Регистрация Войти
Рейтинг:1
user3411864 avatar Server

Как заблокировать поддельную почту с *.host.com

флаг cn
user3411864

В настоящее время я использую сервер CentOS с directadmin и custombuild. Я продолжаю получать поддельные фишинговые письма с поддельными адресами, на которых правильно настроен SPF.

Spamassassin дает ему 1,8 балла, вероятно, потому, что почта кажется законной, а другие тесты дают отрицательный результат. Таким образом, отрицательный результат + результат теста SPF = 1,8.

В directadmin у вас есть способы блокировать почту, но это касается адреса отправителя, а не почтового сервера, который спуфинг.

Все письма имеют одинаковые заголовки отправляющего почтового сервера: Получено: от cm17.websitewelcome.com (cm17.websitewelcome.com [100.42.49.20]) от gateway34.websitewelcome.com (постфикс)

Меняются IP-адреса и меняются поддомены. Но если я смогу где-нибудь заблокировать всю почту с *.websitewelcome.com, моя проблема на время решится.

Могу ли я заблокировать это где-нибудь в Postfix или Exim? Увеличение значения теста SPF также является подходом, но это также может помечать много законных писем.

55
0 + 0
Рейтинг:1
avatar Server
флаг de
user996142

В Postfix вы можете заблокировать его прямо на smtpd(8).

Согласно с http://www.postfix.org/SMTPD_ACCESS_README.html ты можешь использовать

smtpd_client_restrictions — Отклонить все клиентские команды

С ним можно(http://www.postfix.org/postconf.5.html#smtpd_client_restrictions)

check_client_access тип: таблица

Найдите в указанной базе данных доступа имя хоста клиента, родительские домены, IP-адрес клиента или сети, полученные путем удаления младших значащих октетов. Подробнее см. на странице руководства access(5).

http://www.postfix.org/access.5.html содержит пример:

  /etc/postfix/main.cf:
           smtpd_client_restrictions =
               хэш check_client_access:/etc/postfix/access

и

/etc/постфикс/доступ:
.websitewelcome.com ОТКЛОНИТЬ
100.42.48.0/20 ОТКЛОНИТЬ

(использовать кто найти номер сети и маску)

не забудь позвонить почтовая карта(1)

Или вы можете заблокировать всю IP-сеть на своем брандмауэре, например

sudo iptables -I INPUT --src=100.42.48.0/20 -m tcp -p tcp --dport=25 -j DROP
0 + 0
user3411864 avatar
флаг cn
user3411864
Если я использую whois Websitewelcome.com, я получаю IP в США, а не в России. Таким образом, поддомены получают новые диапазоны IP-адресов. Таким образом, блокировка IP эффективна только в течение короткого периода времени.
0
Ответить
флаг de
user996142
Как насчет `smtpd_sender_restrictions` или `smtpd_helo_restrictions`? Вы также можете заблокировать на этом уровне
0
Ответить
Рейтинг:0
avatar Server
флаг fr
Cameron

Блокировка брандмауэра:

iptables -t raw -A PREROUTING -s ${BAD_IP} -j DROP

Блокировать по заголовку:

В /etc/postfix/main.cf

header_checks = /etc/postfix/header_checks

В /etc/postfix/header_checks

/From:\ .*baddomain\.tld/ УДАЛИТЬ ПЛОХОЙ И ВОНЯЩИЙ ДОМЕН

Запустите эти команды

почтовая карта /etc/postfix/header_checks
systemctl перезапустить постфикс
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.