Регистрация...

Eserv Forum / E4 / Mail / Опять о спаме

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Обнаружил у себя на сервере неприятную вещь: в папке (D:\E4\DATA\mail\arc4\201008\2010-08-06\) много папок подозрительного названия (типа ftcl.com, hobzgf.com, vqnlr.com и т.д.). В них лежат файлы *.eml с заголовками примерно такого содержания:

From: wolzkd@owwyojw.com
To: lwj85019@yahoo.com.tw
Sent: Tuesday, January 19, 2038 1:14 PM
Subject: Siu381GdVfPIGLr2nISB0FiRpX2s4mrFJ8cBw0HGBP3lwIg8trPTnzPAf0glUVGWnUxi1agQD+RslQ9jnvdInw
Как с этим бороться?

Вторая проблема: в папке D:\E4\DATA\mail\out\ и D:\E4\DATA\mail\out\127.0.0.1\25\ также обнаружено куча файлов *.eml в которых прописано, что с моего ящика postmaster@mydomen.ru идет попытка отправки уведомлений о недоставке совершенно "левых" (скорее всего это не доставленный спам) писем на спам-ящики. Соответственно эти письма сервер доставить не может и начинает эти файлы-ответы "складировать" (до 75 тысяч файлов за день). Как решить эту проблему?
 
Комментарии к этой версии (17.08.2010 06:47) [~Dysha] cfbb0647
АвторДатаТекстtags
matveeva17.08.2010 09:44
Dysha пишет: много папок подозрительного названия
"В этих папках лежат письма от отправителей из этих доменов (ftcl.com, hobzgf.com, vqnlr.com и т.д.). Они по какой-то причине не прошли через антиспамный фильтр. Те, которые прошли, лежат в аналог. папках, но только внутри соответствующих папок-"фильтров": [clear],[unclassified] и пр.
wikipost
Dysha17.08.2010 10:21
matveeva пишет: Они по какой-то причине не прошли через антиспамный фильтр.

Они то как раз, как я понимаю, прошли через фильтр. Ну с этим понятно, надо фильтры обучать.
А как быть со второй проблемой?
wikipost
Dysha17.08.2010 10:21
matveeva пишет: Они по какой-то причине не прошли через антиспамный фильтр.

Они то как раз, как я понимаю, прошли через фильтр. Ну с этим понятно, надо фильтры обучать.
А как быть со второй проблемой?
wikipost
matveeva17.08.2010 10:37
ред: 17.08.2010 10:38
Dysha пишет: Они то как раз, как я понимаю, прошли через фильтр.
Не, у меня такие письма фильтром не обрабатывались вовсе. Не знаю, почему. Он на них не доработал до конца. А те, которые "прошли сквозь" все равно попадают куда-нибудь типа [spam] или [clear], или [unclassified]. Про вторую проблему — не знаю. А что стоит в настройках домена для НСП? У меня — "не принимать". И еще в настройках проекта: "Отправка сообщений" у меня стоит "только авторизованные"
wikipost
pig17.08.2010 10:49
Где-то у вас в настройках получилось разрешение на транзит чужой почты — от не своего отправителя не своему получателю. Вот спамеры этим и воспользовались.
wikipost
ac17.08.2010 14:24
Dysha пишет: Они то как раз, как я понимаю, прошли через фильтр.

Елена имела в виду, что эти письма не тестировались антиспамом, поэтому у них не установлен класс, и поэтому они попадают в каталоги по доменам отправителей.

Либо они от локальных пользователей (например, спамбот засел на зараженном компьютере в ЛС), либо от внешних авторизованных (например, спамер подобрал пароль — самая частая последнее время причина!), либо размер у письма больше чем 300Кб (AntispamPopFile[MaxMessageSize]), либо отправитель у вас в белых списках.

Точно можно сказать только по логу сессии — возьмите одно из таких писем и поищите по Message-ID или имени файла в DATA\log\smtp\2010-08-*-log.txt, как оно принималось.
wikipost
ac17.08.2010 14:32
matveeva пишет: Не, у меня такие письма фильтром не обрабатывались вовсе. Не знаю, почему.

Вспомнил, вы где-то этот вопрос уже задавали. Значит я не ответил, или невразумительно ответил, раз "не знаю почему" Надо разобраться. Если помните ту тему на форуме или в почте, то поднимите её, пожалуйста. Если нет, то можно текущий образец логов прямо здесь привести. Это независимо от наличия сработавших на письме SMTP-фильтров получается, или всегда после каких-то фильтров?
wikipost
matveeva17.08.2010 14:53
ред: 17.08.2010 14:55
ac пишет: либо размер у письма больше чем 300Кб (AntispamPopFile[MaxMessageSize])
О! Так вот почему у меня PopFile не до конца отрабатывал, и письма не попадали в соотв. ящики по фильтрам. Теперь понятно. А какой "Байес-результат" у таких писем? Чтобы в фильтр добавить.
ac пишет: Вспомнил, вы где-то этот вопрос уже задавали.
Ой! Не дочитала до конца. Уже ответила. А тема чуть ниже была http://forum.eserv.ru/E4/Mail/Иногда не "дорабатывает" PopFile
wikipost
ac17.08.2010 15:13
matveeva пишет: А какой "Байес-результат" у таких писем? Чтобы в фильтр добавить.

Пустая строка. Соответственно не сравнить в поле "Байес-результат". Можно в правиле — MESSAGE-CLASS NIP 0=.

matveeva пишет: А тема чуть ниже была

Так там тоже дело в размерах писем, или это отдельный вопрос?
wikipost
matveeva17.08.2010 15:23
ac пишет: Так там тоже дело в размерах писем, или это отдельный вопрос?
Я думаю, что в размерах. Я просто тогда не знала, что есть такой параметр. Просто никаких ошибок и инф. сообщений не выдается в этом случае, и я решила, что это странно. Теперь понятно, что это могло быть. Посмотрю внимательней.
ac пишет: Можно в правиле — MESSAGE-CLASS NIP 0=.
А в одном фильтре нельзя использовать и байес, и правило через OR? Или лучше отдельный фильтр сделать?
wikipost
ac17.08.2010 17:00
Все поля фильтра объединяются по AND, если не пустые. Если надо по OR в одном фильтре, то только поле "Правило" и выручит, там можно записать "условие1 условие2 OR".
wikipost
matveeva18.08.2010 09:52
ред: 18.08.2010 09:53
ac пишет: Все поля фильтра объединяются по AND, если не пустые.
Ясно, спасибо.
А для создания нового фильтра с правилом "MESSAGE-CLASS NIP 0=", чтобы отлавливать необработанные PopFile-ом письма, какую стадию протокола правильнее выбирать? "dataend"?
wikipost
ac18.08.2010 14:08
Фильтры "Письмо принято" (dataend) выполняются до байеса и до решения о том, будет ли байес-проверка. В dataend удобно помещать например белые списки для исключения антиспам-проверок. MESSAGE-CLASS на этом этапе еще пуст, т.е. "MESSAGE-CLASS NIP 0=" будет всегда давать TRUE. В dataend можно разве что размер письма проверить (MESSAGE-SIZE 300000 <), чтобы поймать то же (будущее) исключение из спам-проверок.

Либо уже на стадии "Доставка" (delivery). Там пустой MESSAGE-CLASS будет означать, что классификация байесом не выполнялась.
wikipost
matveeva18.08.2010 14:42
Спасибо, все очень понятно! Подправила.
wikipost
Работает на Eserv/5.05555 (05.06.2016)