AbcLinuxu:/ Poradna / Linuxová poradna / Spam, SpamCop.net, Postfix

Štítky: AMaViS, antiviry, databáze, e-mail, firewally, ICQ, Instant messaging, Internet, iptables, Jabber, LAN, MTA, Postfix, proxy, sítě, SMTP, SpamAssassin, SSH, web, Windows

Dotaz: Spam, SpamCop.net, Postfix

12.4.2006 10:05 svaca | skóre: 38
Spam, SpamCop.net, Postfix

Přečteno: 893×

Odpovědět | Admin

Ahoj ...

Mam problem v jedne nemocnici se SPAMem,neustale nas blokuje SpamCop.net - ze pry posilame spam .... Coz je uplny nesmysl:

Query bl.spamcop.net - 85.193.29.35 (Help) (Trace IP) (Senderbase lookup) 85.193.29.35 listed in bl.spamcop.net (127.0.0.2)

If there are no reports of ongoing objectionable email from this system it will be delisted automatically in approximately 2 hours.

Causes of listing System has sent mail to SpamCop spam traps in the past week (spam traps are secret, no reports or evidence are provided by SpamCop) Additional potential problems (these factors do not directly result in spamcop listing)

System administrator has already delisted this system once Because of the above problems, express-delisting is not available

Kdyz si pak na spamcop.net dam TraceIP, tak dostanu toto:

Parsing input: 85.193.29.35 host 85.193.29.35 = mail.pnsp.cz (cached)

Reporting addresses: postmaster@mail.pnsp.cz postmaster@pnsp.cz

Mam system postfix + Amavis + SpamAssassin (bez razoru), do nemocnice chodi dost spamu (cca 40 zprav denne,je tam cca 30-40 email uctu),spam blokuji a posilam na administrator@pnsp.cz, ve SpamAssassin mam nastaveno aby NEVERIL lokalnimu zivateli, ze neposilaji Sapam a tak je kontroluje taky ....

v logu postfixu (var/log/maillog) nemam zadne info o tom, ze by postmaster@pnsp posilal nejaky spam nekam !!!

Nechapu nic ...

Jeste je dulezite rici,ze drive to bezelo na jine siti a nebyl problem cca pred 4 mesici, pak se nase firma rozpulila a druha nase polovicka na nas asi vysypavala Spamovy kos, nebot z te byvale site chodilo tuny spamu, takze jsem hned nasadil Spamassassin a ted porad zte site chodi tuny spamu, ale je tedy blokovany, nemuzu si ale dovolit celou domenu blokovat odkud chodi, je jina moznost ??

Jsem z toho zmateny a vubec nevim jak to resit, problem je, ze treba na neco@atlas proste postu neposlu ...

Take nechapu toto:

Mar 26 13:02:27 router postfix/smtpd[19825]: connect from rt2.njabl.org[69.28.95.4]

Mar 26 13:02:27 router postfix/smtpd[19823]: connect from rt2.njabl.org[69.28.95.4]

Mar 26 13:02:27 router postfix/smtpd[19825]: lost connection after CONNECT from rt2.njabl.org[69.28.95.4]

Mar 26 13:02:27 router postfix/smtpd[19825]: disconnect from rt2.njabl.org[69.28.95.4]

Mar 26 13:02:32 router postfix/smtpd[19823]: NOQUEUE: reject: RCPT from rt2.njabl.org[69.28.95.4]: 554 (relaytest@rr.njabl.org): Relay access denied; from=(fom=(relaytestsend@[85.193.29.35]) to=(relaytest@rr.njabl.org) proto=ESMTP helo=(rt2.njabl.org)

Mar 26 13:02:32 router postfix/smtpd[19823]: warning: Illegal address syntax from rt2.njabl.org[69.28.95.4] in MAIL command: relaytestsend@

Never give up ! Stay ATARI !

Nástroje: Začni sledovat (1) ?

Odpovědi

12.4.2006 10:23 spectrum | skóre: 29 | blog: spectrumblog
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

Na serveru, který vás blokuje zažádejte o zrušení. Měli by vás nově prověřit a pak vás odstraní ze seznamu. Spamassassin kontroluje odchozi poštu, takže přes vás spam neprojde. Největší debilita je používat cizí databáze spamovacích serverů... (což řada serverů dělá). Achjo

12.4.2006 10:34 svaca | skóre: 38
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

No jo, ale to uz jsem zadal jednou, a ted jsem zase blokovany ... :-(

(( Takze ted projizdim log a zkousim najit neco, alezatim jsem treba nenasel, ze by nekdy nekdo z lokalu posilal spam ... jinak jsem koukal do Spamassassin configu a tam mam toto:

# Set which networks or hosts are considered 'trusted' by your mail
# server (i.e. not spammers)
#
# trusted_networks 192.168.2.

a toto:

# Set the threshold at which a message is considered spam (default: 5.0)
#
# required_score 5.0

Never give up ! Stay ATARI !

12.4.2006 13:24 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

chodi skutecne vsechna odchozi posta pres mailserver, nebo muzou pocitace v LAN odesilat na jakekoliv SMTP v internetu?

ten vypis na konci vypada jako test na open relay.

12.4.2006 13:36 svaca | skóre: 38
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

NO, dostal jsem se dal.... :-)

))

1. vypada to na test open relay, ale postfix ho nema ... :-) nicmene, da se tonejak vic zabezpecit, aby vubec k takovemu spojeni nedoslo ?? Asi ne,co ?
2. Ve firewall jsem mel vse (forward) odchozi povoleno ... :-) takze jsem vse zakazal a nechal jen zakladni sluzby a zakazal port 25.
A ejhle ! asi tam byl zakopany pes:

forward drop: IN=eth1 OUT=eth0 SRC=192.168.2.63 DST=69.26.175.104 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62247 DF PROTO=TCP SPT=1834 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0
forward drop: IN=eth1 OUT=eth0 SRC=192.168.2.63 DST=83.145.110.22 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62503 DF PROTO=TCP SPT=1839 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0
forward drop: IN=eth1 OUT=eth0 SRC=192.168.2.63 DST=207.101.207.205 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62759 DF PROTO=TCP SPT=1838 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0
forward drop: IN=eth1 OUT=eth0 SRC=192.168.2.63 DST=80.79.209.166 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=63015 DF PROTO=TCP SPT=1837 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0

takze 100 pro ty vyrizene - za spywarovane PC neco posilaly primo. Bohuzel je to spousta kompu a nemuzou se vsechny uhlidat a vycistit naraz a tenrouter jsem tam dal pozdeji, nez ty stanice, drive se to totiz poradne neresilo.

Never give up ! Stay ATARI !

12.4.2006 15:54 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

1. nekdo testoval z venci zda server neni open relay - vysledek je OK. pokud server neslouzi pro prijem posty z internetu, ale jen pro odesilani z LAN, je mozno pristup k nemu z venci omezit firewallem.

2. ve forward je dobre povolit jen vybrane sluzby, napr. ssh, jabber, pop3, pristup do databaze nebo pro specialni aplikace, pripadne s omezenim jen na vybrane stroje uvnitr i venku. web povolit jen pres proxy. vse ostatni zariznout, at od klientu neleze smeti do internetu, jako v tomto pripade.

12.4.2006 18:16 svaca | skóre: 38
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

1. jj - bohuzel je to verejna posta, musi to zustat takhle.

2. jj - prave jsem to nastavil a povolil, presne co pises + ICQ (oni totiz veskutecnosti potrebuji jen surfovat a prijimat postu. Proste jsem jim veril, ale uhlidat ty lidi + f*****g windows se takhle neda. Diky za rady. Snad to da pokoj. Diky moc.

Never give up ! Stay ATARI !

12.4.2006 22:29 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: PITOMY SPAM a zoufalost s postfixem ....

Ja resil podobny problem. Mel jsem v LAN PC s WIN, na kterem byl vir. Ten posilal pres vlastni smtp server spam. V mem logu maillog se tudiz neobjevil zadny zaznam o odeslanem spamu.

Takze na svem serveru jsem mrsknul do IPTABLES forwarding portu 25 z LAN na IP meho serveru a hned bylo jasne, ktera IP to dela. Musim podotknout, ze toto jsem uspesne vyresil pomoci tohoto diskusniho fora. Dik tedy vsem a reseni sirim dal :-)

Taky si udělám nějakou studii.

Založit nové vlákno • Nahoru

Tiskni Sdílej: