Спам доходит вне зависимости от iptables

M2
На сайте с 11.01.2011
Offline
320
336

Как-то уже поднимал такой вопрос, внятного ответа не получил... Давайте ещё раз...

1. Пришел спам.

2. Из заголовков письма идентфицировал адрес SMTP, с которого было послано: 2a01:111:f400:febd::819 (да, IPv6)

3.


root@SAFEHOSTNAME:~# whois 2a01:111:f400:febd::819
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '2a01:110::/31'

% Abuse contact for '2a01:110::/31' is 'abuse@microsoft.com'

inet6num: 2a01:110::/31

4. Ок, не проблема...


root@SAFEHOSTNAME:~# ipset -L spammers_ipv6
Name: spammers_ipv6
Type: hash:net
Revision: 6
Header: family inet6 hashsize 1024 maxelem 65536
Size in memory: 1240
References: 1
Number of entries: 1
Members:
2a01:110::/31

Всё это добавлено в ip6tables.

Файрволл включен, основная политика DROP.

Сегодня приходит еще одно письмо с того же IP-адреса.

Спуфинг? Или что? Как такое может быть?

Для неверующих скажу: между двумя письмами прошел большой период времени. Т.е. ситуация, когда пришло первое письмо, а пока я добавлял и применял правила пришло второе письмо, в принципе невозможно. Ко времени прихода второго письма правила уже действовали.

P.S. Я сильно подозреваю, что и первое письмо пришло не с того адреса, который указан в заголовках... но как тогда настоящий адрес отследить?

------------------- Крутые VPS и дедики. Качество по разумной цене (http://cp.inferno.name/view.php?product=1212&gid=1) VPS25OFF - скидка 25% на первый платеж по ссылке выше
suffix
На сайте с 26.08.2010
Offline
256
#1
mark2011:
Я сильно подозреваю, что и первое письмо пришло не с того адреса, который указан в заголовках...

Согласен с подозрениями - спам с ip Microsoft как то маловероятен.

mark2011:
как тогда настоящий адрес отследить?

Попробовать настроить расширенное логирование в почтовом сервере.

P.S.

А почему сразу в iptables запрет решили поставить ? Почему ip не запретить в почтовом сервере ?

Клуб любителей хрюш (https://www.babai.ru)
WapGraf
На сайте с 30.09.2009
Offline
451
#2

Логи почтовика смотрите.

EuroHoster.org ( https://eurohoster.org/link.php?id=42 ) - территория быстрых серверов. Intel Xeon E-2278G (8 ядер, 16 потоков, 3.40 GHz, 5.00GHz Turbo) Поддержим ваш бизнес - 40% скидка на VPS ( https://eurohoster.org/index.php?rp=/announcements/321/Поддержим-ваш-бизнес.html )
M2
На сайте с 11.01.2011
Offline
320
#3
WapGraf:
Логи почтовика смотрите.

А что в логах? Что-то особенное может быть? Отличающееся от того, что в заголовках письма? Я что-то подозреваю, что если IP подделан, то настоящий IP не будет светиться в логах.

---------- Добавлено 21.04.2020 в 07:19 ----------

Я кажется допёр....

Письмо пришло с резервного почтовика (да, и такой держим). Т.е. изначально письмо было принято резервным почтовиком и уже с него ушло на основной, где и свалилось в почтовый ящик. На резервном нифига ничего не настроено, а IP резервного на основном, конечно же, нигде не блокирован. Теперь понятно, что до правил в ip6tables просто дело не доходило - письмо на резервном не блокировалось.

WapGraf:
Логи почтовика смотрите.

Беру свои предыдущие слова обратно, за наводку - огромное спасибо!

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий