Регистрация...

Eserv Forum / E3 / Eserv 3 Mail Server Support / значение HELO(ehlo) и IP отправителя

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Стали доставать спамеры.
Общий признак: значение HELO=sosulki.ru, но не MX-запись, не запись A не соответствуют IP-адресу, с которого идет данное письмо.
Хотя в конфиге SMTP указано VerifyDomainsInDns=1, DNSServer (тамже) указывает на реальный DNS. Проверки проводил через этот DNS.
 
Комментарии к этой версии (08.09.2010 08:02) [~di_line] d05e8f38
АвторДатаТекстtags
pig08.09.2010 13:43
Проверяются домены в адресах (MAIL FROM и RCPT TO). В HELO/EHLO разнобоев сильно много, локальные почтовые клиенты лепят что хотят, поэтому там проверка только в лог пишется для сведения.
В PigMail эти сосульки можно локальными политиками эффективно давить. Многоступенчато: сначала проверка соответствия IP, потом проверка по чёрному списку HELO, потом собственно политики, а потом ещё чёрный и белый списки MAIL FROM.
wikipost
di_line08.09.2010 15:06
Тогда я чего-то недопонимаю или понимаю с точностью до наоборот.
Делаю резольвинг домена руками:
Resource name is : sosulki.ru
Type is : MX Class is : IN
MX Priority : 10 MX Server : mx1.masterhost.ru
Additional Response List
Resource name is : mx1.masterhost.ru
Type is : A Class is : IN
IP Address is : 217.16.16.81

Resource name is : sosulki.ru
Type is : A Class is : IN
IP Address is : 87.242.112.37


А письмо пришло с третьего IP:95.58.*.*

То есть я чего-то недопонимаю?
Или проверяется в DNS ТОЛЬКО сам факт наличия записей MX или A для домена данного домена?

Этих левых "сосоулек" разных что-то становится многовато...
wikipost
pig08.09.2010 18:51
ред: 08.09.2010 18:54
MAIL FROM тоже сосулечный?
По DNS проверяется валидность домена отправителя — что он есть, что у него есть либо A, либо MX. Соответствие не проверяется, потому что письмо вполне может прийти с "не того" IP — если ваш сервер был некоторое время недоступен, а у вас объявлен запасной тразитный MX; если сайт сосулек хостится в одном месте (Мастерхост), а почтовый сервер для отправки исходящих у них в другом (конечно, трудно представить, что казахская компашка зарегистрировала домен в России и разместила сайт на Мастерхосте, но бывает и экзотичнее). MX — он же только для входящей (туда) почты. А исходящая от них проверяется по политикам — SPF, если они для домена определены. Мелкие владельцы обычно не определяют, к сожалению. Поэтому я придумал локальные.
wikipost
di_line09.09.2010 17:28
Хидер письма:

Received: from [95.58.102.250] (helo=sosulki.ru)
by .RU (acSMTP/3.0.4493) with SMTP id 127904 (...skip...)
20:13:04 +0100
Received-SPF: none
Message-ID: <095301c7879c$d97bb9f0$1e01a8c0@sosulki.ru>
Reply-To: =?koi8-r?B?5NfP0s7JyyDhLu0u?= <iohs@sosulki.ru>
From: =?koi8-r?B?5NfP0s7JyyDhLu0u?= <iohs@sosulki.ru>
wikipost
pig09.09.2010 18:41
Стандартный конфиг не пишет MAIL FROM в заголовок. Если вы с этой целью его привели.
wikipost
di_line14.09.2010 03:03
Приведен "заголовок" письма, а не фрагмент лога.
Как все же побороть такие спамные письма?
wikipost
pig14.09.2010 06:07
Всё зависит от того, как вы их желаете бороть. Если хотите не принимать вообще — берите на вооружение политики и чёрные списки. Иначе — обучайте антиспамы.

На моей прежней работе вообще решили принимать письма строго по белому списку (с подтверждением отправителя политиками). Все прочие идут в сад, точнее, на специальный ящик, заведённый на ГМыле.

di_line пишет: Приведен "заголовок" письма

Это я понял. "Тройка" не пишет туда протокольный MAIL FROM. Поэтому нет ясности, что заносить в чёрный список. Надо протокольный лог смотреть.

di_line пишет: Received-SPF: none

Увы, политики (глобальные) здесь не работают.
wikipost
Работает на Eserv/5.05555 (05.06.2016)