодно.
2.для тех кто зашел с любого другого адреса - разрешать отправлять почту только на локальные ящики. вероятность того, что они будут в том же спамлисте, что юзает случайный спамер, стремится к 0, кроме того - потерпев неудачу с первым десятком-другим тысяч адресов до наших он может и не добратся=)

что скажете? на первый взгляд выглядит вполне надежно. хочу спросить - что нужно чтобы реализовать это на exim? куда копать? читать то я умею, знать бы что. я просто с почтой вообще слабо знаком.

[tes+or]

или может smtp аутентификация?

[tes+or]

туплю.. если будет аутентификация, то как почта будет приходить?

но проблема в том, что:
require message = relay not permitted
domains = +local_domains : +relay_to_domains

и при попытке отправить не из локального домена в не в локальный домен оно отвечает именно relay not permitted. т.е. приконнектился я анонимусом на 25 порт и попытался на локальный для сервака адресс отправить - работает, попытался на любой другой - неработает, причем ошибку вернул мой сервак. пробую дальше - захожу на вебморду - она коннектится на тотже смтп и отправляет почту, почта уходит, но отклоняется на tut.by, gmail, adsl.by и много где еще, с разными сообщениями.

adsl.by говорит что такого юзера нет, хотя он достоверно есть.

gmail говорит что мой айпишник не авторизован, хотя раньше ходило

один лишь тутбай честно говорит:

SMTP error from remote mail server after RCPT TO:<testor530>:
host spameater.tutby.com [195.137.160.45]: 591 your host [86.57.253.81] is
blacklisted by bl.spamcop.net. No mail will be accepted

я так и не понял, как технически возможно то, что спам ушел с меня. вариант с потыренным паролем от вебморды мне кажется маловероятным. вариант с руткитом на серваке - тем более.

что я забыл?

[tes+or]

может дело в FQDN?

[Llama]

tes+or, сходи по спам-листам, посмотри что и как с тебя слали. Для рассылки спама с тебя достаточно любой дыры в скриптах. Для начала - почту надо разрешать отправлять только аутентифицированым пользователям. Т.е. в любом случае авторизация, включая релей, это несколько осложнит жизнь спамерам. Пмимо этого - исходящее мыло тоже можно проверять спаассасином.

[tes+or]

>tes+or, сходи по спам-листам, посмотри что и как с тебя слали.

ходил, там не сильно видно.

>Для рассылки спама с тебя достаточно любой дыры в скриптах.

а вот об этом я думал. любая дыра в любом сайте. вопрос - как боротся? авторизация для отправки любой почты идущей не ко мне? потому что как будут авторизоватся внешние сервера? вся почта что идет ко мне должна идти без авторизации, а вся что от меня - с авторизацией. правильно? но дыру бы всерано найти нехило, но пока не особо то получается.

а спамассасин у меня в полностью дефолтной настройке, я где-то слышал что он по дефолту тоже кое как работает. ну небыло пока времени разобратся.

[bazil]

Смотрим mail.info mail.log mail.err
rkhunter на предмет выявления рут китов и процей нежелательной.
Так же в тырнете есть пару сайтиков где можно протестить свою почтову систему на предмет open-relay и не тока.

Если вопросы останутся - в личку, может чем помогу, т.к. пытался подробно разобраться с этим вопросом.

[tes+or]

>Смотрим mail.info mail.log mail.err
нет таких, но он у меня залихватски все скидывает в /var/log/messages как я понял, что я и курю.

>rkhunter на предмет выявления рут китов и процей нежелательной.

болезненно отношусь к новым сущностям, безопасности стараюсь достигать не путем увеличения их количества и сложности, на наоборот. но тем не менее - примерно как оно работает?

>Так же в тырнете есть пару сайтиков где можно протестить свою почтову систему на предмет open-relay и не тока.

ну вот результаты работы одного из них:

Mail relay testing
Connecting to zazoid.com for anonymous test ...

<<<220>>> HELO www.abuse.net
<<<250>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<securitytest>
<<<550>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<< 501 <spamtest>: sender address must contain a domain
Relay test 3
>>> RSET
<<<250>>> MAIL FROM:<>
<<<250>>> RCPT TO:<securitytest>
<<<550>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<securitytest>
<<< 550-Verification failed for <spamtest>
<<< 550-Unknown user
<<<550>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<< 501 <spamtest>: domain literals not allowed
Relay test 6
>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<securitytest>
<<<550>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<securitytest>
<<< 501 <securitytest>: domain literals not allowed
Relay test 8
>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<"securitytest@abuse.net">
<<< 501 <"securitytest@abuse.net">: recipient address must contain a domain
Relay test 9
>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<"securitytest%abuse.net">
<<< 501 <"securitytest%abuse.net">: recipient address must contain a domain
Relay test 10
>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<securitytest>
<<< 501 <securitytest>: malformed address: @zazoid.com> may not follow <securitytest>>> RSET
<<<250>>> MAIL FROM:<spamtest>
<<<250>>> RCPT TO:<"securitytest@abuse.net"@zazoid.com>
<<<550>>> RSET
<<< 554 Too many nonmail commands
Relay test result
Could not reset connection, test failed.

т.е. он не дотестил, как я понял, но те тесты что он успел провести были совершенно успешны. всмысле для меня, а не для спамера=)

а следующая тестилка даже коннект открыть не смогла, похоже мой релэй обиделся что его открытым считают и не будет не с кем разговаривать некоторое время, что вполне оправданно.

и вот еще, такое было периодически в логах, не совсем понятно что это? долго там такое вот крутилось, а сегодня утром зашел - рассосалось.

Jan 2 03:27:21 main exim[13664]: 2008-01-02 03:27:21 Start queue run: pid=13664
Jan 2 03:27:21 main exim[13665]: 2008-01-02 03:27:21 1J9GVQ-0003Iz-IS Message is frozen
Jan 2 03:27:21 main exim[13666]: 2008-01-02 03:27:21 1J9HRU-0003Oh-0Y Message is frozen
Jan 2 03:27:21 main exim[13667]: 2008-01-02 03:27:21 1J9DhE-0002tB-0p Message is frozen
Jan 2 03:27:21 main exim[13668]: 2008-01-02 03:27:21 1J9FZM-0003DD-1h Message is frozen
Jan 2 03:27:21 main exim[13669]: 2008-01-02 03:27:21 1J9Bp6-0002aq-MQ Message is frozen
Jan 2 03:27:21 main exim[13670]: 2008-01-02 03:27:21 1J9ClB-0002nU-FG Message is frozen
Jan 2 03:27:21 main exim[13671]: 2008-01-02 03:27:21 1J9At2-0002Ss-Io Message is frozen
Jan 2 03:27:21 main exim[13672]: 2008-01-02 03:27:21 1J9JJb-0003lS-2g Message is frozen
Jan 2 03:27:21 main exim[13673]: 2008-01-02 03:27:21 1J99wz-0002NJ-Oy Message is frozen
Jan 2 03:27:21 main exim[13674]: 2008-01-02 03:27:21 1J9EdJ-000371-9G Message is frozen
Jan 2 03:27:21 main exim[13675]: 2008-01-02 03:27:21 1J9INZ-0003YT-7F Message is frozen
Jan 2 03:27:21 main exim[13664]: 2008-01-02 03:27:21 End queue run: pid=13664

[bazil]

Это замороженные письма в очереди

exim -bpc
exim -bp

Смотрим откуда берутся письма в очереди и кто их отправляет.


rkhunter запускается по крону и анализизует систему на предмет уязвимостей в конфигах, открытых портов, запущенных прощессов, следит деже за изменениями критических бинарников и еще много чего умеет. Во всяком случае 1 раз прогнать его не помешает - это точно.

[Llama]

но дыру бы всерано найти нехило, но пока не особо то получается.

Тут два варианта:
1) ЕМНИП exim можно кажется заставить писать в лог uid пользователя который шлет почту. В крайнем случае - простой скріптовый враппер поможет.
2) Смотреть какой uid шлет спам и далее разбираться детально с ним.

[tes+or]

>Тут два варианта:
1) ЕМНИП exim можно кажется заставить писать в лог uid пользователя который шлет почту. В крайнем случае - простой скріптовый враппер поможет.
2) Смотреть какой uid шлет спам и далее разбираться детально с ним.

а вот в том то и дело, что у меня все от одного юзера - apache:apache. mod_suphp джентушники блин так и не починили. самому может его починить.. да черт его знает как это делается.

а в очереди щас пусто, курю лог яростно и без остановки, там все девственно чисто и спокойно. кстати очень прикольно о приходе какой-то новой почты узнавать первее из лога чем еще откуда нибудь.

rkhunter и правда наверное стоит поставить, но я подозреваю что это тупо коллекция скриптов. лучше бы какойнибудь дельный мануал по их ручному посику - эффективнее и интереснее.

[tes+or]

черт знает, все чисто, ничего не происходит. благополучно удалил свой сервак из блэклистов, вот:
http://www.senderbase.org/senderbase_qu ... show_rbl=1

теперь думаю, надо наверное FQDN и обратные ДНС зоны замутить.

кстати, может ктонибудь дать четкое определение, что есть первое, я уж даже не спрашиваю зачем оно надо.

просто отсутствие этих вещей как я понял повышает вероятность попадения в блэклисты и понижает вероятность из них выпадения.

[tes+or]

опять! в чем фишка? КАК?

просмотрел логи - вся почта что уходила с моего SMTP, вся она точно не является спамом. т.е. это даже не может быть дыра в скрипте. вопрос - как это возможно в принципе?

неужели это напрямую свидетельствует о наличии руткита? причем хитрого, потому что тупо rkhunter ничего не нашел.

может быть сквид обладает какими-то функциями которые позволяют ему такое творить?

[leave]

теперь думаю, надо наверное FQDN и обратные ДНС зоны замутить.

кстати, может ктонибудь дать четкое определение, что есть первое, я уж даже не спрашиваю зачем оно надо.

просто отсутствие этих вещей как я понял повышает вероятность попадения в блэклисты и понижает вероятность из них выпадения.

ой, тестор, и как ты на хостингах работал-то?
FQDN = Fully Qualified Domain Name. без него твою почту у тебя ни один нормальный почтовик не примет. В хедерах исходящих писем посмотри что написано.
Реверс ДНС - по большому счету, нафиг не упало. На его наличие смотрят только яху и мсн/хотмейл. Остальным почти всем пофигу. Но если ДЦ дает реверс - делай.

По твоей ситуации могу посоветовать следующее:
1. SMTP авторизация - обязательно
2. Закрыть белку HTTP-авторизацией - по возможности
3. mod_security - очень желательно (если лоады низкие)
4. access_log апача читать до полного просветления "кто, куда, откуда, когда, что слал" - в первую очередь.

И не придумывай сам себе лишнего геморроя.

[tes+or]

>ой, тестор, и как ты на хостингах работал-то?
так и работал, сам видел=)

>В хедерах исходящих писем посмотри что написано.
много чего. на что обращать внимание?

>Но если ДЦ дает реверс - делай.
сделаю потом, когда в новый диапазон перейдем

>1. SMTP авторизация - обязательно
а как другие серваки будут авторизоватся?

>2. Закрыть белку HTTP-авторизацией - по возможности
закрыто

>3. mod_security - очень желательно (если лоады низкие)
низкие, в чем суть мода?

>4. access_log апача читать до полного просветления "кто, куда, откуда, когда, что слал" - в первую очередь.

все логи читал, не помогло