🚀 go-pugleaf

On 23.03.2020 14:34, LFC wrote:
> Nie odnieśliście wrażenia, że spamerzy się ostatnio mocno zaktywizowali.
> Aktywowałem sendmailowi port 587 i przy okazji prześledziłęm logi.
> W secure od groma informacji saslautha o próbach zalogowania do smtp.
> W maillogu od groma info z refused z zen spamhaus.org
> Macie jakieś rozwiązanie, że np po 3, 4 nieudanych logowaniach z jednego
> IP - host ma bana na jakiś czas?
> I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl,
> lapy.pl, zagan.pl, etc. Jest go coraz więcej.
> Jak to gówno wychwytujecie? Można po IP, ale tych IP jest kilka i co
> pewien czas się jednak zmieniają.
>
Mam dokładnie to samo.
Ja proponuję banować duże korporacje, których produkty są teraz wciskane
byle wycofać gotówkę. Taki spam obecnie przy koronawirusie to draństwo.
Za próbę wciskania towarów gdy ludzie nie otrzymują wynagrodzenia to
draństwo.

Te domeny pisz.pl, zgora.pl, lapy.pl, zagan.pl i podobne są u mnie po
kilkadziesiąt dziennie, oczywiście odrzucane.
Niebieski nie pisze, bo wyciąłem wszystkie ich klasy IP.

Mam około 800 odrzucanych maili na dobę z czego przechodzi może 30 i
jeszcze kilka to spamy.

Nie pojmuję tych spamerów. Czy są jakieś badania czy spam poprawia im
sprzedaż?

W dniu 2020-03-23 o 14:34, LFC pisze:
> Nie odnie¶li¶cie wra¿enia, ¿e spamerzy siê ostatnio mocno zaktywizowali.

Ci od proponowania baz adresów? Tak.

> Aktywowa³em sendmailowi port 587 i przy okazji prze¶ledzi³êm logi.
> W secure od groma informacji saslautha o próbach zalogowania do smtp.
> W maillogu od groma info z refused z zen spamhaus.org
> Macie jakie¶ rozwi±zanie, ¿e np po 3, 4 nieudanych logowaniach z jednego IP - host ma bana na jaki¶ czas?

fail2ban
/etc/fail2ban/filter.d/sendmail-auth.conf:

failregex = \w{14}: (\S+ )?\[<HOST>\]( \(may be forged\))?: possible SMTP attack: command=AUTH, count=\d+$
             \[<HOST>\]( \(may be forged\))? did not issue MAIL\/EXPN\/VRFY\/ETRN during connection to MTA

Podobnie mo¿na filtrowaæ te odrzucone przez zena.

> I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl, lapy.pl, zagan.pl, etc. Jest go coraz wiêcej.
> Jak to gówno wychwytujecie? Mo¿na po IP, ale tych IP jest kilka i co pewien czas siê jednak zmieniaj±.

milter-regex

reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
envfrom /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e and envrcpt //

a potem fail2ban:

failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-


>
> Serwer to sendmail za autoryzacj± na centos 6
>
> LFC

W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
> W dniu 2020-03-23 o 14:34, LFC pisze:
>> Nie odnie¶li¶cie wra¿enia, ¿e spamerzy siê ostatnio mocno zaktywizowali.
>
> Ci od proponowania baz adresów? Tak.
>
>> Aktywowa³em sendmailowi port 587 i przy okazji prze¶ledzi³êm logi.
>> W secure od groma informacji saslautha o próbach zalogowania do smtp.
>> W maillogu od groma info z refused z zen spamhaus.org
>> Macie jakie¶ rozwi±zanie, ¿e np po 3, 4 nieudanych logowaniach z
>> jednego IP - host ma bana na jaki¶ czas?
>
> fail2ban
> /etc/fail2ban/filter.d/sendmail-auth.conf:
>
> failregex = \w{14}: (\S+ )?\[<HOST>\]( \(may be forged\))?: possible
> SMTP attack: command=AUTH, count=\d+$
>             \[<HOST>\]( \(may be forged\))? did not issue
> MAIL\/EXPN\/VRFY\/ETRN during connection to MTA
>
> Podobnie mo¿na filtrowaæ te odrzucone przez zena.
>
>> I jeszcze jedno - spam z reginalnymi domenami pisz.pl, zgora.pl,
>> lapy.pl, zagan.pl, etc. Jest go coraz wiêcej.
>> Jak to gówno wychwytujecie? Mo¿na po IP, ale tych IP jest kilka i co
>> pewien czas siê jednak zmieniaj±.
>
> milter-regex
>
> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
> envfrom
> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
> and envrcpt //
>
> a potem fail2ban:
>
> failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-
>

Nie decydowa³em siê na regexa bo w ten sposób wytnie równie¿ pocztê
u¿yteczn± z takich domen, ale chyba zrobiê to w spamassassinie, bo mam
tak skonfigurowane, ¿e procmail przesuwa pocztê oznakowan± jako spam na
osobne konto, z którego j± odbieram i albo wywalam, albo przekazujê do
adresata je¿eli jest u¿yteczna.

Mam przy okazji jeszcze parê pytañ odno¶nie konfiguracji sendmaila,
które mnie w³a¶nie ostatnio pokona³y.

Sendmail jest tak ustawiony, ¿e smtp dzia³a na porcie 25 i je¿eli
u¿ytkownik poczty loguje siê z zewn±trz to mo¿e j± odebraæ(port 110
STARTLS, lub SSL port 995), ale je¿eli chce wys³aæ pocztê, to o ile jest
na dynamicznym IP, a takie ma wiêkszo¶æ w domu, to sendmail odrzuca.

Znalaza³em w sieci ustawienia konfigu, które umo¿liwiaj± wysy³anie

Odblokowa³em port 587

DAEMON_OPTIONS(`port=submission, Name=MSA, Mê')

dorzuci³em do konfiguracji jeszcze

FEATURE(`delay_checks')

które podobno jest lekarstwem na odrzucanie po³±czeñ z dynamicznych IP
przez sendmaila jeszcze przed autoryzacj± i

FEATURE(require_rdns)

które ma byc lekarstwem na czê¶æ spamerstwa.

Przez niedzielê by³o cicho i spokojnie, ale w poniedzia³ek zacz±³ siê
festiwal spamerstwa
hosty wali³y jak w kacz± dupê, Jak siê zorientowa³em to zd±¿y³o siê
namno¿yæ poczt w mqueue. Wzi±³em je przesun±³em do innego katalogu, zeby
je potem przeanalizowaæ i przywróci³em stara konfiguracjê sendmail i
znów jest spokój.

Jedna rzecz mnie zaskoczy³a - ca³a masa hostów ³aczy³± siê z adresów
typu ::ff:www.xxx.yyy.zzz wygl±daj±cych na ipv6, a przecie¿ mam
zdisablowan± obs³ugê ipv6 (ilo¶æ : lub f mog³± byæ inna, ale nie
zwróci³em na to w pierwszym momencie uwagi).

A zatem mam dwa istotne pytania:
1. Co jest grane z tymi adresamni?
2. Co zmieniæ w konfiguracji sendmaila, zeby umo¿liwia³ wysy³kê z
zewn±trz ale bez takich ekscesów.
Ca³a masa tych poczt by³a sygnowana niby z mojej domeny od
nieistniej±cych userów.

Spraw robi siê do¶æ pal±ca, ze wzglêdu na koronê, bo zarzad i dyrekcja
chcia³yby móc operowaæ poczt± spoza firmy. Odbiór bez problemu, ale
wysy³ak ju¿ nie, chyba, ¿e kto¶ ma sta³e IP, jak ja w domy, wtedy nie ma
problemu.

LFC

LFC

W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:

> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
> envfrom
> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
> and envrcpt //
>

Tu drugi taki sam zapis dla envrcpt?

> a potem fail2ban:
>
> failregex = \[<HOST>\]: REJECT: Looks like hosted spam #3-
>
>

LFC

W dniu 2020-03-26 o 10:19, LFC pisze:
> W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
>
>> reject "Looks like hosted spam #3-140" #biuro,office,info,bok@*.miasto.pl
>> envfrom
>> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
>> and envrcpt //
>>
>
> Tu drugi taki sam zapis dla envrcpt?
>

Nie, to jest jeden zapis (pociê³o liniê) na envfrom z regexem AND na envrcpt dowolne.
Adres odbiorcy z envrcpt jest mi potrzebny do statystyk; ty mo¿esz go wywaliæ.

Piotr

W dniu 26.03.2020 o 12:15, Piotr Lechowicz pisze:
> W dniu 2020-03-26 o 10:19, LFC pisze:
>> W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
>>
>>> reject "Looks like hosted spam #3-140"
>>> #biuro,office,info,bok@*.miasto.pl
>>> envfrom
>>> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
>>>
>>> and envrcpt //
>>>
>>
>> Tu drugi taki sam zapis dla envrcpt?
>>
>
> Nie, to jest jeden zapis (pociê³o liniê) na envfrom z regexem AND na
> envrcpt dowolne.
> Adres odbiorcy z envrcpt jest mi potrzebny do statystyk; ty mo¿esz go
> wywaliæ.
>
> Piotr

OK, dziêki zacz±³em siê bawiæ fail2banem.
Rozumiem, ze z fail2ban.local mo¿na wywali wszystkie zapisy, które
dotycza aplikacji, które nas nie interesuj± a zostawiæ tylko np. ssh,
sendmail i dovecot?

LFC

W dniu 2020-03-26 o 14:22, LFC pisze:
> W dniu 26.03.2020 o 12:15, Piotr Lechowicz pisze:
>> W dniu 2020-03-26 o 10:19, LFC pisze:
>>> W dniu 24.03.2020 o 01:07, Piotr Lechowicz pisze:
>>>
>>>> reject "Looks like hosted spam #3-140"
>>>> #biuro,office,info,bok@*.miasto.pl
>>>> envfrom
>>>> /(biuro|office|info|bok|smtp)@\w+\.(zgora|jgora|tgory|sejny|naklo|lapy|zagan|pisz|zarow|agro|waw|turek)\.pl/e
>>>>
>>>> and envrcpt //
>>>>
>>>
>>> Tu drugi taki sam zapis dla envrcpt?
>>>
>>
>> Nie, to jest jeden zapis (pociê³o liniê) na envfrom z regexem AND na
>> envrcpt dowolne.
>> Adres odbiorcy z envrcpt jest mi potrzebny do statystyk; ty mo¿esz go
>> wywaliæ.
>>
>> Piotr
>
> OK, dziêki zacz±³em siê bawiæ fail2banem.
> Rozumiem, ze z fail2ban.local mo¿na wywali wszystkie zapisy, które dotycza aplikacji, które nas nie interesuj± a zostawiæ tylko np. ssh, sendmail i dovecot?
>
> LFC

Pewnie, ¿e mo¿na.
To jest twoja konfiguracja, która nadpisuje defaulta.