вобщем почта работает так:
во внешке стоит постфикс и пересылает всю почту для адресатов в домене на шлюз, а шлюз направляет все на exchange2k3 примерно два дня назад начал замечать как стал сыпатся спам с разных доменов, посмотрел логи на постфиксе, вот небольшой кусочек:
<br />
Dec 16 00:03:51 srvmail postfix/smtpd[56076]: connect from 220-130-84-20.HINET-IP.hinet.net[220.130.84.20]<br />
Dec 16 00:03:52 srvmail postfix/smtpd[56076]: NOQUEUE: reject: RCPT from 220-130-84-20.HINET-IP.hinet.net[220.130.84.20]: 553 5.7.1 <220-130-84-20.HINET-IP.hinet.net[220.130.84.20]>: Client host rejected: SPAM_ip-add-rr-ess_networks_x00; from=<> to=<jujubexua2@satro.com> proto=ESMTP helo=<dns.ethink.com.tw><br />
Dec 16 00:03:53 srvmail postfix/smtpd[56076]: disconnect from 220-130-84-20.HINET-IP.hinet.net[220.130.84.20]<br />
Dec 16 00:04:55 srvmail postfix/smtpd[56012]: connect from ms34.hinet.net[168.95.4.34]<br />
Dec 16 00:04:57 srvmail postfix/smtpd[56012]: NOQUEUE: reject: RCPT from ms34.hinet.net[168.95.4.34]: 550 5.1.1 <jujubexua2@satro.com>: Recipient address rejected: User unknown in relay recipient table; from=<> to=<jujubexua2@satro.com> proto=ESMTP helo=<ms34.hinet.net><br />
Dec 16 00:04:58 srvmail postfix/smtpd[56012]: disconnect from ms34.hinet.net[168.95.4.34]<br />
Dec 16 00:05:23 srvmail postfix/smtpd[56076]: connect from ms19.hinet.net[168.95.4.19]<br />
Dec 16 00:05:25 srvmail postfix/smtpd[56076]: NOQUEUE: reject: RCPT from ms19.hinet.net[168.95.4.19]: 550 5.1.1 <jujubexua2@satro.com>: Recipient address rejected: User unknown in relay recipient table; from=<> to=<jujubexua2@satro.com> proto=ESMTP helo=<ms19.hinet.net><br />
Dec 16 00:05:25 srvmail postfix/smtpd[56076]: disconnect from ms19.hinet.net[168.95.4.19]
вроде спам отбивает (но он всеравно есть)
посмотрел диапазон адресов hinet.net добавил на фаервол отдельным правилом в запрещенные
стал смотреть логи
в это правило упираются два айпишника 1 – сам эксчендж а второй пользователь.
и причем когда эксчендж пытается простучатся по этим айпишникам сети hinet.net появляется спам как он появляется не пойму, троян на эксчендже? проверял симантеком, ничего не нашел, кроме папки блэклист.
у пользователей smtp закрыт, лишь некоторым открыт, тот кто долбился я у него этот доступ отключил, но как я понимаю,сам эксчендж еще рассылает, помимо того, что по локальным адресам так еще и в инет выплёвывает %(
помогите, плс
вот пример заголовков письма, которые рассылает эксчендж:
Microsoft Mail Internet Headers Version 2.0<br />
Received: from srvmail.satro.ru ([82.204.180.57] RDNS failed) by satro.ru with Microsoft SMTPSVC(6.0.3790.3959);<br />
Wed, 16 Dec 2009 16:55:07 +0300<br />
Received: from [78.250.4.225] (unknown [78.250.4.225])<br />
by srvmail.satro.ru (Postfix) with ESMTP id 388702CEC24<br />
for <abuse@satro.ru>; Wed, 16 Dec 2009 16:55:58 +0300 (MSK)<br />
Received: from [30.7.106.18] (helo=dmvlzvjd.jmqkiyygoexisgq.tv)<br />
by with esmtpa (Exim 4.69)<br />
(envelope-from )<br />
id 1MMEN8-9407iw-88<br />
for abuse@satro.ru; Wed, 16 Dec 2009 14:54:59 +0100<br />
Date: Wed, 16 Dec 2009 14:54:59 +0100<br />
From: "Erwin Best" <ampnn@ms2.hinet.net><br />
X-Mailer: The Bat! (v3.0.1.33) Home<br />
X-Priority: 3 (Normal)<br />
Message-ID: <4976141066.U9M2QQV2858409@cwkymcieylpfjw.fpzrkexxo.su><br />
To: <abuse@satro.ru>,<br />
<alehunova@satro.ru><br />
Subject: =?koi8-r?B?78vVzsnT2CDXIM3J0iDcy9rP1MnLySDrz9PUwS3yycvJISAg1MXMLg==?= =?koi8-r?B?ICg0OTkpIDcwIDMgMCA0MyA1?=<br />
MIME-Version: 1.0<br />
Content-Type: multipart/alternative;<br />
boundary="———-1F3D7CABE11F459"<br />
Return-Path: ampnn@ms2.hinet.net<br />
X-OriginalArrivalTime: 16 Dec 2009 13:55:07.0540 (UTC) FILETIME=[603DD540:01CA7E57]</p><p>————1F3D7CABE11F459<br />
Content-Type: text/plain; charset=koi8-r<br />
Content-Transfer-Encoding: 8bit</p><p>————1F3D7CABE11F459<br />
Content-Type: text/html; charset=koi8-r<br />
Content-Transfer-Encoding: 8bit</p><p>————1F3D7CABE11F459–<br />
X-EsetId: 9CACF12A91437D6983AAF17F98103D<br />
22:39 Декабрь 22, 2009
NexT
Guest
2
0
С чего Вы решили что это exchange рассылает? Из заголовка видно что письмо приходит на эксч с srvmail.satro.ru ([82.204.180.57], и соответственно на Ваш постфикс с [30.7.106.18] (helo=dmvlzvjd.jmqkiyygoexisgq.tv). На постфиксе есть фильтр адресатов вашего exchange? Может то что уходит наружу это NDR-ы?
15:55 Февраль 10, 2010
anotherone
Member
posts 4
3
0
совсем забыл
спасибо
разобрался
11:37 Июль 7, 2011
tivgen
Guest
4
0
Такая же история! Как решили? Растет очередь на msNN.hinet.net сотнями писем в минуту. Плиз хелп!
Записи
