Регистрация...

Eserv Forum / E4 / Mail / Продолжение приема письма, хотя оно отсекается фильтром

wikipost // (v5)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Есть фильтр
Название ToBlackList
Стадия протокола rcptto
RCPT TO ..\ToBlack.txt
Выполнить smtpRefuse
Есть письмо, которое попадает в этот фильтр по одному из адресатов. Но его обработка продолжается, и оно принимается для другого адресата, которого в списке ToBlack.txt нет.
Вот письмо:
For: spamloop@aori.co.ru X-Classification: abs_spam X-Spam-Status: No, acFilter=abs_spam X-Spam-Cls: PF=abs_spam, SPR=10000 Received-SPF: softfail Received: from [60.196.140.70] (port=9258 helo=[60.196.140.70]) by aori.co.ru (acSMTP/4.23.4764) with ESMTP id 20568.0.380749 (envelope-from <bikinisetem3@list.ru>) for <matveeva@aori.co.ru>; Fri, 25 Jun 2010 10:00:32 +0400 Received: (from bikinisetem3@localhost) by list.ru (8.13.8/8.13.8/Submit) id s437deou993532; Fri, 25 Jun 2010 14:55:47 +0900 Message-ID: <20100625145547.s437deou993532@www.list.ru> Content-Disposition: inline Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset="koi8-r" MIME-Version: 1.0 X-Mailer: vBulletin Mail Date: Fri, 25 Jun 2010 14:55:47 +0900 From: =?koi8-r?B?5s/Nyd7F18Eg98HTyczJ08E=?=<bikinisetem3@list.ru> To: <dwsym@aori.co.ru>


адрес <dwsym@aori.co.ru> есть в черном списке ToBlack.txt
Вот лог:
2010-06-25 09:59:49;60.196.140.70;@;20568;1700;IN;MAIL FROM: <bikinisetem3@list.ru> 2010-06-25 09:59:53;60.196.140.70;@;20568;1700;OUT;250 bikinisetem3@list.ru OK 2010-06-25 09:59:53;60.196.140.70;@;20568;1700;FILTER;bikinisetem3@list.ru;dwsym@aori.co.ru;;ToBlackList 2010-06-25 09:59:53;60.196.140.70;@;20568;1700;OUT;550 denied (filter, ) .... 2010-06-25 10:00:20;60.196.140.70;@;20568;1700;IN;RCPT TO: <matveeva@aori.co.ru> 2010-06-25 10:00:24;60.196.140.70;@;20568;1700;OUT;250 matveeva@aori.co.ru OK, ExDelivery:LocalHA, a=... 2010-06-25 10:00:31;60.196.140.70;@;20568;1700;IN;DATA 2010-06-25 10:00:31;60.196.140.70;@;20568;1700;SPOOL;..\DATA\mail\spool\bikinisetem3@list.ru!20568!254105562!1.eml 2010-06-25 10:00:32;60.196.140.70;@;20568;1700;OUT;354 send the mail data, end with . 2010-06-25 10:00:32;60.196.140.70;@;20568;1700;FILTER;bikinisetem3@list.ru;matveeva@aori.co.ru;;abs_spam 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;OUT;250 OK message accepted for delivery (alias or copy) 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;ARCHIVE;bikinisetem3@list.ru;safemail@aori.co.ru;ExDelivery:Archive 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;INDEX;3742 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;DELIVERY;spamloop@aori.co.ru; 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;INDEX;2938 2010-06-25 10:00:34;60.196.140.70;@;20568;1700;IN;QUIT 2010-06-25 10:00:35;60.196.140.70;@;20568;1700;OUT;221 Goodbye.

Это правильно? Вроде бы, если фильтр сработал, так не надо дальше его рассматривать?

Кстати, сейчас писала это сообщение, и при нажатии "Создать страницу" в окне вместо слов "Новая страница" появилось:
Ошибка обращения к серверу (/E4/Mail/%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BF%D1%80%D0%B8%D0%B5%D0%BC%D0%B0%20%D0%BF%D0%B8%D1%81%D1%8C%D0%BC%D0%B0%2C%20%D1%85%D0%BE%D1%82%D1%8F%20%D0%BE%D0%BD%D0%BE%20%D0%BE%D1%82%D1%81%D0%B5%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F%20%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%BE%D0%BC.txt): cached script OK (File not found)

Но дальше все работает.
 
Комментарии к версии 1 (25.06.2010 09:20) [~matveeva] a5ea0ad9
Комментарии к версии 2 (25.06.2010 09:25) [~matveeva] 69d20e6c
Комментарии к версии 3 (25.06.2010 09:26) [~matveeva] 5f770bf3
Комментарии к версии 4 (25.06.2010 09:27) [~matveeva] 807b2287
Комментарии к этой версии (25.06.2010 09:28) [~matveeva] 4a8cf919
АвторДатаТекстtags
ac25.06.2010 11:17
Фильтр на стадии RCPT, значит только эту стадию и может модифицировать, т.е. здесь всё правильно. Иначе невозможно было бы запрещать отдельные адреса.

matveeva пишет: .txt): cached script OK (File not found)

А, вот где вылезло вчерашнее разрешение txt-файлов...
wikipost
matveeva25.06.2010 11:30
ac пишет: Фильтр на стадии RCPT, значит только эту стадию и может модифицировать,
А как-нибудь можно сделать, чтобы письмо не обрабатывалось дальше совсем? Другую стадию поставить? Или признак какой-н. где-н. установить...
wikipost
ac25.06.2010 14:32
А этот bikinisetem3@ пишет вам иногда и полезную почту (и только когда получатели оказались в плохой компании с dwsym@, то почту нужно отвергать)? Если нет, то почему бы его (bikinisetem3@) уже на стадии mailfrom не отшивать?

ac пишет: А, вот где вылезло вчерашнее разрешение txt-файлов...

Это починил.
wikipost
matveeva25.06.2010 14:53
ac пишет: А этот bikinisetem3@ пишет вам иногда и полезную почту
Не, он вообще нам неизвестен! Просто у меня в черный список получателей занесены те, на кого падает только спам. Они не могут оказаться в хорошей компании. Это либо сотрудники, кот. регистрировались давным-давно в каких-то форумах-сервисах-незнаюгдееще и давно уже не работают, либо какие-то несуществующие адреса из нашего домена. Напр., куча спама падает на наши реальные адреса, но предваренные "3d". Поскольку реальных "3d" у нас нет, я записала "3d*" в список ис удовольствием наблюдаю, как они разлетаются теперь от нас! Поэтому я бы хотела при срабатывании фильтра рубить письмо совсем. Аналогичный список есть и для отправителей, которые не могут быть хорошими. Это во втором фильтре "mail from".
wikipost
alex112425.06.2010 16:57
А если включить "Не принимать почту для несуществующих"? Это помогает.
wikipost
matveeva28.06.2010 09:11
alex1124 пишет: А если включить "Не принимать почту для несуществующих"? Это помогает.
Это в настройках домена? Уменя там и так стоит:
НСП не принимать
Это оно? И это поле только для чтения..
wikipost
ac28.06.2010 15:32
Т.е. учетной записи dwsym в вашем домене нет, но Eserv соглашается принять письмо для этого получателя, и только фильтрами вы от этого избавляетесь?
wikipost
alex112428.06.2010 15:33
Да, это то,о чем я говорил. Это хорошо работало в Е3. Да так хорошо, что при переходе на Е4, я даже не удосужился проверить работает это или нет. Надо попросить помощь у АС-а. Может он просветит как это работает в Е4. В логах ссылку на отлуп почты для несуществующего пользователя не обнаружил
wikipost
matveeva28.06.2010 15:38
ред: 28.06.2010 15:40
ac пишет: Т.е. учетной записи dwsym в вашем домене нет
Нет такой записи в самом деле. Но ведь в поле "To:" можно подставить все, что угодно ( в данном случае <dwsym@aori.co.ru>), так же как и в поле "From:", а настоящий адрес запрятать в другие заголовки. Там выше:
Received: from [60.196.140.70] (port=9258 helo=[60.196.140.70]) by aori.co.ru (acSMTP/4.23.4764) with ESMTP id 20568.0.380749 (envelope-from <bikinisetem3@list.ru>) for <matveeva@aori.co.ru>; Fri, 25 Jun 2010 10:00:32 +0400
А адрес matveeva@aori.co.ru — реальный, поэтому, видимо, письмо все-таки принимается. И все письма, которые проникают "внутрь", имеют как раз разные адреса в этих полях.
wikipost
ac28.06.2010 15:40
220 Eserv v4.23.4769 ESMTP. Mon, 28 Jun 2010 16:41:41 +0400 () HELO eserv.ru 250 aori.co.ru Hello [195.135.212.58] MAIL FROM:<ac@eserv.ru> 250 ac@eserv.ru OK RCPT TO:<zzzzz@aori.co.ru> 550 zzzzz@aori.co.ru no such email here, local domain 2

Нормально отбивает несуществующие адреса. Т.е. вам не нужно всякие несуществующие 3d*@aori.co.ru добавлять в черные списки, они и так должны блокироваться...
wikipost
ac28.06.2010 15:52
До полей From и To из заголовков письма SMTP-серверу нет никакого дела, отправитель и получатель передаются в MAIL FROM и RCPT TO командах (и только pop2smtp берет из заголовков, т.к. при вытаскивании из pop3-ящика параметры исходной SMTP-сессии уже неизвестны, и приходится выковыривать адреса из заголовков, за неимением лучшего источника).

С тем письмом — да, оно было принято, т.к. в нем есть реальный существующий получатель — ваш email. Если вам этот отправитель неприятен, то блокируйте самого отправителя. А несуществующие адреса в вашем домене и так по умолчанию заблокированы.
wikipost
ac28.06.2010 15:59
alex1124 пишет: Это хорошо работало в Е3. Да так хорошо, что при переходе на Е4, я даже не удосужился проверить работает это или нет. Надо попросить помощь у АС-а. Может он просветит как это работает в Е4. В логах ссылку на отлуп почты для несуществующего пользователя не обнаружил

E3 никаких ссылок на отлуп НСП не давал, просто не принимал почту для НСП — 5xx-ответ на соответствующий RCPT. E4 делает точно также. Ссылки они дают только в случае, если IP отправителя в RBL (ссылка на сайт соответствующей RBL, чтобы отправитель мог выписаться оттуда). Это я сегодня тоже проверил на сервере Елены — первую попытку отправки на zzzz@aori.co.ru сделал со Скайлинкового IP, который был BRBL'е (как все NATы крупных провайдеров — за спам), и Eserv aori.co.ru выдал мне не "нет такого ящика", а "с грязными IP я не общаюсь", и ссылку на BRBL.
wikipost
matveeva28.06.2010 16:06
ac пишет: Если вам этот отправитель неприятен, то блокируйте самого отправителя.
Да в том-то и дело, что это не конкретный отправителей, а зомбик какой-н. У "честных" отправителей поля "To:" и "RCPT TO" совпадают. А тут-то нет. Вот и хочется их тоже отвергнуть. Аппетит приходит во время еды!
wikipost
matveeva28.06.2010 16:07
ac пишет: Eserv aori.co.ru выдал мне не "нет такого ящика", а "с грязными IP я не общаюсь", и ссылку на BRBL.
Вот молодец какой
wikipost
ac28.06.2010 16:14
matveeva пишет: У "честных" отправителей поля "To:" и "RCPT TO" совпадают.

Не всегда. У рассылок, в т.ч. легальных, в поле "To:" чаще стоит email самого списка рассылки, а в поле RCPT TO на момент поступления письма на MX получателя стоит email конкретного подписчика. Аналогично бывает с алиасами.
wikipost
matveeva28.06.2010 16:45
ac пишет: Не всегда.
Точно! Так и есть, забыла про них. Но вряд ли они будут использовать всякие 3d... и разные префиксы с нашим же доменом. Таких получателей не так много (у меня накопилось неск. десятков), но они очень уж настойчивые в рассылке спама. Я поэтому и завела еще одно ведро в PopFile, чтобы туда класть тех, кто точно спамер по признакам адресата или отправителя. И около 90 процентов спама попадало именно в это "железное" ведро. Соответственно остального спама, который все-таки надо проглядывать на предмет чистоты, становилось мало.
wikipost
matveeva30.06.2010 10:09
ред: 30.06.2010 10:15
Вот еще какая-то странность с письмом. Просочилось внутрь, хотя в заголовках наших получателей вроде нет:
For: spamloop@aori.co.ru X-Classification: abs_spam X-Spam-Status: No, acFilter=abs_spam X-Spam-Cls: PF=abs_spam, SPR=10000 Received-SPF: none Received: from [109.82.216.207] (port=6567 helo=MVQYEDCVO) by aori.co.ru (acSMTP/4.23.4769) with ESMTP id 8526.0.431141 (envelope-from <aptnessa2@vanblk.com>) for <glavbux@aori.co.ru>; Tue, 29 Jun 2010 19:39:57 +0400 Received: from 109.82.216.207 by es2mta-3.messageone.com; Tue, 29 Jun 2010 18:33:37 +0300 Message-ID: <000d01cb17a0$713c6220$6400a8c0@aptnessa2> From: =?koi8-r?B?08XNyc7B0iDP087P187ZxSDT0sXE09TXwQ==?=<aptnessa2@vanblk.com> To: <4521d164.5060102@aori.co.ru> Subject: =?koi8-r?B?7/M6INfB1s7PINrOwdTYIMLVyMfBzNTF0tUh?= Date: Tue, 29 Jun 2010 18:33:37 +0300

Ни glavbux@aori.co.ru, ни 4521d164.5060102@aori.co.ru у нас, ес-но, нет. Оба они присутствуют в черном списке фильтра, проверяющего RCPTTO.
Вот из разных журналов:
2010-06-29 19:38:24;109.82.216.207;@;8526;3732;IN;EHLO MVQYEDCVO 2010-06-29 19:38:24;109.82.216.207;@;8526;3732;OUT;250-aori.co.ru Hello [109.82.216.207] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-SIZE 12000000 250-STARTTLS 250-8bitmime 250-BINARYMIME 250 HELP 2010-06-29 19:38:24;109.82.216.207;@;8526;3732;IN;MAIL FROM: <aptnessa2@vanblk.com> 2010-06-29 19:38:58;109.82.216.207;@;8526;3732;OUT;250 aptnessa2@vanblk.com OK 2010-06-29 19:38:58;109.82.216.207;@;8526;3732;FILTER;aptnessa2@vanblk.com;4521d164.5060102@aori.co.ru;;ToBlackList 2010-06-29 19:38:58;109.82.216.207;@;8526;3732;OUT;550 denied (filter, ) 2010-06-29 19:38:58;109.82.216.207;@;8526;3732;FILTER;aptnessa2@vanblk.com;453385c2.9070904@aori.co.ru;;ToBlackList 2010-06-29 19:38:58;109.82.216.207;@;8526;3732;OUT;550 denied (filter, ) 2010-06-29 19:39:26;109.82.216.207;@;8526;3732;IN;RCPT TO: <ada@aori.co.ru> 2010-06-29 19:39:26;109.82.216.207;@;8526;3732;OUT;250 ada@aori.co.ru OK, ExDelivery:Local, a=... 2010-06-29 19:39:55;109.82.216.207;@;8526;3732;IN;RCPT TO: <ao@aori.co.ru> 2010-06-29 19:39:56;109.82.216.207;@;8526;3732;OUT;250 ao@aori.co.ru OK, ExDelivery:Local, a=... 2010-06-29 19:39:56;109.82.216.207;@;8526;3732;FILTER;aptnessa2@vanblk.com;glavbux@aori.co.ru;;ToBlackList 2010-06-29 19:39:57;109.82.216.207;@;8526;3732;OUT;550 denied (filter, ) 2010-06-29 19:39:57;109.82.216.207;@;8526;3732;IN;DATA 2010-06-29 19:39:57;109.82.216.207;@;8526;3732;SPOOL;..\DATA\mail\spool\aptnessa2@vanblk.com!8526!634471906!1.eml 2010-06-29 19:39:57;109.82.216.207;@;8526;3732;OUT;354 send the mail data, end with . 2010-06-29 19:39:57;109.82.216.207;@;8526;3732;FILTER;aptnessa2@vanblk.com;glavbux@aori.co.ru;;abs_spam 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;OUT;250 OK message accepted for delivery (alias or copy) 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;ARCHIVE;aptnessa2@vanblk.com;safemail@aori.co.ru;ExDelivery:Archive 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;INDEX;4503 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;DELIVERY;spamloop@aori.co.ru; 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;INDEX;3113 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;IN;RSET 2010-06-29 19:39:59;109.82.216.207;@;8526;3732;OUT;250 Reset state 2010-06-29 19:39:59;109.82.216.207;@;8526;3732;IN;MAIL FROM: <fountain@libelle.com> 2010-06-29 19:40:33;109.82.216.207;@;8526;3732;OUT;250 fountain@libelle.com OK 2010-06-29 19:40:33;109.82.216.207;@;8526;3732;FILTER;fountain@libelle.com;glavbux@aori.co.ru;;ToBlackList 2010-06-29 19:40:34;109.82.216.207;@;8526;3732;OUT;550 denied (filter, ) 2010-06-29 19:40:37;109.82.216.207;@;8526;3732;IN;RSET 2010-06-29 19:40:38;109.82.216.207;@;8526;3732;OUT;250 Reset state 2010-06-29 19:40:38;109.82.216.207;@;8526;3732;IN;MAIL FROM: <hopajslex3@flashmail.com> 2010-06-29 19:40:54;109.82.216.207;@;8526;3732;OUT;250 hopajslex3@flashmail.com OK 2010-06-29 19:40:54;109.82.216.207;@;8526;3732;FILTER;hopajslex3@flashmail.com;glavbux@aori.co.ru;;ToBlackList 2010-06-29 19:40:54;109.82.216.207;@;8526;3732;OUT;550 denied (filter, ) 2010-06-29 19:39:58;aptnessa2@vanblk.com;safemail@aori.co.ru;3946;<000d01cb17a0$713c6220$6400a8c0@aptnessa2>;109.82.216.207;abs_spam;-;4503;ExDelivery:Archive 2010-06-29 19:39:58;aptnessa2@vanblk.com;spamloop@aori.co.ru;3946;<000d01cb17a0$713c6220$6400a8c0@aptnessa2>;109.82.216.207;abs_spam;-;3113; 2010-06-29 19:39:58;109.82.216.207;@;8526;3732;aptnessa2@vanblk.com;spamloop@aori.co.ru;;3946;<000d01cb17a0$713c6220$6400a8c0@aptnessa2>;abs_spam

Это я из журнала надергала все строки с "8526;3732". Там еще какие-то адреса присутствуют, как будто и не из этого письма... Но в итоге, письмо попало внутрь, хотя адресаты из заголовков все НСП. Не понимаю, как.
И еще одно аналогичное письмо нашла.
wikipost
pig30.06.2010 18:14
Очень странно фильтры работают... На один MAIL FROM сначала подтверждение, потом два отказа.
wikipost
ac30.06.2010 20:21
Эти отказы — на RCPT TO, там до записи в лог видимо дело не дошло (проверю). А письмо принято, т.к. среди прочих адресатов письма были и существующие ada@ и ao@:

2010-06-29 19:39:26;109.82.216.207;@;8526;3732;IN;RCPT TO: <ada@aori.co.ru> 2010-06-29 19:39:26;109.82.216.207;@;8526;3732;OUT;250 ada@aori.co.ru OK, ExDelivery:Local, a=... 2010-06-29 19:39:55;109.82.216.207;@;8526;3732;IN;RCPT TO: <ao@aori.co.ru> 2010-06-29 19:39:56;109.82.216.207;@;8526;3732;OUT;250 ao@aori.co.ru OK, ExDelivery:Local, a=...


matveeva пишет: Но в итоге, письмо попало внутрь, хотя адресаты из заголовков все НСП.
ada@ и ao@ — НСП? Про заголовки я тут комментировал недавно — SMTP-сервер не смотрит на заголовки письма (в отличие от pop2smtp), ему получателей перечисляют в командах RCPT TO еще до того как начать письмо (включая заголовки) отправлять.
wikipost
matveeva01.07.2010 09:18
ac пишет: ada@ и ao@ — НСП?
Не, такие юзеры есть. Просто я считала, что в письме должны присутствовать все заголовки, и среди них я не нашла ни ada@, ни ao@, про которые писалось в журнале.Это мне и показалось странным..
wikipost
pig01.07.2010 11:38
Спамеры любят странные заголовки — это вводит в заблуждение и людей, и антиспамовые фильтры.
wikipost
ac06.07.2010 05:09
ac пишет: Эти отказы — на RCPT TO, там до записи в лог видимо дело не дошло (проверю).

Проверил, убедился. В сегодняшнем обновлении исправлено.
wikipost
matveeva06.07.2010 15:08
А можно ли при срабатывании фильтра указать такую команду в SMTPReply, которая разрывала бы установленное соединение? Как в случае с попаданием IP в RBL. Существует ли такая "волшебная" команда?
wikipost
ac06.07.2010 15:33
В вашем распоряжении полностью весь волшебный язык, на котором написан Eserv Можно в поле "Выполнить команды" написать StopProtocol (закрыть соединение после завершения текущей команды) или 5 AbortProtocol (сразу разорвать соединение с руганью в лог) или CloseConnection (просто закрыть соединение) или " 550 denied by filter{CRLF}" SMTP_FPUTS_DB CloseConnection. Хотя во всех таких вариантах нет уверенности, что отправитель не будет продолжать попытки доставки и далее. А почему вы не хотите блокировать его на стадии mailfrom или еще раньше — на стадии подключения? Там более однозначная ситуация с отказами.
wikipost
matveeva06.07.2010 15:56
ac пишет: А почему вы не хотите блокировать его на стадии mailfrom или еще раньше — на стадии подключения? Там более однозначная ситуация с отказами.
А mailfrom же они разные подставляют все время, хотя список FromBlackList у меня тоже есть. И IP-адреса тоже разнообразные. Хотя я в ACCESSE на скорую руку сделала вывод повторяющихся отправителей (IP, доменов и префиксов), и особо "злостных" пихаю в черные списки. А список получателей почему-то у них, спамеров, обычно бывает более определенным. Есть часто используемые несуществующие адреса, которые подсовываются в "RCPT TO:". Но эти "RCPT TO:" они шлют серией, как из пулемета, перебирая разные варианты, среди которых попадаются и реальные. И тогда письмо к нам принимается. Хотя присутствие реального адреса в соседстве с заведомо плохими, не должно считаться признаком "хорошего" письма. Поэтому я бы просто обрывала бы сессию при срабатывании такого фильтра, потому что ничего хорошего там быть не может.
ac пишет: 5 AbortProtocol
Наверное, это подойдет, т.к. И оборвет, и сообщит в лог.
wikipost
ac06.07.2010 18:23
В принципе совсем не сложно сделать опцию подсчета к-ва отвергнутых адресов в одной сессии и отвергать последующую команду DATA при превышении какого-то порога мусорных адресов или отношения мусорные/правильные. Плохо только что это "эвристика" с числовым коэффициентом или порогом "от балды", чревато неправильными настройками у любителей крутить ручки.

Странно, что такие отправители, интенсивно перебирающие адреса, не попадают (или не быстро попадают) в ящики-приманки сетей CBL и BRBL.
wikipost
matveeva07.07.2010 09:25
ac пишет: В принципе совсем не сложно сделать опцию подсчета к-ва отвергнутых адресов в одной сессии и отвергать последующую команду DATA при превышении какого-то порога мусорных адресов или отношения мусорные/правильные.
В моем случае порог=1
ac пишет: Странно, что такие отправители, интенсивно перебирающие адреса, не попадают (или не быстро попадают) в ящики-приманки сетей CBL и BRBL.
Обширная сеть зомбиков-отправителей?
matveeva пишет: 5 AbortProtocol
Почему-то не прерывает сеанс, перебор RCPT TO продолжается. "CloseConnection" видимо, срабатывает, но следов в журнале не оставляет.
После всех этих манипуляций, за ночь пришло всего лишь 8 писем с признаком PF "abs_spam" — магнит, который у меня работает по списку "плохих" отправителей-получателей-тем. И среди них ни одного с "плохим" получателем! Т.е. магнит сработал только на тему. А все плохие отправители-получатели были отправлены в сад на этапе обмена командами заголовков. Ура! Обычно за ночь таких писем было около 300.
wikipost
ac07.07.2010 11:21
matveeva пишет: Обширная сеть зомбиков-отправителей?

Да, сейчас по-другому спам и не отправляют, всё с больших ботнетов. Я имел в виду другое — перебор адресов (вместо отправки только по собранным реальным адресам) по идее в разы увеличивает вероятность напороться на адреса специально расставленных ловушек, т.е. ботнет должен намного быстрее "засветить" в CBL все свои IP. Обычно каждый свежепойманный ботнетом "зомбик" успевает отспамиться единицы часов до автоматического попадания в основные черные списки.
matveeva пишет: за ночь пришло всего лишь 8 писем с признаком PF "abs_spam"! Обычно за ночь таких писем было около 300.

Не иначе как спамер специализировался на вашем домене эксклюзивно В CBL не засветился, а вам так откровенно продемонстрировал шаблон своего поведения, что вы его быстро раскусили и одним махом придавили.

А при "5 AbortProtocol" он не записывал в acSMTP.log "Filter_runInternal err=5"?
wikipost
matveeva07.07.2010 13:02
ac пишет: Не иначе как спамер специализировался на вашем домене эксклюзивно
Вот гад какой!
ac пишет: вы его быстро раскусили и одним махом придавили.
Раскусила-то давно, а вот придавить только сейчас получилось!
ac пишет: А при "5 AbortProtocol" он не записывал в acSMTP.log "Filter_runInternal err=5"?
Ага, оказывается, да, записывал. Только там времени-даты нет, поэтому не знаю, когда ругался. А сейчас весь хвост забит второй записью:
FILTER action: set stack depth
wikipost
ac07.07.2010 15:36
Да, там в "runInternal" скрипт должен возвращать флаг (как мы в соседней теме обсуждали), а CloseConnection ничего не возвращает, вот acSMTP и додумывает за него. В данной ситуации не принципиально, но, чтобы в лог не сорил, поставьте CloseConnection FALSE.
wikipost
matveeva07.07.2010 16:04
ac пишет: чтобы в лог не сорил, поставьте CloseConnection FALSE.
Ясно, спасибо. Сделала.
wikipost
Работает на Eserv/5.05555 (05.06.2016)