> From: Lystopad Aleksandr <[email protected]> > своих получателей я скрыл
А, сервер получателя *.ru, теперь понятно. Содержание спама рассчитано на россиян, поэтому мне (.ua) такого спама не шлют. > : Received: from smtp06.smtpout.orange.fr ([80.12.242.128]:54348 > helo=smtp.smtpout.orange.fr) > : by m.cemu.ru with esmtp (Exim) > : (envelope-from <[email protected]>) > : id 1TdG0o-000OKI-E2 > : for z@z; Tue, 27 Nov 2012 11:55:22 +0400 > : Received: from Unknown ([37.11.218.218]) > : by mwinf5d63 with ME > : id UXuy1k00c4jJizp03Xv3xE; Tue, 27 Nov 2012 08:55:12 +0100 > : Message-ID: <35AE1068904A449AB3812217B1E3B236@famvm> > : Reply-To: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <[email protected]> > : From: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <[email protected]> > : To: =?windows-1251?B?weXg8uAg0uDw4PHu4u3g?= <[email protected]> > : Subject: =?windows-1251?B?0OX45e3o/yDr/uH79SDi7u/w7vHu4iDiIO3g?= > : =?windows-1251?B?6+7j7uL79SDu8OPg7eD1Lg==?= > : Date: Tue, 27 Nov 2012 13:52:12 +0600 > : MIME-Version: 1.0 > : Content-Type: multipart/alternative; > : boundary="----=_NextPart_000_04F7_01CDCCA6.66BCD060" > : X-Priority: 3 > : X-MSMail-Priority: Normal > : X-Mailer: Microsoft Outlook Express 6.00.2900.5931 > : X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6109 > : Received: from smtp01.smtpout.orange.fr ([80.12.242.123]:52521 > helo=smtp.smtpout.orange.fr) > : by m.cemu.ru with esmtp (Exim) > : (envelope-from <[email protected]>) > : id 1TdG2h-000OOW-B0 > : for x@x; Tue, 27 Nov 2012 11:57:19 +0400 > : Received: from Unknown ([46.214.171.8]) > : by mwinf5d48 with ME > : id UXwz1k0040BDWta03Xx1L7; Tue, 27 Nov 2012 08:57:12 +0100 > : Message-ID: <E36BC512BE12414393B0901C458286DA@bnwrq> > : Reply-To: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <[email protected]> > : From: =?windows-1251?B?yOPu8PwgyO7x6PTu4uj3?= <[email protected]> > : To: =?windows-1251?B?y/7k7Ojr4A==?= <[email protected]> > : Subject: =?windows-1251?B?0OX45e3o/yDr/uH79SDi7u/w7vHu4iDiIO3g?= > : =?windows-1251?B?6+7j7uL79SDu8OPg7eD1Lg==?= > : Date: Tue, 27 Nov 2012 13:53:23 +0600 > : MIME-Version: 1.0 > : Content-Type: multipart/alternative; > : boundary="----=_NextPart_000_0F73_01CDCCA6.9125E670" > : X-Priority: 3 > : X-MSMail-Priority: Normal > : X-Mailer: Microsoft Windows Live Mail 14.0.8117.416 > : X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416 Если весь этот спам точно такой, то я бы фильтровала (в acl_check_data) примерно так: deny message = rejected because recognized as sent by Russian spambot via \ a relay authenticated with a stolen password (type 7) condition = ${if match{$bheader_Message-ID:}\ {\N$<[\dA-F]{32}@[a-z]{5}>^\N}} condition = ${if def:header_Reply-To:} condition = ${if def:header_To:} condition = ${if def:header_X-MimeOLE:} condition = ${if !def:header_Cc:} condition = ${if !def:header_List-Unsubscribe:} condition = ${if !match{${addresses:>, ${rheader_To:}}{,}} # только один адрес в To condition = ${if !forany{<, $recipients}\ {eqi{$item}{${address:${rheader_To:}}}}} condition = ${if !eqi{${address:${rheader_Reply-To:}}}\ {$sender_address}} condition = ${if !eqi{${address:${rheader_Reply-To:}}}\ {${address:${rheader_To:}}}} > Тут еще очень интересно получается, разные заголовки забивают, а > *smtpout.orange.fr жуют эту фигню и им пофиг. Спамер авторизуется - командует спамботу (в винде лузера в случайной стране) дать релею (украденный у другого лузера) пароль честного пользователя этого релея. Если бы релей был Exim, то это было бы видно по букве "a" в "with esmtpa" (не в верхнем Received, а ниже). orange.fr используют не Exim, а какой-то "ME" (mail exchanger?). Авторизованные пользователи имеют право давать любые строки заголовка. > Может их в вечный > defer на стадии rcpt to всунуть? :) И раскрывать доступ по жалобе клиента > для соответствующих sndr/rcpt ? И пусть > smtpout.orange.fr сами с этой спам-очередью и долбутся?.. Да только > врядли я один как-то могу повлиять на них. :( Не повлияет. Они этого и не заметят. А вот честные отправители не увидят сразу, что письмо задержано. > > автоматическое блокирование compromised accounts на стороне релеев: > да видел, вот бы французы бы думать начали... Мало кто из релеев заботится отлавливать compromised accounts. :( Да и Exim используют далеко не все, а в остальных так дополнениями к конфигу блокирование не сделаешь. _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
