înregistrare Logare
Puncte:1
user3411864 avatar Server

Cum să blocați e-mailurile falsificate de la *.host.com

drapel cn
user3411864

În prezent, rulez un server centOS cu directadmin și custombuild. Primesc în continuare e-mailuri de phishing falsificate cu falsificare de la adrese care au SPF configurat corect.

Spamassassin îi acordă un scor de 1,8, probabil pentru că e-mailurile par legitime, iar alte teste combinate duc la un scor negativ. Deci scor negativ + scor test SPF = 1,8

În directadmin aveți modalități de a bloca e-mailurile, dar aceasta se uită la adresa de la de la, nu la serverul de e-mail care face falsificare.

Toate e-mailurile au aceleași antete de server de e-mail de trimitere: Primit: de la cm17.websitewelcome.com (cm17.websitewelcome.com [100.42.49.20]) de gateway34.websitewelcome.com (Postfix)

Adresele IP se schimbă, iar subdomeniile se modifică. Dar dacă pot bloca undeva toate e-mailurile de la *.websitewelcome.com problema mea este rezolvată pentru un timp.

Pot bloca asta undeva în Postfix sau Exim? Creșterea valorii scorului testului SPF este, de asemenea, o abordare, dar aceasta poate marca și o mulțime de e-mailuri legitime

55
0 + 0
Puncte:1
avatar Server
drapel de
user996142

În Postfix îl puteți bloca direct smtpd(8).

Conform http://www.postfix.org/SMTPD_ACCESS_README.html poți să folosești

smtpd_client_restrictions - Respinge toate comenzile client

Cu el poți (http://www.postfix.org/postconf.5.html#smtpd_client_restrictions)

check_client_access tip:table

Căutați în baza de date de acces specificată numele de gazdă al clientului, domeniile părinte, adresa IP a clientului sau rețelele obținute prin eliminarea octeților cei mai puțin semnificativi. Consultați pagina manualului de acces(5) pentru detalii.

http://www.postfix.org/access.5.html contine exemplu:

  /etc/postfix/main.cf:
           smtpd_client_restrictions =
               check_client_access hash:/etc/postfix/access

și

/etc/postfix/access:
.websitewelcome.com RESPINGERE
100.42.48.0/20 RESPINGERE

(utilizare cine este pentru a găsi numărul de rețea și masca)

nu uita sa suni hartă poștală(1)

Sau puteți bloca întreaga rețea IP pe firewall, de exemplu

sudo iptables -I INPUT --src=100.42.48.0/20 -m tcp -p tcp --dport=25 -j DROP
0 + 0
user3411864 avatar
drapel cn
user3411864
Dacă sunt whois websitewelcome.com primesc un IP în SUA și nu în Rusia. Deci, subdomeniile primesc noi intervale de IP. Prin urmare, blocarea IP-ului este eficientă doar pentru o perioadă scurtă
0
Răspunde
drapel de
user996142
Dar `smtpd_sender_restrictions` sau `smtpd_helo_restrictions`? Puteți bloca și la acest nivel
0
Răspunde
Puncte:0
avatar Server
drapel fr
Cameron

Blocare firewall:

iptables -t raw -A PREROUTING -s ${BAD_IP} -j DROP

Blocare după antet:

În /etc/postfix/main.cf

header_checks = /etc/postfix/header_checks

În /etc/postfix/header_checks

/De la:\ .*baddomain\.tld/ REDĂȚI DOMENUL RĂU ȘI PURUT

Rulați aceste comenzi

postmap /etc/postfix/header_checks
systemctl restart postfix
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.