PDA

Bekijk Volledige Versie : Spam probleem op shared server?


swedendedicated
05/04/11, 16:03
Iemand logt in met smtp en stuurt spam, maar wie?

[root@sha01 log]# lsof -ni tcp:25
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
exim 3432 mail 3u IPv4 7752 TCP *:smtp (LISTEN)
exim 26786 mail 5u IPv4 9282534 TCP 93.158.114.85:smtp->117.2.127.1:20376 (ESTABLISHED)
exim 26786 mail 6u IPv4 9282534 TCP 93.158.114.85:smtp->117.2.127.1:20376 (ESTABLISHED)
exim 26787 mail 5u IPv4 9282536 TCP 93.158.114.85:smtp->117.2.127.1:20381 (ESTABLISHED)
exim 26787 mail 6u IPv4 9282536 TCP 93.158.114.85:smtp->117.2.127.1:20381 (ESTABLISHED)



2011-04-05 16:15:38 H=(localhost) [117.2.127.1] sender verify fail for <ffartemus@ahm.honda.com>: Unrouteable address
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <trofimov@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <trofimova@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <ts@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tsv@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tt@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tur@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tv@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <ty@svetasavina.ru>: Sender verify failed
2011-04-05 16:16:40 H=(localhost) [117.2.127.1] incomplete transaction (RSET) from <amaycy@paigeme.com>
2011-04-05 16:16:44 H=(localhost) [117.2.127.1] incomplete transaction (RSET) from <ffartemus@ahm.honda.com>
2011-04-05 16:17:44 failed to expand condition "${perl{check_limits}}" for lookuphost router: You (unknown) have reached your daily email limit of 200 emails


exim draait nu enkel op 587, 25 heb ik verwijderd maar dat is uiteraard geen oplossing.
Randy
05/04/11, 16:10
Chris,

Zet even "+arguments \" in je exim.conf onder log_selector (uit m'n hoofd) en je hebt iets betere mogelijkheden om te zoeken...
swedendedicated
05/04/11, 16:39
Heb de user gevonden.
ju5t
05/04/11, 18:59
En vaak blijft er wel iets in je mail queue hangen. Met exim -Mvl <message-id> krijg je de logging terug, inclusief eventuele authenticatie. Ook al heb je de user al gevonden, wie weet heeft iemand er nog iets aan :-)

Wat was bij jou uiteindelijk de oplossing?
swedendedicated
06/04/11, 16:26
En vaak blijft er wel iets in je mail queue hangen. Met exim -Mvl <message-id> krijg je de logging terug, inclusief eventuele authenticatie. Ook al heb je de user al gevonden, wie weet heeft iemand er nog iets aan :-)

Wat was bij jou uiteindelijk de oplossing?

ip dat in de log staat was een dedicated ip. Mail queue was zo goed als leeg (5 frozen), waarschijnlijk door de limiet van 200 mails per gebruiker per dag.

Nu staat de log vol met de soort dingen:


2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithv@tba-ec.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithperkins@metrotvl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithp@aumort.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithod@medrgrp.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithn@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keller@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kelley@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kellyh@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kendall@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kerr@techservintl.com>: authentication required


Ik mag er van uitgaan dat dat de spammers zijn die proberen in te loggen maar dat ze geweigerd worden tot smtp?
Dreas
11/04/11, 13:35
Het is een spammer die denkt dat je een open-relay bent, dat lijkt niet het geval dus kan verder weinig kwaad.
dreamhost_nl
15/04/11, 18:11
Kun je geen "rate limiting" aanzetten? Als een IP-adres teveel verbindingen tegelijkertijd maakt met Exim, zal het IP-adres tijdelijk geblokkeerd worden, zodat je er geen last van hebt.