<br><br><div><span class="gmail_quote">27.03.08, <b class="gmail_sendername">Vladimir V. Kamarzin</b> <<a href="mailto:vvk@vvk.pp.ru">vvk@vvk.pp.ru</a>> напиÑал(а):</span><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
Ðто называетÑÑ backscatter mail.<br> <a href="http://www.postfix.org/BACKSCATTER_README.html">http://www.postfix.org/BACKSCATTER_README.html</a><br><br> Я бы не Ñтал кормить таким. Лучше наÑтройте postfix (или что у Ð²Ð°Ñ Ñ‚Ð°Ð¼) по<br>
аналогии Ñ Ð¿Ñ€Ð¸Ð¼ÐµÑ€Ð°Ð¼Ð¸ из вышеуказанного readme.<br><br></blockquote></div>postfix :)<br>Ð’ readme напиÑано:<br><br>/etc/postfix/main.cf:<br> header_checks = pcre:/etc/postfix/header_checks<br> body_checks = pcre:/etc/postfix/body_checks<br>
<br>/etc/postfix/header_checks:<br> if /^Received:/<br> /^Received: +from +(porcupine\.org) +/<br> reject forged client name in Received: header: $1<br> /^Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(porcupine\.org)\)/<br>
reject forged client name in Received: header: $2<br> /^Received:.* +by +(porcupine\.org)\b/<br> reject forged mail server name in Received: header: $1<br> endif<br>#|<br>#именно Ñта проверка направлена на то что еÑли Ñпамерами иÑпользуетÑÑ Ð² поле recived <a href="http://porcupine.net">porcupine.net</a>, а не как должно <a href="http://host.porcupine.net">host.porcupine.net</a><br>
#но в отлупах которые приходÑÑ‚ мне в Ñтом поле вÑÑ‘ правильно напÑано <a href="http://host.porcupine.net">host.porcupine.net</a>, Ñ‚. е. Ñта проверка работать не будет.<br><br> /^Message-ID:.* <!&!/ DUNNO<br> /^Message-ID:.*@(porcupine\.org)/<br>
reject forged domain name in Message-ID: header: $1<br>#|<br>#Ñта проверка Ñмотрит на то как указан Ð°Ð´Ñ€ÐµÑ (проходит еÑли <a href="mailto:user@host.porcupine.org">user@host.porcupine.org</a>), но на нашей ÑиÑтеме иÑпользуютÑÑ <a href="mailto:user@porcupine.org">user@porcupine.org</a> <br>
<br>/etc/postfix/body_checks:<br> if /^[> ]*Received:/<br> /^[> ]*Received: +from +(porcupine\.org) /<br> reject forged client name in Received: header: $1<br> /^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(porcupine\.org)\)/<br>
reject forged client name in Received: header: $2<br> /^[> ]*Received:.* +by +(porcupine\.org)\b/<br> reject forged mail server name in Received: header: $1<br> endif<br>#|<br>#то же что и в header_checks<br>
<br> /^[> ]*Message-ID:.* <!&!/ DUNNO<br> /^[> ]*Message-ID:.*@(porcupine\.org)/<br> reject forged domain name in Message-ID: header: $1<br>#|<br>#то же что и в header_checks<br><br>Очевидно что проверки оÑнованные на тонкоÑти между <a href="http://host.porcupine.org">host.porcupine.org</a> и <a href="http://porcupine.org">porcupine.org</a> работать не будут на нашей ÑиÑтеме. Следующий из Ñтого Ð²Ð¾Ð¿Ñ€Ð¾Ñ ÐºÐ°Ðº Ñффективно фильтровать такой вид ÑпамерÑкой атаки?<br>
Внимательно изучив backscatter ÑÐ¾Ð¾Ð±Ñ‰ÐµÐ½Ð¸Ñ Ñ Ð·Ð°Ð¼ÐµÑ‚Ð¸Ð» что во вÑех пиÑьмах в поле recived в теле пиÑьма (отчёт mailer-daemona атакованного Ñпамером) напротив нашего хоÑта указываетÑÑ Ð½Ðµ наш IP:<br>Received: from [<a href="http://62.221.98.202">62.221.98.202</a>] by <a href="http://host.porcupine.org">host.porcupine.org</a>; Thu, 27 Mar 2008 21:39:52 +0300<br>
#| <br> #не наш IP<br>Может возможно на Ñтом поÑтроить проверку? Какое тогда должно быть регулÑрное выражение?<br clear="all">-- <br>С уважением, Ðндрей Степнов,<br>
админиÑтратор ÑахалинÑкого Ñегмента корпоративной Ñети ДВО Ð ÐÐ