https://www.opennet.ru/openforum/vsluhforumID1/82036.html По несколько раз в день пользователи постфикса получают спам от одного коллеги, по логам видно что письма с внешних ip, причем все они во многих черных списках. Юзеру этому пароль сменен, не помогло. Компьютер его чист. Где дыра? Как бороться?<br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#16 Fri, 19 Sep 2008 15:03:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и как тут будет проверяться check_sender_access? речь же идет о получателях? <br>&gt;<br>&gt;актуальная дока: <br>&gt;http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions <br>&gt;The access restrictions that the Postfix SMTP server applies in the context <br>&gt;of the RCPT TO command. <br>&gt;Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть <br>&gt;можно отправителя и на этом этапе проверять, но лучше, мне кажется <br>&gt;в своем разделе ограничений. <br>&gt;Ну это мы отклонились от темы... <br><br>Лучше как раз на этапе RCPT.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#15 Fri, 19 Sep 2008 07:30:03 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; <br>&gt; # излишни... :) <br>&gt;<br>&gt;<br>&gt;Почему check_sender_access записано в smtpd_recipient_restrictions? <br>&gt;Можно было бы записать и в smtpd_sender_restrictions и так и так подойдет.Советую <br>&gt;почитать по этой теме про отложенную обработку списков доступа. <br>&gt;<br>&gt;Надеюсь хорошо объяснил, и не слишком занудно... :) <br><br>cпасибо за помощь, все ясно теперь<br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#14 Thu, 18 Sep 2008 20:30:43 GMT &gt;[оверквотинг удален]<br>&gt; permit_mynetworks, <br>&gt; check_sender_access hash:/usr/local/etc/postfix/antispam/wtf, <br>&gt; ограничения дальше, <br>&gt; ... <br>&gt;<br>&gt;Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес) <br>&gt;с обратным адресом нашего домена в нашу сеть, то адрес получателя <br>&gt;соответствует permit_mynetworks, и сообщение проходит. И как в данном случае поможет <br>&gt;проверка check_sender_access? <br>&gt;Поправьте, если я не так понимаю. <br><br>Не много не так ... Адрес получателя,имеется ввиду доменный адрес не соответствует permit_mynetworks,mynetworks - это сети которым вы доверяете. Т.е. permit_mynetworks сети из которых вы можете пересылать почту через ваш сервер...В примере check_sender_access проверяет адрес отправителя и если он соответствует вашем домену делает отлуп 554.<br><br>Вот пример...<br><br>telnet mail.pochta.tst<br>Trying 19.11.10.18...<br>Connected to mail.pochta.tst.<br>Escape character is '^]'.<br>220 mail.pochta.tst ESMTP is glad to see you!<br>helo mail.test.tst <br>MAIL FROM: user@pochta.tst https://www.opennet.ru/openforum/vsluhforumID1/82036.html#13 Thu, 18 Sep 2008 16:38:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Попробуйте вот это ... http://www.opennet.ru/tips/info/716.shtml <br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;мне что в список пихать каждый айпи машины с трояном с которой <br>&gt;&gt;идет рассылка.. не очень то подходит <br>&gt;<br>&gt;Причем тут ip машины с трояном? Там же ясно указано что отправитель <br>&gt;тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда <br>&gt;почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших <br>&gt;сетей. <br><br>Restrictions are applied in the order as specified; the first restriction that matches wins. <br>Ограничения применяются в порядке как определены; первое ограничение которое соответствует выигрывает<br>(http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions)<br><br> smtpd_recipient_restrictions =<br> permit_mynetworks,<br> check_sender_access hash:/usr/local/etc/postfix/antispam/wtf,<br> ограничения дальше,<br> ...<br><br>Как я понимаю, если приходит сообщение из чужой сети (чужой ip адрес) с обратным адресом нашего домена в нашу сеть, то а https://www.opennet.ru/openforum/vsluhforumID1/82036.html#12 Thu, 18 Sep 2008 14:35:35 GMT &gt;&gt;<br>&gt;&gt;Попробуйте вот это ... http://www.opennet.ru/tips/info/716.shtml <br>&gt;&gt;<br>&gt;<br>&gt;мне что в список пихать каждый айпи машины с трояном с которой <br>&gt;идет рассылка.. не очень то подходит <br><br>Причем тут ip машины с трояном? Там же ясно указано что отправитель тот же самый домен что и получатель,туда нужно добавить свой домен.Тогда почта с адресов MAIL FROM: юзер@ваш_домен.ру будет отклонятся,за исключение mynetworks,т.е. ваших сетей.<br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#11 Thu, 18 Sep 2008 14:17:45 GMT <br>&gt;The smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT <br>&gt;TO commands <br>&gt;<br>&gt;Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT <br>&gt;TO <br>&gt;(http://www.postfix.org/uce.html#smtpd_recipient_restrictions) <br>&gt;<br>&gt;и как тут будет проверяться check_sender_access? речь же идет о получателях? <br><br>актуальная дока:<br>http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions<br>The access restrictions that the Postfix SMTP server applies in the context of the RCPT TO command. <br>Ограничения доступа которые постфикс применяет в контексте команды RCPT TO. То есть можно отправителя и на этом этапе проверять, но лучше, мне кажется в своем разделе ограничений.<br>Ну это мы отклонились от темы... <br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#10 Thu, 18 Sep 2008 14:04:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com <br>&gt;&gt;мой. Кто-то от его имени шлет откуда захочет спам моим юзерам <br>&gt;&gt;через мой сервер. Потому и пароль меняли. <br>&gt;<br>&gt;Попробуйте вот это ... http://www.opennet.ru/tips/info/716.shtml <br>&gt;<br>&gt;2PavelR А вы не умничайте лучше человеку помогите...Студент! <br>&gt;<br>&gt;P.S. Сколько в последние время чайников пыхтящих развелось ... <br><br>то что сказал павел понятно<br>а вот по ссылке не ясно<br><br>The smtpd_recipient_restrictions parameter restricts what recipient addresses this system accepts in RCPT TO commands<br><br>Параметр smtpd_recipient_restrictions ограничивает какие адреса получателей этой системы принимаются в командах RCPT TO <br>(http://www.postfix.org/uce.html#smtpd_recipient_restrictions)<br><br>и как тут будет проверяться check_sender_access? речь же идет о получателях?<br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#9 Thu, 18 Sep 2008 13:49:25 GMT &gt;<br>&gt;Попробуйте вот это ... http://www.opennet.ru/tips/info/716.shtml <br>&gt;<br><br>мне что в список пихать каждый айпи машины с трояном с которой идет рассылка.. не очень то подходит<br> https://www.opennet.ru/openforum/vsluhforumID1/82036.html#8 Thu, 18 Sep 2008 12:57:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;а шо вы таки хотели ? Почта для вас ? для <br>&gt;&gt;вас. Значит сервак её принимает без авторизации, какие проблемы ? <br>&gt;&gt;А вы - "пароль сменен", "почту отправить можно только из локальной <br>&gt;&gt;сети".... <br>&gt;&gt;<br>&gt;&gt;На станках в стране работать некому, смените профессию. <br>&gt;<br>&gt;уважаемый, обратите внимание client=unknown[170.51.167.94] это не моя локальная сеть, а юзер a.moroz@domain.com <br>&gt;мой. Кто-то от его имени шлет откуда захочет спам моим юзерам <br>&gt;через мой сервер. Потому и пароль меняли. <br><br>Попробуйте вот это ... http://www.opennet.ru/tips/info/716.shtml<br><br>2PavelR А вы не умничайте лучше человеку помогите...Студент!<br><br>P.S. Сколько в последние время чайников пыхтящих развелось ... <br>