Przeglądając logi zauważyłem pewną ciekawostkę. Ktoś chciał zakamuflować swoje serwery smtp any nie wygladały podpobnie (mam na myśli np smtp01.cos.tam.pl, smt02.cos.tam.pl).
Nazwę zbudował następująco:
- zaczyna się od smtp
- poźniej są 3 czlony
- sugerują, że to serwery z domen regionalnych
- slowa ktorych nie ma w slowniku (aby nikt nie zajął?)
- pole nadawcy to bok, office lub biuro
- podpisany DKIM
- w HTMLu
Oto reguła która łapie to
header __ZABOJCASPAMU_NIBYREGION_RECEIVED1 Received =~ /from smtp\.[^.]+?\.[^.]+?\.pl/ header __ZABOJCASPAMU_NIBYREGION_RECEIVED2 From=~/(?:bok|office|biuro)@/ meta ZABOJCASPAMU_NIBYREGION_RECEIVED __ZABOJCASPAMU_NIBYREGION_RECEIVED1 && __ZABOJCASPAMU_NIBYREGION_RECEIVED2 && DKIM_SIGNED && HTML_MESSAGE describe ZABOJCASPAMU_NIBYREGION_RECEIVED Spam wysylany przez niby regionalne servery score ZABOJCASPAMU_NIBYREGION_RECEIVED 0.7
A to przykłady tylko 1 dnia i to nie wszystkie. Z wszystkich idzie spam aż miło. Posiadacie podobne w swoich logach?
smtp.encypedia.jgora.pl.
smtp.kajmonek.waw.pl.
smtp.gutgerl.waw.pl.
smtp.kotilip.zgora.pl.
smtp.kijawo.zgora.pl.
smtp.prelast.waw.pl.
smtp.matakres.slask.pl.
smtp.czempo.waw.pl.
smtp.encypedia.jgora.pl.
smtp.futrzatkow.beskidy.pl.
smtp.ramban.czest.pl.
smtp.waruno.slask.pl.
smtp.emanele.warszawa.pl.
smtp.emobiola.katowice.pl.
smtp.hikaret.waw.pl.
smtp.kajmonek.waw.pl.
smtp.bukiter.waw.pl.
smtp.gutgerl.waw.pl.
smtp.kotilip.zgora.pl.
smtp.juhaster.zgora.pl.
smtp.dearki.wroclaw.pl.
smtp.pytres.turek.pl.
smtp.oreks.tgory.pl.
smtp.potag.bieszczady.pl.
Tak, u mnie są. Dzięki za listę.
Lista jest niepelna. Mozna sprawdzic po jakims czasie czy sie rozrasta i zebrac wszystkie
99% to maile z h88.pl i hitme.pl … ja tnę to w postfixie na samym końcu smtpd_sender_restrictions po klasach adresowych. Wiem że drastyczne, ale … w większości wcześniej i tak są wycięte np. przez postfwd.
Zauważyłem że spamer jest nadgorliwy i ustawia HELO takie samo jak hostname, a „zwykli” userzy mają w HELO „hekko.net.pl”. Tak więc najpierw (jeśli w ogóle tak daleko dojdzie) dopuszczam to hekko.net.pl, a potem tnę całe klasy. REJECTy mam z info że firma hostingowa to spamer i że jeśli ktoś się upiera aby dalej korzystać, to mogę dodać jego domenę do whitelist. Obserwuję logi i raptem jedna domena „niespamerska” mi się wbiła na tą regułkę – od razu ją dopisałem do whitelist.
Druga sprawa – masa takich domen trafia mi się do spamtrapa, więc na upartego mógłbym to olać …