<br><br><div><span class="gmail_quote">27.03.08, <b class="gmail_sendername">Vladimir V. Kamarzin</b> <<a href="mailto:vvk@vvk.pp.ru">vvk@vvk.pp.ru</a>> написал(а):</span><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
Это называется backscatter mail.<br> <a href="http://www.postfix.org/BACKSCATTER_README.html">http://www.postfix.org/BACKSCATTER_README.html</a><br><br> Я бы не стал кормить таким. Лучше настройте postfix (или что у вас там) по<br>
аналогии с примерами из вышеуказанного readme.<br><br></blockquote></div>postfix :)<br>В readme написано:<br><br>/etc/postfix/main.cf:<br> header_checks = pcre:/etc/postfix/header_checks<br> body_checks = pcre:/etc/postfix/body_checks<br>
<br>/etc/postfix/header_checks:<br> if /^Received:/<br> /^Received: +from +(porcupine\.org) +/<br> reject forged client name in Received: header: $1<br> /^Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(porcupine\.org)\)/<br>
reject forged client name in Received: header: $2<br> /^Received:.* +by +(porcupine\.org)\b/<br> reject forged mail server name in Received: header: $1<br> endif<br>#|<br>#именно эта проверка направлена на то что если спамерами используется в поле recived <a href="http://porcupine.net">porcupine.net</a>, а не как должно <a href="http://host.porcupine.net">host.porcupine.net</a><br>
#но в отлупах которые приходят мне в этом поле всё правильно напсано <a href="http://host.porcupine.net">host.porcupine.net</a>, т. е. эта проверка работать не будет.<br><br> /^Message-ID:.* <!&!/ DUNNO<br> /^Message-ID:.*@(porcupine\.org)/<br>
reject forged domain name in Message-ID: header: $1<br>#|<br>#эта проверка смотрит на то как указан адрес (проходит если <a href="mailto:user@host.porcupine.org">user@host.porcupine.org</a>), но на нашей системе используются <a href="mailto:user@porcupine.org">user@porcupine.org</a> <br>
<br>/etc/postfix/body_checks:<br> if /^[> ]*Received:/<br> /^[> ]*Received: +from +(porcupine\.org) /<br> reject forged client name in Received: header: $1<br> /^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(porcupine\.org)\)/<br>
reject forged client name in Received: header: $2<br> /^[> ]*Received:.* +by +(porcupine\.org)\b/<br> reject forged mail server name in Received: header: $1<br> endif<br>#|<br>#то же что и в header_checks<br>
<br> /^[> ]*Message-ID:.* <!&!/ DUNNO<br> /^[> ]*Message-ID:.*@(porcupine\.org)/<br> reject forged domain name in Message-ID: header: $1<br>#|<br>#то же что и в header_checks<br><br>Очевидно что проверки основанные на тонкости между <a href="http://host.porcupine.org">host.porcupine.org</a> и <a href="http://porcupine.org">porcupine.org</a> работать не будут на нашей системе. Следующий из этого вопрос как эффективно фильтровать такой вид спамерской атаки?<br>
Внимательно изучив backscatter сообщения я заметил что во всех письмах в поле recived в теле письма (отчёт mailer-daemona атакованного спамером) напротив нашего хоста указывается не наш IP:<br>Received: from [<a href="http://62.221.98.202">62.221.98.202</a>] by <a href="http://host.porcupine.org">host.porcupine.org</a>; Thu, 27 Mar 2008 21:39:52 +0300<br>
#| <br> #не наш IP<br>Может возможно на этом построить проверку? Какое тогда должно быть регулярное выражение?<br clear="all">-- <br>С уважением, Андрей Степнов,<br>
администратор сахалинского сегмента корпоративной сети ДВО РАН