Hello, l...@lena.kiev.ua! On Tue, Nov 27, 2012 at 12:18:51PM +0200 l...@lena.kiev.ua wrote about "Re: [Exim-users] spam from smtp05.smtpout.orange.fr": > > В последнее время заваливает спам с smtp05.smtpout.orange.fr и > > подобных релеев. > > Хм, а меня не очень. smtp*orange.fr вообще не нашлось, > .orange.fr за последние 2 года только: > > 2011-09-18 20:43:22 +0300 1R5LOk-0007en-3K H=out03.smtpout.orange.fr > (out.smtpout.orange.fr) [193.252.22.212] I=[82.146.52.81]:25 > F=<ad...@aoci.fr> rejected after DATA: Blocked as Korean spam > 2012-10-24 15:39:36 +0300 1TR0FD-0005cl-OY <= caroly...@sbcglobal.net > H=out04.smtpout.orange.fr (out.smtpout.orange.fr) [193.252.22.213] > I=[82.146.52.81]:25 P=esmtp S=18290 id=B7E243F7D826488B932A2E41E50A8C2B@tlda > 2012-10-24 16:51:04 +0300 1TR1MO-0009qT-FB H=out05.smtpout.orange.fr > (out.smtpout.orange.fr) [193.252.22.214] I=[82.146.52.81]:25 > F=<daisylove...@sbcglobal.net> rejected during MIME ACL checks: You must set > up your mail client to send plain text, no HTML, no attachments: > http://www.expita.com/nomime.html > 2012-11-02 15:13:58 +0200 1TUH4P-000OBB-PC H=out03.smtpout.orange.fr > (out.smtpout.orange.fr) [193.252.22.212] I=[82.146.52.81]:25 > F=<binh...@earthlink.net> rejected during MIME ACL checks: You must set up > your mail client to send plain text, no HTML, no attachments: > http://www.expita.com/nomime.html > > У меня когда-то был ^smtp\d\w*\.orange\.fr$ в локальном черном списке, > но уже несколько лет как массовый спам от них прекратился, и я убрала. > > Приведите, пожалуйста, пару примеров (заголовки).
Привел пару примеров заголовков, своих получателей я скрыл, а поддельные заголовки From/To/Reply-to оставил как есть. Также привел часть тела письма. Первый: : : Return-path: <horn...@tdcadsl.dk> : Envelope-to: z@z : Delivery-date: Tue, 27 Nov 2012 11:55:22 +0400 : Received: from smtp06.smtpout.orange.fr ([80.12.242.128]:54348 helo=smtp.smtpout.orange.fr) : by m.cemu.ru with esmtp (Exim) : (envelope-from <horn...@tdcadsl.dk>) : id 1TdG0o-000OKI-E2 : for z@z; Tue, 27 Nov 2012 11:55:22 +0400 : Received: from Unknown ([37.11.218.218]) : by mwinf5d63 with ME : id UXuy1k00c4jJizp03Xv3xE; Tue, 27 Nov 2012 08:55:12 +0100 : Message-ID: <35AE1068904A449AB3812217B1E3B236@famvm> : Reply-To: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <eustice1...@ngs.ru> : From: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <horn...@tdcadsl.dk> : To: =?windows-1251?B?weXg8uAg0uDw4PHu4u3g?= <h...@netzero.com> : Subject: =?windows-1251?B?0OX45e3o/yDr/uH79SDi7u/w7vHu4iDiIO3g?= : =?windows-1251?B?6+7j7uL79SDu8OPg7eD1Lg==?= : Date: Tue, 27 Nov 2012 13:52:12 +0600 : MIME-Version: 1.0 : Content-Type: multipart/alternative; : boundary="----=_NextPart_000_04F7_01CDCCA6.66BCD060" : X-Priority: 3 : X-MSMail-Priority: Normal : X-Mailer: Microsoft Outlook Express 6.00.2900.5931 : X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6109 : : This is a multi-part message in MIME format. : : ------=_NextPart_000_04F7_01CDCCA6.66BCD060 : Content-Type: text/plain; : charset="windows-1251" : Content-Transfer-Encoding: quoted-printable : : =20 : O =D1=EE=E7=E4=E0=ED=E8=E5 =E8 =EA=EE=ED=F1=F3=EB=FC=F2=E0=F2=E8=E2=ED=EE= : =E5 =E2=E5=E4=E5=ED=E8=E5 =EE=F0=E3=E0=ED=E8=E7=E0=F6=E8=E9.=20 : O =C1=F3=F5=E3=E0=EB=F2=E5=F0=F1=EA=E8=E9 =E8 =ED=E0=EB=EE=E3=EE=E2=FB=E9= : =F3=F7=E5=F2.=20 : O =CF=F0=EE=F2=E5=EA=F6=E8=FF (=EF=F0=E5=E4=F1=F2=E0=E2=EB=E5=ED=E8=E5 =E8= : =ED=F2=E5=F0=E5=F1=EE=E2) =E2=EE =E2=F1=E5=F5 =ED=E0=EB=EE=E3=EE=E2=FB=F5= : =EE=F0=E3=E0=ED=E0=F5 =E3. =CC=EE=F1=EA=E2=FB.=20 : O =CC=E8=ED=E8=EC=E8=E7=E0=F6=E8=FF =ED=E0=EB=EE=E3=EE=EE=E1=EB=EE=E6=E5= : =ED=E8=FF.=20 : O =D0=E0=E7=F0=E0=E1=EE=F2=EA=E0 =E1=E8=E7=ED=E5=F1-=EF=EB=E0=ED=EE=E2 =E8= : =F4=E8=ED=E0=ED=F1=EE=E2=FB=F5 =F1=F5=E5=EC.=20 : O =CA=EE=ED=F1=F3=EB=FC=F2=E0=F6=E8=FF =EF=EE =ED=E0=EB=EE=E3=E0=EC, =EF= : =EE=E4=E3=EE=F2=EE=E2=EA=E0 =E4=EE=EA=F3=EC=E5=ED=F2=E0=F6=E8=E8 =EA =EF=F0= : =EE=E2=E5=F0=EA=E5, =EE=F6=E5=ED=EA=E0 =ED=E0=EB=EE=E3=EE=E2=FB=F5 =F0=E8= : =F1=EA=EE=E2, =E2=FB=FF=E2=EB=E5=ED=E8=E5 =EF=F0=EE=F6=E5=F1=F1=F3=E0=EB=FC= : =ED=FB=F5 =ED=E0=F0=F3=F8=E5=ED=E8=E9, =EF=EE=E4=E3=EE=F2=EE=E2=EA=E0 =E2= : =EE=E7=F0=E0=E6=E5=ED=E8=FF =ED=E0 =E0=EA=F2 =ED=E0=EB=EE=E3=EE=E2=EE=E9 = : =EF=F0=EE=E2=E5=F0=EA=E8, =EE=F6=E5=ED=EA=E0 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2= : =EE=E1=E6=E0=EB=EE=E2=E0=ED=E8=FF =F0=E5=F8=E5=ED=E8=FF =ED=E0=EB=EE=E3=EE= : =E2=EE=E3=EE =EE=F0=E3=E0=ED=E0, =EF=EE=E4=E3=EE=F2=EE=E2=EA=E0 =E0=EF=E5= : =EB=EB=FF=F6=E8=EE=ED=ED=EE=E9 =E6=E0=EB=EE=E1=FB =E2 =F3=EF=F0=E0=E2=EB=E5= : =ED=E8=E5. : : : =C3=E8=ED=E4=E5=F0 =C8=E3=EE=F0=FC =C8=EE=F1=E8=F4=EE=E2=E8=F7 8 (910) 40= : 2-21-81 : E-mail: igin...@mail.ru;=20 : =20 второй: : Return-path: <di...@bellsouth.net> : Envelope-to: x@x : Delivery-date: Tue, 27 Nov 2012 11:57:19 +0400 : Received: from smtp01.smtpout.orange.fr ([80.12.242.123]:52521 helo=smtp.smtpout.orange.fr) : by m.cemu.ru with esmtp (Exim) : (envelope-from <di...@bellsouth.net>) : id 1TdG2h-000OOW-B0 : for x@x; Tue, 27 Nov 2012 11:57:19 +0400 : Received: from Unknown ([46.214.171.8]) : by mwinf5d48 with ME : id UXwz1k0040BDWta03Xx1L7; Tue, 27 Nov 2012 08:57:12 +0100 : Message-ID: <E36BC512BE12414393B0901C458286DA@bnwrq> : Reply-To: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <eustice1...@ngs.ru> : From: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <di...@bellsouth.net> : To: =?windows-1251?B?y/7k7Ojr4A==?= <flem...@bellsouth.net> : Subject: =?windows-1251?B?0OX45e3o/yDr/uH79SDi7u/w7vHu4iDiIO3g?= : =?windows-1251?B?6+7j7uL79SDu8OPg7eD1Lg==?= : Date: Tue, 27 Nov 2012 13:53:23 +0600 : MIME-Version: 1.0 : Content-Type: multipart/alternative; : boundary="----=_NextPart_000_0F73_01CDCCA6.9125E670" : X-Priority: 3 : X-MSMail-Priority: Normal : X-Mailer: Microsoft Windows Live Mail 14.0.8117.416 : X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416 : : This is a multi-part message in MIME format. : : ------=_NextPart_000_0F73_01CDCCA6.9125E670 : Content-Type: text/plain; : charset="windows-1251" : Content-Transfer-Encoding: quoted-printable : : =20 : O =D1=EE=E7=E4=E0=ED=E8=E5 =E8 =EA=EE=ED=F1=F3=EB=FC=F2=E0=F2=E8=E2=ED=EE= : =E5 =E2=E5=E4=E5=ED=E8=E5 =EE=F0=E3=E0=ED=E8=E7=E0=F6=E8=E9.=20 : O =C1=F3=F5=E3=E0=EB=F2=E5=F0=F1=EA=E8=E9 =E8 =ED=E0=EB=EE=E3=EE=E2=FB=E9= : =F3=F7=E5=F2.=20 : O =CF=F0=EE=F2=E5=EA=F6=E8=FF (=EF=F0=E5=E4=F1=F2=E0=E2=EB=E5=ED=E8=E5 =E8= : =ED=F2=E5=F0=E5=F1=EE=E2) =E2=EE =E2=F1=E5=F5 =ED=E0=EB=EE=E3=EE=E2=FB=F5= : =EE=F0=E3=E0=ED=E0=F5 =E3. =CC=EE=F1=EA=E2=FB.=20 : O =CC=E8=ED=E8=EC=E8=E7=E0=F6=E8=FF =ED=E0=EB=EE=E3=EE=EE=E1=EB=EE=E6=E5= : =ED=E8=FF.=20 : O =D0=E0=E7=F0=E0=E1=EE=F2=EA=E0 =E1=E8=E7=ED=E5=F1-=EF=EB=E0=ED=EE=E2 =E8= : =F4=E8=ED=E0=ED=F1=EE=E2=FB=F5 =F1=F5=E5=EC.=20 : O =CA=EE=ED=F1=F3=EB=FC=F2=E0=F6=E8=FF =EF=EE =ED=E0=EB=EE=E3=E0=EC, =EF= : =EE=E4=E3=EE=F2=EE=E2=EA=E0 =E4=EE=EA=F3=EC=E5=ED=F2=E0=F6=E8=E8 =EA =EF=F0= : =EE=E2=E5=F0=EA=E5, =EE=F6=E5=ED=EA=E0 =ED=E0=EB=EE=E3=EE=E2=FB=F5 =F0=E8= : =F1=EA=EE=E2, =E2=FB=FF=E2=EB=E5=ED=E8=E5 =EF=F0=EE=F6=E5=F1=F1=F3=E0=EB=FC= : =ED=FB=F5 =ED=E0=F0=F3=F8=E5=ED=E8=E9, =EF=EE=E4=E3=EE=F2=EE=E2=EA=E0 =E2= : =EE=E7=F0=E0=E6=E5=ED=E8=FF =ED=E0 =E0=EA=F2 =ED=E0=EB=EE=E3=EE=E2=EE=E9 = : =EF=F0=EE=E2=E5=F0=EA=E8, =EE=F6=E5=ED=EA=E0 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2= : =EE=E1=E6=E0=EB=EE=E2=E0=ED=E8=FF =F0=E5=F8=E5=ED=E8=FF =ED=E0=EB=EE=E3=EE= : =E2=EE=E3=EE =EE=F0=E3=E0=ED=E0, =EF=EE=E4=E3=EE=F2=EE=E2=EA=E0 =E0=EF=E5= : =EB=EB=FF=F6=E8=EE=ED=ED=EE=E9 =E6=E0=EB=EE=E1=FB =E2 =F3=EF=F0=E0=E2=EB=E5= : =ED=E8=E5. : : : =C3=E8=ED=E4=E5=F0 =C8=E3=EE=F0=FC =C8=EE=F1=E8=F4=EE=E2=E8=F7 8 (910) 40= : 2-21-81 : E-mail: igin...@mail.ru;=20 : =20 > Вообще спам с релеев - это сейчас в основном compromised accnunts, > т.е. спамер покупает у специализирующихся на этом преступников > краденые пароли вместе с username, hostname релея и номером порта. > Часть паролей выманивают у лузеров фишингом, но, как мне кажется, > основную часть паролей крадут виндозные трояны, и еще я слышала, что > появился новый класс malware: не устанавливает себя в винде жертвы, > а только крадет пароли и удаляет себя, антивирусы не замечают. > Спамом распространяют ссылки (URL), перенаправляющие на специальные сайты, > ищущие уязвимости в браузерах и их плагинах: flash, .pdf reader, java. > Лично мне не приходилось с таким сталкиваться, т.к. использую > не винду (FreeBSD) не только на сервере. > > Бороться со спамом через релеи с compromised accounts > на принимающей стороне трудно. Поэтому я пропагандирую Тут еще очень интересно получается, разные заголовки забивают, а *smtpout.orange.fr жуют эту фигню и им пофиг. Может их в вечный defer на стадии rcpt to всунуть? :) И раскрывать доступ по жалобе клиента для соответствующих sndr/rcpt ? И пусть smtpout.orange.fr сами с этой спам-очередью и долбутся?.. Да только врядли я один как-то могу повлиять на них. :( > автоматическое блокирование compromised accounts на стороне релеев: > http://mailground.net/pipermail/exim-users/2012-August/000793.html > (по-русски) > http://lists.exim.org/lurker/message/20121117.144211.c96f81fc.en.html > (по-английски) да видел, вот бы французы бы думать начали... > На принимающей стороне пытаюсь бороться, но успех неполный. > См. абзацы с "stolen password" в > http://lena.kiev.ua/Lena-eximconf-run.txt -- Lystopad Aleksandr _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
