Форум Сайтостроение Администрирование серверов

спам-абуза от хетзнера

12 3
V
На сайте с 05.01.2009
Offline
105
Vanger
7106

Пришло письмо от abuse@hetzner.de

здесь my.ip.add.ress - основной IP сервера

moisait.ru - домен, о спаме на который (или с которого?) идет речь

server-domain.ru - основной домен сервера, ptr-запись my.ip.add.ress на него указывает 


We have received information about spam or abuse from no-reply@abusix.org. Please take all necessary measures to avoid this in the future.

...



----- attachment -----



Return-path: <no-reply@abusix.org>

Envelope-to: abuse@hetzner.de

Delivery-date: Mon, 22 Mar 2010 15:29:38 +0100

Received: from [87.106.134.91] (helo=trap01.abusix.org)

       by lms.your-server.de with esmtp (Exim 4.69)

       (envelope-from <no-reply@abusix.org>)

       id 1NtidH-0004v0-3P

       for abuse@hetzner.de; Mon, 22 Mar 2010 15:29:38 +0100

Received: from localhost ([127.0.0.1] helo=trap01.abusix.org)

       by trap01.abusix.org with esmtp (Exim 4.63)

       (envelope-from <no-reply@abusix.org>)

       id 1Ntic4-0001Uk-Q5

       for abuse@hetzner.de; Mon, 22 Mar 2010 14:28:16 +0000

From: no-reply@abusix.org

Sender: no-reply@abusix.org

Reply-To: no-reply@abusix.org

To: abuse@hetzner.de

Subject: Spamtraphit by my.ip.add.ress 2010-03-22 14:28:16 +0000 [noreply]

Auto-Submitted: auto-generated

Content-Type: multipart/report; boundary="1269268096.21Af104.2466";

 report-type="feedback-report"

Content-Transfer-Encoding: 8bit

Message-Id: <mailbox-2466-1269268096-790763@trap01.abusix.org>

Date: Mon, 22 Mar 2010 14:28:16 +0000

MIME-Version: 1.0

X-Virus-Scanned: Clear (ClamAV 0.95.3/10607/Mon Mar 22 14:43:46 2010)

X-Spam-Score: -0.4 (/)

Delivered-To: he1-abuse@hetzner.de







--1269268096.21Af104.2466

MIME-Version: 1.0

Content-Type: text/plain



Hello,



this is an autogenerated abuse complaint regarding your network.



abusix.org will return every single spamtrap hit as well as any other

abusive behavior to the responsible Network Operator or Abuse Desk.



PLEASE SEE ATTACHMENT FOR MORE SPECIFIC INFORMATION REGARDING THIS INCIDENT!

Report format is ARF (Abuse Reporting Format).



Further information can be found here:

http://www.ietf.org/rfc/rfc3462.txt

http://tools.ietf.org/id/draft-ietf-marf-base-00.txt



Need help parsing ARF?

http://rubyforge.org/projects/arfparser/

http://search.cpan.org/perldoc?Email::ARF



Information about this project can be found at http://www.abusix.org

Any questions left? Feel free to contact us directly by email: info [at] abusix.org



Thank you for your cooperation,



Your Abusix-Team



--1269268096.21Af104.2466

MIME-Version: 1.0

Content-Type: message/feedback-report



Feedback-Type: abuse

User-Agent: abusix-qp-0.01

Source-IP: my.ip.add.ress

Received-Date: Mon, 22 Mar 2010 14:28:16 GMT

Version: 0.1



--1269268096.21Af104.2466

MIME-Version: 1.0

Content-Type: message/rfc822



Received: from server-domain.ru (HELO server-domain.ru) (my.ip.add.ress)

   by slingshot01.abusix.org (qpsmtpd/0.83/v0.83-gd77244e) with ESMTP; Mon, 22 Mar 2010 14:28:16 +0000

Received: from Debian-exim by server-domain.ru with local (Exim 4.69)

       id 1Ntinh-0003Zq-CS

       for xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx; Mon, 22 Mar 2010 17:40:17 +0300

X-Failed-Recipients: krasnov@moisait.ru,

 krasnova@moisait.ru,

 kravchenko@moisait.ru,

 kredit@moisait.ru,

 kristina@moisait.ru,

 kro@moisait.ru,

 krylov@moisait.ru,

 krylova@moisait.ru,

 ksa@moisait.ru,

 ksenia@moisait.ru

Auto-Submitted: auto-replied

From: Mail Delivery System <Mailer-Daemon@server-domain.ru>

To: xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx

Subject: Mail delivery failed: returning message to sender

Message-Id: <E1Ntinh-0003Zq-CS@server-domain.ru>

Date: Mon, 22 Mar 2010 17:40:17 +0300



This message was created automatically by mail delivery software.



A message that you sent could not be delivered to one or more of its

recipients. This is a permanent error. The following address(es) failed:



 krasnov@moisait.ru

   Unknown user

 krasnova@moisait.ru

   Unknown user

 kravchenko@moisait.ru

   Unknown user

 kredit@moisait.ru

   Unknown user

 kristina@moisait.ru

   Unknown user

 kro@moisait.ru

   Unknown user

 krylov@moisait.ru

   Unknown user

 krylova@moisait.ru

   Unknown user

 ksa@moisait.ru

   Unknown user

 ksenia@moisait.ru

   Unknown user



------ This is a copy of the message, including all the headers. ------



Return-path: <xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx>

Received: from localhost ([127.0.0.1] helo=server-domain.ru)

       by server-domain.ru with esmtp (Exim 4.69)

       (envelope-from <xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx>)

       id 1Ntinh-0003Zm-7r; Mon, 22 Mar 2010 17:40:17 +0300

Received: from server-domain.ru ()

       by  (Spamooborona SMTP proxy); Mon, 22 Mar 2010 17:40:17 +0300 (MSK)

Received: from [218.48.212.25] (helo=AWSTXIZQ)

       by server-domain.ru with esmtp (Exim 4.69)

       (envelope-from <xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx>)

       id 1Nting-0003XR-6q; Mon, 22 Mar 2010 17:40:17 +0300

Received: from 218.48.212.25 by mail.xxxxxxxxxxxxx.xxx; Mon, 22 Mar 2010 23:26:58 +0900

Message-ID: <000d01cac9cb$bb329980$6400a8c0@xxxxxx.xxxxxxxxx>

From: =?koi8-r?B?79DUyc3J2sHDydEgzcHSy8XUyc7Hz9fZyCDSwdPIz8TP1w==?= <xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx>

To: <krasnov@moisait.ru>

Subject: =?koi8-r?B?7cXIwc7J2s0g0NLPx9LBzc3ZIMzP0czYzs/T1Mk=?=

Date: Mon, 22 Mar 2010 23:26:58 +0900

MIME-Version: 1.0

Content-Type: text/plain;

       format=flowed;

       charset="koi8-r";

       reply-type=original

Content-Transfer-Encoding: 8bit

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2180

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180



Программы лояльности инструмент управления отношениями с клиентами и способ оптимизации маркетинговых расходов

....

//ну и дальше спамное письмо

для moisait.ru создан почтовый домен, но нет ни одного почтового ящика

т.е. письма валятся в никуда

как работает почта:

входящая:

Интернет -> Spamooborona 1024 -> Exim на сервере

исходящая:

dovecot на сервере -> Интернет

стандартный конфиг, устанавливаемый ispmanager'ом, только к exim'у еще спамооборона добавлена

с начала месяца вообще почтового трафика довольно много. больше 20 гб и на вход, и на выход (письма спамообороной фильтруются на серверах яндекса, поэтому как я понимаю вход и выход почти равнозначны), большинство трафика - входящий спам

за последние пару дней больше 3 гб

ВОПРОСЫ

1. как думаете, о чем в абузе речь? :)

о том, что много спама валилось на домены?

2. как abusix.org этот определил, что спам валился ко мне? он же не сидит на моих серверах

спасибо за внимание к такому длинному сообщениею :)

Hosterbox.ru - хостинг, серверы и cloud (http://hosterbox.ru)
V
На сайте с 25.07.2006
Offline
128
vapetrov
#1

Спамеры рассылали спам юзерам вашего сервера от левого имени xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx.

Проблема в том, что ваш exim отправлял отчет о недоставке сообщений ни в чем не повинному "отправителю" xxxxxx.xxxxxxxxx@xxxxxxxxxxxxx.xxx.

При этом в теле отчета еще и полностью цитировал исходное спам-сообщение.

Приватный linux-администратор
Facebook атаковал вирус, рассылающий Не платил налоги к Падает трафик сайта. Медленно,
V
На сайте с 05.01.2009
Offline
105
Vanger
#2

спасибо за мысль :)

сегодня попробую настроить фильтрацию таких ответов

V
На сайте с 05.01.2009
Offline
105
Vanger
#3

проблему пока решил за счет отключения ответа сервера при получении писем на несуществующие ящики

в ispmanager'е, в свойствах "почтовых доменов" поставил "действие по умолчанию" (которое срабатывает, если письмо приходит на несуществующий мыльник) не "Reply error", как было, а "Ignore and drop"

в будущем наверное подумаю насчет более сильной фильтрации, чтобы письма от несуществующих адресов просто не принимались

P
На сайте с 08.03.2007
Offline
250
Pilat
#4
Vanger:
в будущем наверное подумаю насчет более сильной фильтрации, чтобы письма от несуществующих адресов просто не принимались

Интересно, как проверить адрес существующий или нет...

Блог (http://www.pilat66.ru/)
M
На сайте с 16.09.2009
Offline
278
myhand
#5
Pilat:
Интересно, как проверить адрес существующий или нет...

http://en.wikipedia.org/wiki/Callback_verification

не?

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
P
На сайте с 08.03.2007
Offline
250
Pilat
#6
myhand:
http://en.wikipedia.org/wiki/Callback_verification

не?

Не. Объяснять почему надо?

M
На сайте с 16.09.2009
Offline
278
myhand
#7
Pilat:
Не. Объяснять почему надо?

Отчего же нет - объясните, если не затруднит.

V
На сайте с 05.01.2009
Offline
105
Vanger
#8

м, для начала можно еще не цитировать письма спамеров в ответе сервера об ошибке

цитировать только тему сообщения

P
На сайте с 08.03.2007
Offline
250
Pilat
#9
myhand:
Отчего же нет - объясните, если не затруднит.

Подробное объяснение есть на той странице, которая процитирована. Простое объяснение - промежуточный mail exchanger, например, вообще не знает ничего о пользователях обслуживаемых доменов, и отвечает либо всегда Да, либо всегда Нет. Некоторые сервера и файрволы (например с SMTP PROXY) настроены на запрет приёма писем с неизвестных адресов и мест - например у нас, по вполне объективным причинам, и не сообщают ничего о внутренней структуре реального почтового сервера.

Вообще этот метод - проверка существования почтовых адресов - в своё время был одним из методов проверки существования аккаунта на юникс-сервере для последующего подбора пароля, поэтому отвечать есть адрес или нет многие и не торопятся. А часто и не могут правильно ответить, как я выше писал, потому что не знают сами.

Яндекс.Почта для кириллических доменов Увелечение Спама в последний Google рассказал, как 500
M
На сайте с 16.09.2009
Offline
278
myhand
#10

Pilat, а Вы видели антиспам-решение без недостатков? Сам я не использовал его - но судя по логам почтовых серверов - кое-кто использует. Может не так все плохо в реальности?

Отмечу, что "когда не могут ответить" - часто приводит к гораздо худшим проблемам, чем "сокрытие информации" таким образом (настройте таймауты и никто таким образом базу данных адресов собирать в здравом уме не станет). Тогда они принимают письма на несуществующие адреса и мы получаем спам в баунсах - либо письма в дальнейшем просто дропаются (нарушение RFC, насколько я понимаю).

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий