Регистрация...

Eserv Forum / E4 / Mail / Спам через наш сервер

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Доброго времени.
Столкнулся с эффектом, не могу разобраться. Методично — раз в сутки наш IP попадает на http://cbl.abuseat.org/
Вроде в течении месяца spamprotexx гонял, во внутрь гадости стало лезть минимум.
Но как вычислить виновника не совсем могу представить Можно ли сделать запрос на CBL, что именно с нашего IP посчиталось спамом?
Если капать Е4, то какие логи шерстить? Я как бы понимаю, что SMTP log, но там столько... Может быть можно сделать какой-нибудь отбор по контексту, ну там "нелокальность" отправителя или что-то подобное?
 
Комментарии к этой версии (16.06.2011 09:27) [~nomid] 95ae0638
АвторДатаТекстtags
ac16.06.2011 20:05
Если ваш IP попадает в базу CBL, то можно не сомневаться, что через вас спамят, т.к. они собирают спам со специальных адресов — спам-ловушек — в которые ваши обычные пользователи точно никогда не напишут. А спамить через ваш Eserv могут только одним способом — подбором пароля и отправкой по SMTP с авторизацией.

Посмотрите DATA\log\smtp\201106smtpsend.txt (обычно он небольшой, если вы не запускаете массовых рассылок) — есть ли там отправка наружу на явно левые адреса?
wikipost
ac16.06.2011 20:08
ред: 16.06.2011 20:10
И еще вариант — если ваш IP на самом деле не ваш, а общий (если отправляете через SMTP провайдера или через провайдерский NAT), т.е. кто-то один проспамился через провайдера, а страдают все его клиенты. Тут только один вариант спасения — добывать себе отдельный IP, это обычно стоит от 30 до 150 рублей в месяц (у провайдера или хостера).
wikipost
nomid20.06.2011 11:29
ред: 20.06.2011 11:33
Гм, посмотрел *smtpsend.txt и ужаснулся. Куча записей вида:
2011-06-03 09:15:12;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:15:13;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:15:14;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:16:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:16:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:16:49;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:19:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:19:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:19:50;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:22:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:22:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:22:49;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:25:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:25:49;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:25:50;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:28:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:28:49;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:28:50;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:30:26;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:30:27;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:30:28;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060; 2011-06-03 09:31:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster2.online.ua;550;550 cbl.abuseat.org 2011-06-03 09:31:48;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster1.online.ua;10061; 2011-06-03 09:31:49;office@my.domen.com;upiterm@online.ua;0;<000001cc21b5$7158e470$540aad50$@fort.crimea.com>;relay-cluster3.online.ua;10060;


Так и должно быть или таки за это меня CBL и наказывает? Пока что копаю, что за софт так делает, есть подозрения на 1С. office@my.domen.com — реальный адрес, пароли на все ящики сгенерированы 8ми значные, неужели подобрали о_О
Временами смотрю в оснастке Е4 "попытки авторизации" ну там бывают записи, но прям что бы кто-то ломился методично — нет.

ac пишет: И еще вариант — если ваш IP на самом деле не ваш, а общий

Нет, IP точно выделеный и на нем только мы весим, SMTP используем свой.
wikipost
ac20.06.2011 16:46
В данном конкретном логе ужасаться нечему. Это попытки доставки одного и того же письма. Просто у получателя проблемы — то него сервер не отвечает (таймаут 10060), то вовсе не запущен (10061). За это CBL точно не накажет.
wikipost
shajtan29.06.2011 18:00
Подобрали пароль одному юзеру. Сменил. Подобрали другому. Сменил. Достало! Наш сервак внешние отправители использовать для внешних получателей вообще не должны! Как сделать? Защита паролем — штука надёжная только тогда, когда пароли действительно стойкие. Увы и ах, такого обеспечить не могу — специфика контингента, некоторым и qwerty запомнить мега-сложно.
wikipost
ac29.06.2011 19:06
Подбор паролей в последних версиях вообще должен быть невозможен, т.к. IP переборщика быстро блокируется.
wikipost
shajtan30.06.2011 10:44
И всё же — возможно через SMTP-фильтр реализовать?
Как мне видится такое правило: если отправитель письма не из сети 172.16.*.* и если он аутентифицируется как член проекта, то сбросить соединение. Только вот не знаю, на какой стадии нужно реализовывать проверку.
wikipost
shajtan30.06.2011 10:47
И, кстати говоря — алгоритмы перебора с распределённой сети никто не отменял. Блокировка IP в таком случае спасает не особо — запросы идут с разных хостов, членов ботнета.
wikipost
ac30.06.2011 12:42
Теоретическая возможность распределенного подбора, конечно, есть, но аренда ботнета для такой узкоспецифической задачи — дорогое удовольствие... И, если против вас применяют такую тяжелую артиллерию — вы это событие не сможете не заметить.

Стадия фильтра — MAIL FROM. Наличие успешной авторизации — UID @ в поле "Правило". IP НЕ 172.16.*.*. Выполнить "Отказаться выполнять команду".
wikipost
shajtan30.06.2011 13:13
ОК, спасибо, попробую запустить. Касаемо незамечания — сервак, он на то и сервак, чтобы по минимуму в его работу вмешиваться. Честно говоря, этот-то случай выцепили случайно: человеку пришла "обратка" с гугля, что, мол, на гугловый ящик не может быть доставлено письмо, отправленное с его учётки. Потом, конечно — посмотрел логи, понял, что к чему — видно, как подбирали.
wikipost
ac30.06.2011 13:54
А в "Пользователи/Учетные записи/Попытки авторизации" этот переборщик виден? Сколько паролей он успел испытать?
wikipost
shajtan06.07.2011 10:34
Да, всплыл. Перебрал довольно быстро — там пасс был простой. Сейчас в "попытках авторизации" постоянно висит этот логин с подобранным паролем.

Вот что интересно — пароль был поменян, информации о подборе не было, но вот строка из лога SMTPsend:
2011-07-06 00:00:54;xxx@loniir.ru;niu_rong@sohu.com;0;<9A260F72A8B51CC7A7B4EACD5A980A62@tjvtkqr>;sohumx1.sohu.com;550;550 5.1.1 <niu_rong@sohu.com>: Recipient address rejected: User unknown in local recipient table
я так понимаю, что пытались отправить, но сервак на той стороне дал отбалдон?
При этом в общем логе SMTP упоминания о niu_rong@sohu.com или xxx@loniir.ru в это время вообще нету, зато чётко видны попытки авторизации на акк xxx@loniir.ru:
2011-07-06 00:12:10;115.63.13.24;xxx@loniir.ru;105229;384;IN;AUTH LOGIN 2011-07-06 00:12:18;115.63.13.24;@;105230;1464;OUT;220 Eserv v4.28.4825 ESMTP. Wed, 06 Jul 2011 00:12:18 +0400 () 2011-07-06 00:12:18;115.63.13.24;@;105230;1464;IN;EHLO zwlceb 2011-07-06 00:12:18;115.63.13.24;@;105230;1464;OUT;250-mail.loniir.ru Hello [115.63.13.24] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-SIZE 50000000 250-STARTTLS 250-8bitmime 250-BINARYMIME 250 HELP 2011-07-06 00:12:18;115.63.13.24;xxx@loniir.ru;105230;1464;IN;AUTH LOGIN 2011-07-06 00:12:26;115.63.13.24;@;105231;3444;OUT;220 Eserv v4.28.4825 ESMTP. Wed, 06 Jul 2011 00:12:26 +0400 () 2011-07-06 00:12:26;115.63.13.24;@;105231;3444;IN;EHLO lcwwlgi 2011-07-06 00:12:26;115.63.13.24;@;105231;3444;OUT;250-mail.loniir.ru Hello [115.63.13.24] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-SIZE 50000000 250-STARTTLS 250-8bitmime 250-BINARYMIME 250 HELP 2011-07-06 00:12:26;115.63.13.24;xxx@loniir.ru;105231;3444;IN;AUTH LOGIN 2011-07-06 00:12:34;115.63.13.24;@;105232;2700;OUT;220 Eserv v4.28.4825 ESMTP. Wed, 06 Jul 2011 00:12:34 +0400 () 2011-07-06 00:12:35;115.63.13.24;@;105232;2700;IN;EHLO fkzboxa 2011-07-06 00:12:35;115.63.13.24;@;105232;2700;OUT;250-mail.loniir.ru Hello [115.63.13.24] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-SIZE 50000000 250-STARTTLS 250-8bitmime 250-BINARYMIME 250 HELP
wikipost
pig06.07.2011 10:56
Что-то я отказа в авторизации не вижу. Что-то падает? в acSMTP.log никакие ошибки не валятся?
А письмо, которое отпиналось, надо, наверное, за пятое число смотреть. В статистике самое начало суток.
wikipost
shajtan06.07.2011 11:26
Не, отказы в авторизации есть. Из acSMTP.log:
2011-07-05 23:56:21: xxx@loniir.ru pass - not authorized 115.63.8.67 [6] 2011-07-06 00:10:23: xxx@loniir.ru pass - not authorized 220.248.164.205 [1]


Да, не стояла галка "требовать авторизацию для исходящей почты" — но ведь, как я понимаю, это работает только для локальных отправителей? Как определяется "локальность"? Может быть, тут я напортачил?
wikipost
ac06.07.2011 12:11
Локальность определяется по IP по стандартным диапазонам для ЛС, там напортачить невозможно. Вы нашли ту сессию с niu_rong@sohu.com в логе за 5е число?
wikipost
shajtan06.07.2011 16:56
Что странно — нету такого адреса ни за 5 число, ни за 6-е. Сейчас проверил — этот адрес фигурирует в логе 201107smtpsend.txt, причём не один раз. Результат одинаковый —
2011-07-06 09:01:00;xxx@loniir.ru;niu_rong@sohu.com;0;<9A260F72A8B51CC7A7B4EACD5A980A62@tjvtkqr>;sohumx.h.a.sohu.com;550;550 5.1.1 <niu_rong@sohu.com>: Recipient address rejected: User unknown in local recipient table

При этом — нету ни в каком другом логе. В спуле — пусто, во всех других папках — тоже ничего нету. Откуда берутся — непонятно, сам пользователь ничего на этот ящик не шлёт, да если бы и с его машины была отправка (скажем, троян какой) — то почему в логах фигурирует время, когда его точно не было на месте и компьютер был выключен? Не понимаю пока...

По поводу правила для фильтра SMTP — как быть, если у меня две локальные сети, 172.16.*.* и 192.168.*.*? 172 — основная сетка, но в 192 тоже есть машины, с которых может идти почта (преимущественно — серваки). Можно ли упомянуть в правиле два диапазона?
wikipost
ac06.07.2011 17:56
Лежит в DATA\mail\retry_outbound\ или уже вернулось на xxx@loniir.ru. Там по заголовкам можно будет понять, когда и с какого IP отправлено, и была ли авторизация. А по логам в DATA\temp можно понять, почему оно не сразу вернулось, не смотря на 550 у получателя.

shajtan пишет: Можно ли упомянуть в правиле два диапазона?

Можно даже проще — IsLanClient 0= в поле "Правило".
wikipost
shajtan07.07.2011 19:42
Так и сделал. Замечательно работает, только немного изменил — в поле правило стоит IsLanClient 0= , в поле Mail from *@loniir.ru, стадия — MAIL FROM. Откидывает также некоторое количество спама, который идёт на нас — боты любят подделывать поле mailfrom на домен получателя, позволяет пройти через некоторые фильтры.
Есть мысля — не просто отбрасывать такую почту, а перенаправить её в спецящик, для последующего обучения байеса. Наш MX внешних отправителей вообще не должен обслуживать, поэтому — если в поле mailfrom оказался наш домен, то стопудово спам.
wikipost
nomid11.07.2011 13:15
Вернусь к своим попугаям
CBL заблокировал меня совсем, теперь делистинг нельзя сделать.
Что интересно:
It was last detected at 2011-07-11 06:00 GMT (+/- 30 minutes), approximately 4 hours ago

Смотрю 201107smtpsend.txt там примерно в это время (+/- 120 минут) записей нет вообще.
Куда еще копать, какие логи смотреть, перебивать все пароли для пользователей?

Как быть, прошу помощи Может быть лог отправить Вам на support? Кроме smtpsend.txt какую информацию еще предоставить?
wikipost
support211.07.2011 15:12
Может у вас прокси открыт, т.е. отправляют не через SMTP-сервер, а например через Socks.
wikipost
nomid11.07.2011 15:32
В смысле открыт? На прокси та же авторизация включена.
wikipost
ac11.07.2011 20:58
Если в SMTP логах злодеев не видно, то надо заглянуть в лог socks — есть ли там исходящие коннекты на 25й порт. Если и там нет, то может это уже вообще не посредством Eserv'а, а зловред какой-то прям на этой машине сидит.
wikipost
nomid12.07.2011 16:02
socks тоже чистый. Просканил машину AVZ, AVPtool, Ad-Aware — все показали, что чисто (
Какие еще могут быть идеи? У меня тут "паника в селе" почта не ходит, пользователи возмущены.
wikipost
ac12.07.2011 16:17
А вы точно единственный пользователь своего IP, это не NAT какой-нибудь?

По неотправке почты паниковать не надо — всегда можно быстро перенастроить на отправку почты через провайдера или хостера — добавить в E4.ini

[Delivery] SmtpSendOutbound="..\acSMTP\smtpsend4.exe -sm сервер.провайдера -dw -ln 200 -r 2 -helo {Server[HostName]} -rd {SMTP[Out]}\127.0.0.1\{SMTP[Port]} -ra {Server[AdminEmail]} -rf {SMTP[RetryOutbound]}\" SendMailAppRetryOutbound="smtpsend4.exe -sm сервер.провайдера -dw -helo {Server[HostName]} -rh 0 -ln 200 -o {Dirs[Temp]}\retryout-{RANDOM-ID}.xml -f {SMTP[RetryOutbound]}\"
wikipost
ac12.07.2011 16:27
nomid пишет: It was last detected at 2011-07-11 06:00 GMT (+/- 30 minutes), approximately 4 hours ago

Смотрю 201107smtpsend.txt там примерно в это время (+/- 120 минут) записей нет вообще.

С поправкой на зону времени?
wikipost
ac12.07.2011 16:31
ac пишет: это не NAT какой-нибудь?

...включая локальный NAT, т.к. компьютеры пользователей в ЛС могут заразиться и спамить через местный NAT, т.е. от вашего IP.
wikipost
nomid12.07.2011 17:27
ред: 12.07.2011 17:30
ac пишет: вы точно единственный пользователь своего IP, это не NAT какой-нибудь

99% Этот IP за нами уже лет 8.

ac пишет: С поправкой на зону времени?

Конечно, но я на всякий случай(учитывая несвоевременное попадание инф. на сайт CBL) смотрю в промежутке +/- три часа — это смело закрывает и поправку тоже.

ac пишет: включая локальный NAT

Вот тут не совсем понял. Если у меня локалка полностью за прокси, который да же в домен не входит. Как компьютеры могут спамить? К тому же в ЛС NAT'a нет.
На самой машине с Е4 под win7 стоит сам E4, ISS 7.5 и Microsoft Security Essentials, собственно и все.
wikipost
ac12.07.2011 18:07
nomid пишет: Вот тут не совсем понял. Если у меня локалка полностью за прокси, который да же в домен не входит. Как компьютеры могут спамить? К тому же в ЛС NAT'a нет.

Если NAT'а в ЛС нет, то компьютеры из ЛС могут спамить только через прокси. Но если (при отсутствии NAT) в логах прокси нет внешних подключений к 25м портам, то они и через прокси не спамили. В Windows есть свой NAT, но по умолчанию он отключен (можно на всякий случай проверить, не включен ли общий доступ к внешнему соединению в свойствах сетевой карты или VPN).

Какие еще могут быть варианты — даже не знаю... Остаётся мониторить все внешние подключения в надежде, что факт отправки почты отразится в логе этого монитора. Готовую программу подсказать не могу (самому такое не требовалось никогда — случаи спама через нас всегда были результатом подбора пароля, и всегда находили отражения в логах SMTP). Можно было бы Wireshark'ом с фильтром по порту назначения 25, но он не пишет в лог программу-инициатор соединения, и не любые сетевые интерфейсы умеет мониторить. Самое простое, что приходит в голову — зациклить "netstat.exe -ona" с паузой в десяток секунд, собрать лог за несколько часов (вы ведь каждый день в CBL попадаете, т.е. спам продолжается?), затем отGREPить его по 25му порту (или вместе с grep'ом и зациклить, чтобы лог был поменьше) и по pid'у процесса определить, где именно просверлили дырку.
wikipost
ac12.07.2011 18:10
А ISS — это опечатка про IIS или что-то другое?
wikipost
nomid12.07.2011 23:59
ред: 13.07.2011 06:34
Да, извиняюсь. *IIS
Сейчас сделал делистинг наконец. И запустил логирование через netstat. Будем посмотреть
wikipost
nomid18.07.2011 08:57
И все же это как то связано с Е4. Так как логи netstat ничего не дали, на выходных решил провести эксперемент и отключил acSMTP. Результат:
It was previously listed, but was removed at 2011-07-16 12:35 GMT (1 days, 17 hours, 16 minutes ago)

То есть без acSMTP ничего не происходит, а при запущенном меня CBL ловил с регулярностью в 5-6 часов.
Как быть? Все таки хочется докопаться через лог, а не тупой заменой паролей.
wikipost
ac18.07.2011 09:49
Не знаю, как можно отправлять почту, не засветившись с списке соединений (для netstat)...

Может быть совпало, и робот тоже отдыхал в выходные. Или например выключили на выходные тот компьютер в ЛС, который отправлял спам через NAT.

Если WireShark видит ваш внешний сетевой интерфейс, то попробуйте теперь им помониторить с фильтром по 25му порту.
wikipost
ac18.07.2011 10:11
Менять все пароли не надо. Если спамили через acSMTP, то этот факт обязательно отразится в логах acSMTP и smtpsend'а — они не могут работать, если лог не пишется (завершатся с ошибкой).

Кстати, вместо останова acSMTP можно было просто настроить smtpsend отправлять через провайдера, как я писал выше. Или убрать smtpsend в другой каталог, тогда нечем будет отправлять, и вся почта, включая спам, будет копиться в mail\out. В Eserv отправкой почты занимается только smtpsend, поэтому если он настроен работать через провайдера, или если вообще не запускается, то ваш IP в CBL (по его вине) никак не попадёт, т.е. проверка будет аналогично останову acSMTP, но без прерывания хождения почты.
wikipost
nomid18.07.2011 11:08
ac пишет: Не знаю, как можно отправлять почту, не засветившись с списке соединений (для netstat

Тут мог я пропустить. Дело в том, что записывая в файл через cmd-netstat, файл рос как на дрожжах, как отфильтровать только по 25 порту мне не придумалось. Поэтому я использовал приблуду под названием "NetStat Agent" она ведет лог в журнал *.csv, потом очень удобно фильтровать по нужным параметрам, но почему-то в журнал не писались PID'ы процессов. Плюс, допустим мы получили нужный PID, но шансы что этот процесс до сих пор висит малы.

ac пишет: Если WireShark видит ваш внешний сетевой интерфейс

Про WireShark не знал :-[ , сейчас пробую.

ac пишет: настроить smtpsend отправлять через провайдера

Наверное на эту неделю так и сделаю.

ac пишет: Или убрать smtpsend в другой каталог

Гм, попробовать можно, но учитывая кол-во спама, который лезет, будет наверное сложно что-то там найти потом.
wikipost
ac18.07.2011 11:33
nomid пишет: Про WireShark не знал :-[

Я о нем писал выше 12.07.2011 19:07.

nomid пишет: попробовать можно, но учитывая кол-во спама, который лезет, будет наверное сложно что-то там найти потом.

Входящий спам не через smtpsend идёт. Всё, что наберется в mail\out — это исходящая почта. Там же будет и спам, если он через Eserv SMTP идёт. Наверное его не много, раз до сих пор не получается его заметить — значит вы легко сможете потом этот mail\out поделить на спам и не спам.
wikipost
shajtan29.07.2013 13:04
Подниму старый топик. Стал замечать странную движуху на почтаре (Е5 на данный момент): переставал отправлять почту, ругался на то, что не может определить домен получателя, хотя с сервака через консоль всё нормально резолвило. Стал копать — обнаружил в исходящий явный спам, который шлётся через Е5 снаружи, с аутентификацией локального юзера. Вот кусок такого мыла:
For: 591121432@qq.com Received: from [117.64.5.0] (port=63987 helo=kxformp) by mail.loniir.ru (acSMTP/5.04.4922) with ESMTP id 522.0.0 (envelope-from <atnder@imss.gob.mx> auth=vkap@loniir.ru) for <591121432@qq.com>; Mon, 29 Jul 2013 12:15:21 +0400 Reply-To: yekae51@sina.cn Message-ID: <005743734742$78018553$87431188@kxformp> From: =?utf-8?B?6L+Y54ix5oiR5ZCX?= <atnder@imss.gob.mx>


Видно, что с IP 117.64.5.0 прошла аутентификация. Вопрос — что, теперь правило IsLanClient 0= не работает?
wikipost
pavlad29.07.2013 14:49
shajtan пишет: с аутентификацией локального юзера
Походу из личной практики и с обсуждений на форуме — единственная "защита" в таком случае — смена пароля юзеру-чей пароль подобран. Естественно — на хотя-бы минимальной сложности, т.е. от семи цифр+буквы. Менее семи символов это сейчас вообще не пароль
wikipost
shajtan29.07.2013 15:10
Смена пароля не подходит по организационным причинам, хотя-бы потому, что нужно постоянно мониторить логи — подобрали или нет. Я — ленив. Защита правилом работала исправно более двух лет, доступа извне у пользователей быть вообще не должно, поэтому правило "не пускать никого" — оптимальное решение. Вопрос в том, почему сейчас оно не работает.
wikipost
ac29.07.2013 15:34
shajtan пишет: что, теперь правило IsLanClient 0= не работает?

В нём никакой привязки к дате нет. Если раньше работало, то и сейчас должно.

Где это защитное правило у вас установлено, в каком виде?
wikipost
ac29.07.2013 15:36
А, отбой вопроса, вижу еще одну вашу тему.
wikipost
Работает на Eserv/5.05567 (10.02.2020)