qmail+spamassassin+qmail-scanner, spam z lokalnymi domenami w 'From:'

[fatal 7]

Witam mam następujący problem ze spamem:

 

Posiadam skonfigurowany serwer pocztowy qmail + qmail-1.03-jms1-7.10.patch + spamassassin + clamav + qmail-scanner. Na konta pocztowe przychodzi bardzo dużo spamu o budowie zbliżonej do tej:

 

Return-Path: <talento9@eoriginal.com>
Delivered-To: adres@mojadomena.pl
Received: (qmail 10750 invoked by uid 168); 11 Apr 2012 12:40:40 +0200
X-Qmail-Scanner-Diagnostics: from mail.oikos.com.ua by localhost (envelope-from <talento9@eoriginal.com>, uid 1004) with qmail-scanner-2.10st
(clamdscan: 0.97.3/14770. mhr: 1.0. spamassassin: 3.3.1. perlscan: 2.10st.
Clear:RC:0(217.27.150.70):SA:0(-94.9/5.0):.
Processed in 4.922013 secs); 11 Apr 2012 10:40:40 -0000
X-Spam-Status: No, hits=-94.9 required=5.0
X-Qmail-Scanner-Mail-From: talento9@eoriginal.com via localhost
X-Qmail-Scanner: 2.10st (Clear:RC:0(217.27.150.70):SA:0(-94.9/5.0):. Processed in 4.922013 secs Process 10646)
Received: from mail.oikos.com.ua (217.27.150.70)
by mail.mojadomena.pl with SMTP; 11 Apr 2012 12:40:35 +0200
Received-SPF: unknown (mail.mojadomena.pl: domain at mail01.eoriginal.com does not designate permitted sender hosts)
Date: Wed, 11 Apr 2012 12:40:34 +0200
From: <jklecha@mojadomena.pl>,
<smsskarszewynn@mojadomena.pl>,
<stephan@mojadomena.pl>,
<kyushufetishist@mojadomena.pl>,
<beszstuccdifutplsur@mojadomena.pl>,
<jrwdd@mojadomena.pl>,
<przemek@mojadomena.pl>,
<rikardonn@mojadomena.pl>,
<krzysztofr@mojadomena.pl>,
<goamigo@mojadomena.pl>,
<neuronneuron@mojadomena.pl>,
<mikel@mojadomena.pl>,
<powerfulnibbed@mojadomena.pl>,
<klaifd@mojadomena.pl>,
<sklep@mojadomena.pl>,
<ewy@mojadomena.pl>,
<ricardo@mojadomena.pl>,
<nazwa@mojadomena.pl>,
<produs.recepcja@mojadomena.pl>,
<wirkus.gosia@mojadomena.pl>
To: <jklecha@mojadomena.pl>,
<smsskarszewynn@mojadomena.pl>,
<stephan@mojadomena.pl>,
<kyushufetishist@mojadomena.pl>,
<beszstuccdifutplsur@mojadomena.pl>,
<jrwdd@mojadomena.pl>,
<przemek@mojadomena.pl>,
<rikardonn@mojadomena.pl>,
<krzysztofr@mojadomena.pl>,
<goamigo@mojadomena.pl>,
<neuronneuron@mojadomena.pl>,
<mikel@mojadomena.pl>,
<powerfulnibbed@mojadomena.pl>,
<klaifd@mojadomena.pl>,
<sklep@mojadomena.pl>,
<ewy@mojadomena.pl>,
<ricardo@mojadomena.pl>,
<nazwa@mojadomena.pl>,
<produs.recepcja@mojadomena.pl>,
<wirkus.gosia@mojadomena.pl>
Subject: Zapraszamy Cie w wolnym czasie do dodatkowej pracy za 100 euro na godzine
X-Mailer: gpsyscf
MIME-Version: 1.0
Content-Type: text/html;
charset=windows-1250
Content-Transfer-Encoding: 7bit
Message-ID: <1334140835103310646@localhost>
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-=
2">
<STYLE></STYLE>
</HEAD>
<BODY>
<b>Zagraniczna klinika zaprasza Cię w wo=
Dla tej pracy nie musi=ko zdalny pomocnik.</b><br>
sz posiadać specjalistycznego wykształcenia lub specjalnych umi=
Możesz pracować nawet 1 godzinę =
Wyp=dniowo, a zarabiać minimum 90 euro za godzinę.<br>
Praca polega na pr=a jest od razu w gotówce. <br>
zyjmowaniu od naszych klientów, mieszkających w Twoim mieś=
Nie trzeba nigdzie dzwonić, czy daleko j=
Jesteśmy gotowi udzielić Ci pełnej informa=
<br=na temat tej pracy i podpisać oficjalną umowę.<br>
<b>Będziesz nie tylko zarabiać, lecz również pomaga=
To jest praca socjalnie odpowiedzialna i hu=
W przypadku gdy praca będzie Ci odpowiadać,  b&=
#281;dziesz mógł stopniowo zwiększać ilość =
Twój dochód równie=
W celu rozpatrzenia Twojej kandyd= <br>
Złóż=#322;ożyć wniosek. <br>
=wniosek już teraz i za 3 dni już zaczniesz zarabiać.<br>
1. Jak mamy do Cieb=380;y napisać</b>: <br>
2. W jakim mieście o=Twoje imię) <br>
Wniosek należy przesłać na mój =
e-mail: <b>Chance@jobpilotpl.com</b>,Ja odpowiem Ci osobiście w ci=
Chance S=go dobrego, <br>ch. <br>
avage
</BODY></HTML>

 

jak widać nadawcą jest talento9@eoriginal.com, ale użytkownikom wyświetlają się wpisy z nagłówka 'From:', co sprawia, że spf nic nie daje, a użytkownicy są ogłupienie przez nadawców z mojej domeny.

 

Czy istnieje jakiś sposób walki z tym spamem, oprócz regułek w spamassasinie. Treść często się zmienia więc regułki to rozwiązanie na krótką metę.

 

Pozdrawiam

[Gość Adam Szendzielorz]

Witam mam następujący problem ze spamem:

 

Posiadam skonfigurowany serwer pocztowy qmail + qmail-1.03-jms1-7.10.patch + spamassassin + clamav + qmail-scanner. Na konta pocztowe przychodzi bardzo dużo spamu o budowie zbliżonej do tej:

 

 

A masz skonfigurowany poprawnie rekord SPF dla swojej domeny (tej ktora jest w FROM) ? Bo wyglada, ze chyba nie.

 

EDIT: tak sobie mysle ze to nie to - w koncu qmail sprawdza nadawce z envelope sender. Tylko to mnie dziwi:

 

 

X-Spam-Status: No, hits=-94.9 required=5.0

 

Wyglada jakbys cos whitelistowal, masz prawie -95 punktow. Przy takim ustawieniu to ten spamassassin wszystko przepusci

Edytowano Kwiecień 11, 2012 przez Adam Szendzielorz (zobacz historię edycji)

[fatal 7]

Ta punktacja to przez to, że domeny obsługiwane przez mój serwer są dodane do whitelisty. Myślałem nad określeniem pola 'From:' np. nie mógłby zawierać nowej linii. Masz może pomysł jak zrobić to w regułkach?

 

Dziwi mnie też to, dlaczego spf olewa pole FROM a whitelista nie.

Edytowano Kwiecień 11, 2012 przez osa (zobacz historię edycji)

[Gość Adam Szendzielorz]

Ta punktacja to przez to, że domeny obsługiwane przez mój serwer są dodane do whitelisty. Myślałem

 

To blad - nie mozesz na podstawie pola FROM whitelistowac swoich domen bo jak widzisz to nie ma sensu - spamer zawsze falszuje FROM wiec ogolnie filtrowanie na podstawie tego pola jest pomylka W tej chwili masz tak ze kazdy spamer podajac w polu FROM jedna z Twoich domen - przesle do Twoich uzytkownikow kazdy spam, bo ten adres jest poprostu zwhitelistowany. Traktuj FROM jakby go wogole nie bylo :-)

 

Qmail powinien ustawiac zmienna RELAYCLIENT dla wszystkich autoryzowanych polaczen SMTP - dzieki czemu maile wysylane przez Twoich uzytkownikow nie beda wogole skanowane (chyba to chciales osiagnac?). A reguly dot. whitelistowania domen Twoich uzytkownikow usun.

 

nad określeniem pola 'From:' np. nie mógłby zawierać nowej linii. Masz może pomysł jak zrobić to w regułkach?

 

Dziwi mnie też to, dlaczego spf olewa pole FROM a whitelista nie.

 

Bo SPF sprawdza envelope-from, czyli w tym wypadku adres "talento9@eoriginal.com", a qmail-scanner From z naglowkow (czyli ta cala dluga lista z Twoimi adresami). Co do sprawdzenia czy jest znak nowej linii - wstrzymalbym sie bo mozesz pozbawic sie niechcacy czesci chcianej korespondencji.

[fatal 7]

Ok, w takim razie usunę whitelist_from, i ustawie w tcp.smtp relayclient="1" i to spowoduje, że po pomyślnej autoryzacji wysyłane wiadomości nie będą skanowane. Dobrze rozumiem?

 

Do tego dodam jeszcze sporo reguł zawierających część treści spamu i pouczę SA przez sa-learn.

 

Masz jeszcze jakiś pomysł na szybkie rozwiązanie tego problemu?

[Gość Adam Szendzielorz]

Ok, w takim razie usunę whitelist_from, i ustawie w tcp.smtp relayclient="1" i to spowoduje, że po pomyślnej autoryzacji wysyłane wiadomości nie będą skanowane. Dobrze rozumiem?

 

Do tego dodam jeszcze sporo reguł zawierających część treści spamu i pouczę SA przez sa-learn.

 

Masz jeszcze jakiś pomysł na szybkie rozwiązanie tego problemu?

 

Nie wiem w jaki sposob masz realizowana autoryzacje - ale uwazaj na ustawienia w tcp.smtp zebys nie ustawil wszystkim RELAYCLIENT=1 bo staniesz sie open-relayem i spamerzy wogole beda mieli raj

[fatal 7]

a co myślisz o tym żeby whitelist_from zastąpić whitelist_from_rcvd i zostawić tą whiteliste?