И ещё один нашёлся - 78.153.151.208.
То есть можно как-то так.
deny condition = ${if match{$bh_Received:}{\N\(unknown
\[(81\.177\.26\.121|78\.153\.151\.208)\]\)\N}}
message= Spammers network detected
Max Kostikov писал 2016-11-24 22:31:
Там всё ещё прекраснее.
Спасибо, это, вроятно, имеет смысл.
George L. Yermulnik писал 2016-11-24 23:44:
Просто мысли в слух: ещё работая в ISP, привык в сообщениях smtp-сессии
давать пространственные ответы, без намёков на истинную причину отлупа.
А вот в сам лог (log_message) писать что-то конкретное, чтобы сразу
Hello!
On Thu, 24 Nov 2016 at 22:52:19 (+0200), Max Kostikov wrote:
> message= Spammers network detected
Просто мысли в слух: ещё работая в ISP, привык в сообщениях smtp-сессии
давать пространственные ответы, без намёков на истинную причину отлупа.
А вот в сам лог
Здравствуйте, Max.
Вы писали 25 ноября 2016 г., 4:31:18:
> Там всё ещё прекраснее.
> Отправитель там изначальный с одного хоста идёт - 81.177.26.121
> Сразу все домены, надо сказать грамотно с точки зрения почтовой системы
> настроенные, будут видны как на ладони.
> То есть задача решается
> привык в сообщениях smtp-сессии
> давать пространственные ответы, без намёков на истинную причину отлупа.
> А вот в сам лог (log_message) писать что-то конкретное, чтобы сразу было
> понятно, какой acl и по какой причине сработал.
Не говорить конкретно имеет смысл только в случае нигерийских
Да-да. Эта милая компания.
У меня с двух мною упомянутых IP за неделю получено ~60% всего спама.
Отправлено с моего смартфона BlackBerry 10 по сети TELE2
Исходное сообщение
От: Alexander Titaev
Отправлено: пятница, 25 ноября 2016 г., 7:53
Кому: Exim MTA на русском
Ответить: Exim MTA на
Ой, ошибся в \N. Вот так.
deny condition = ${if match{$bh_Received:}{from
$sender_helo_name \N\(unknown \[([0-9]{1,3}\.){3}[0-9]{1,3}\]\)\N}}
message= Spammers network detected
Alexander Titaev писал 2016-11-25 09:36:
Здравствуйте, Max.
Вы писали 25 ноября 2016 г.,
Надо ещё понаблюдать, но как я заметил у них пока from первого Recieved
однозначно совпадает с HELO сервера при коннекте.
Остальные письма из моей ловушки с аналогичным заголовком Postfix
(нашлось несколько) такой особенностью не отличаются.
Поэтому пока попробую ограничиться своей однострочной
Здравствуйте, Lena.
Вы писали 25 ноября 2016 г., 14:10:15:
>> 1) этот Receivied фэйковый
> А можно пример заголовка одного спама полностью?
From ycpe...@lookingers.eu Fri Nov 25 11:57:17 2016
Return-path:
Delivery-date: Fri, 25 Nov 2016 11:57:17 +0800
Received: from
Здравствуйте, Alexander.
Вы писали 25 ноября 2016 г., 15:36:01:
> Здравствуйте, Max.
> Вы писали 25 ноября 2016 г., 15:32:31:
>> Тогда можно как-то так.
>>deny condition = ${if match{$bh_Received:}{\Nfrom
>> $sender_helo_name \(unknown \[([0-9]{1,3}\.){3}[0-9]{1,3}\]\)\N}}
>>
Тогда можно как-то так.
deny condition = ${if match{$bh_Received:}{\Nfrom
$sender_helo_name \(unknown \[([0-9]{1,3}\.){3}[0-9]{1,3}\]\)\N}}
message= Spammers network detected
Главное, чтобы "хорошие" при этом не рубились.
Alexander Titaev писал 2016-11-25 07:50:
Попутно - в каком acl правило стоит
$bh_Received: появляется только в acl_data
On Wed, Nov 23, 2016 at 06:48:42PM +0800, Alexander Titaev wrote:
Alexander> Здравствуйте, Exim.
Alexander>
Alexander> Received: from cooperhant.ru (unknown [81.177.26.121])
Alexander> by cooperhant.ru (Postfix)
Здравствуйте, Oleksandr.
Вы писали 24 ноября 2016 г., 21:10:32:
> Попутно - в каком acl правило стоит
> $bh_Received: появляется только в acl_data
ну это понятно
--
С уважением,
Alexander mailto:t...@irk.ru
___
Exim-users
13 matches
Mail list logo