В один прекрасный денек к пользователям почтового сервера начал ходить спам, пытался разобраться сам, но не понятно значение некоторых сообщений в логе, например triplet found после чего постгрей пропускает письмо...

root@mail# cat /var/log/maillog | grep laufi2@jab.cz /home/dmitri
Aug 28 13:01:37 mail postgrey[633]: action=greylist, reason=new, client_name=unknown, client_address=89.208.75.6, sender=laufi2@jab.cz, recipient=user@mydomain.ru
Aug 28 13:01:37 mail postfix/smtpd[22683]: NOQUEUE: reject: RCPT from unknown[89.208.75.6]: 450 4.2.0 <user@mydomain.ru>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mydomain.ru.html; from=<laufi2@jab.cz> to=<user@mydomain.ru> proto=ESMTP helo=<mail.boss.sk>
Aug 28 13:03:47 mail postgrey[633]: action=greylist, reason=early-retry (170s missing), client_name=unknown, client_address=89.208.75.6, sender=laufi2@jab.cz, recipient=user@mydomain.ru
Aug 28 13:03:47 mail postfix/smtpd[22683]: NOQUEUE: reject: RCPT from unknown[89.208.75.6]: 450 4.2.0 <user@mydomain.ru>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mydomain.ru.html; from=<laufi2@jab.cz> to=<user@mydomain.ru> proto=ESMTP helo=<mail.boss.sk>
Aug 28 13:05:35 mail postgrey[633]: action=greylist, reason=early-retry (62s missing), client_name=unknown, client_address=89.208.75.6, sender=laufi2@jab.cz, recipient=user@mydomain.ru
Aug 28 13:05:35 mail postfix/smtpd[22683]: NOQUEUE: reject: RCPT from unknown[89.208.75.6]: 450 4.2.0 <user@mydomain.ru>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mydomain.ru.html; from=<laufi2@jab.cz> to=<user@mydomain.ru> proto=ESMTP helo=<mail.boss.sk>
Aug 28 13:07:09 mail postgrey[633]: action=pass, reason=triplet found, delay=332, client_name=unknown, client_address=89.208.75.6, sender=laufi2@jab.cz, recipient=user@mydomain.ru
Aug 28 13:07:09 mail postfix/qmgr[19945]: 447CC5C045: from=<laufi2@jab.cz>, size=1204, nrcpt=1 (queue active)

постгрэй пишет что есть повторы но письмо почему то не добавляет в черный список а пропускает...

Заранее благодарен за помощь!

• Postgrey пропускает спам,бусик, 18:22 , 28-Авг-08
  • Postgrey пропускает спам,customs01, 09:01 , 29-Авг-08
    • Postgrey пропускает спам,бусик, 10:46 , 29-Авг-08
  • Postgrey пропускает спам,Никита 25, 09:03 , 28-Ноя-08
    • Postgrey пропускает спам,customs01, 09:16 , 28-Ноя-08
      • Postgrey пропускает спам,Никита 25, 10:19 , 28-Ноя-08
        • Postgrey пропускает спам,Никита 25, 10:41 , 28-Ноя-08

а на каком собственно основании письмо не должно пройти?

он его честно поблочил 6 минут (у вас в конфиге вероятно стоит интервал пропуска 5мин), после чего успешно его пропустил

>а на каком собственно основании письмо не должно пройти?
>
>он его честно поблочил 6 минут (у вас в конфиге вероятно стоит
>интервал пропуска 5мин), после чего успешно его пропустил

теперь я понял, в постгрей нет черного списка, и при early-retry, происходит просто задержка письма, но не перемещение в черный список.
Получаеться что нормальный спамер не отправляет повторно письмо если его послали...
Выход из ситуации увеличение времени блокировки? а если спамер будет долбить бесконечно?

Спасибо за ответ)

>[оверквотинг удален]
>>он его честно поблочил 6 минут (у вас в конфиге вероятно стоит
>>интервал пропуска 5мин), после чего успешно его пропустил
>
>теперь я понял, в постгрей нет черного списка, и при early-retry, происходит
>просто задержка письма, но не перемещение в черный список.
>Получаеться что нормальный спамер не отправляет повторно письмо если его послали...
>Выход из ситуации увеличение времени блокировки? а если спамер будет долбить бесконечно?
>
>
>Спасибо за ответ)

если увеличите время блокировки -- нормальная почта будет доходить с тормозами. ищите другие методы борьбы)

>а на каком собственно основании письмо не должно пройти?
>
>он его честно поблочил 6 минут (у вас в конфиге вероятно стоит
>интервал пропуска 5мин), после чего успешно его пропустил

полочил то он полочил, но пропустить то не должен был, или спам-сервак отослал повторно письмо? у меня связка постфикус+постгрей пропускает пока до 2 спам писем в день, и в логах пишет Passed Clean, как для норм. письма.

>>а на каком собственно основании письмо не должно пройти?
>>
>>он его честно поблочил 6 минут (у вас в конфиге вероятно стоит
>>интервал пропуска 5мин), после чего успешно его пропустил
>
>полочил то он полочил, но пропустить то не должен был, или спам-сервак
>отослал повторно письмо? у меня связка постфикус+постгрей пропускает пока до 2
>спам писем в день, и в логах пишет Passed Clean, как
>для норм. письма.

в том то и дело что отправляет и отправляет до бесконечности... постгрей один раз заблокировал а второй пропустил...   вот думаю если сделать так чтоб черный список был и пополнялся он тогда когда спамер не выжидает положенное время а начинает долбить...

>[оверквотинг удален]
>>
>>полочил то он полочил, но пропустить то не должен был, или спам-сервак
>>отослал повторно письмо? у меня связка постфикус+постгрей пропускает пока до 2
>>спам писем в день, и в логах пишет Passed Clean, как
>>для норм. письма.
>
>в том то и дело что отправляет и отправляет до бесконечности... постгрей
>один раз заблокировал а второй пропустил...   вот думаю если
>сделать так чтоб черный список был и пополнялся он тогда когда
>спамер не выжидает положенное время а начинает долбить...

но тут у тебя есть шанс собрать грабли с "криво" настроенными дружескими серверами, с которых дирик ждет письма. люлей можно отхватить( я вот четвертый день как на вулкане (после внедрения связки)... уже оперативно выискал 2 кривых домена, с которых нужны были письма и занес их в вайтлист. жаль что наровне с вайтлистом в постгрее нет блеклиста. хотя можно поставить еще какой нибудь фильтр :) и туда забивать спам-гаденышей.

у меня другая интересная проблема: в каком формате нужно заносить адрес (домен) в белые листы. заношу в формате adres.ru, перезапускаю демона (надо ли?), перезапускаю постфикус, все равно реджектит данный адрес. ( в чем может быть проблема?