OpenForum RSS: Exim рассылает спам https://opennet.dev/openforum/vsluhforumID1/95094.html Почтовый сервер Exim рассылает спам, причем в поле отправителя подставляет разные домены. Из поля relay_from_hosts удалял все записи, после этого проверял, через командную строку не дает отправлять почту не из внешней, не из внутренней сети и даже локально если в поле From указан левый домен, но буквально пол минуты и в очереди появляются новая куча сообщений. <br>Подскажите куда капать?<br><br><br>primary_hostname = test.ru<br>domainlist local_domains = ${lookup mysql{select domain from domains where domain='${domain}' and (type='LOCAL' OR type='VIRTUAL')}}<br>domainlist relay_to_domains = ${lookup mysql{select domain from domains where domain='${domain}' and type='RELAY'}}<br><br>hostlist relay_from_hosts = 127.0.0.1 : 192.168.0.0/24<br><br>auth_advertise_hosts = *<br><br>acl_smtp_rcpt = acl_check_rcpt<br>acl_smtp_data = acl_check_data<br>daemon_smtp_ports = 25 : 465 : 587 <br>#tls_on_connect_ports = 465<br>#qualify_domain = test.ru<br>log_selector = \<br> +all_parents \<br> +lost_incoming_connection \<br> +received_send Exim рассылает спам (Denis_56) https://opennet.dev/openforum/vsluhforumID1/95094.html#8 Sun, 13 Oct 2013 17:17:59 GMT Всем спасибо, все оказалось банально, все идет от одного юзера, похоже пароль подобрали.<br>-auth_id ludmila - во всех письмах<br>сменил пароль письма перестали сыпаться<br> Exim рассылает спам (DeadLoco) https://opennet.dev/openforum/vsluhforumID1/95094.html#7 Sun, 13 Oct 2013 17:13:09 GMT &gt; Желательно убрать свою подсеть отсюда: <br>&gt; hostlist relay_from_hosts = 127.0.0.1 : 192.168.0.0/24 <br><br>Это почему же - желательно? <br><br> Exim рассылает спам (DeadLoco) https://opennet.dev/openforum/vsluhforumID1/95094.html#6 Sun, 13 Oct 2013 17:11:30 GMT &gt; Пример письма <br><br>Ацли ваши ни к черту. Вот минимальный набор, попробуйте с ним: <br><br>[code]acl_check_rcpt:<br>accept authenticated = *<br>accept hosts = : +relay_from_hosts<br> control = submission<br> control = no_enforce_sync<br>require domains = +relay_to_domains : +local_domains<br> verify = recipient<br>accept local_parts = postmaster : abuse : admin : root : www : nobody<br> domains = +local_domains<br>deny condition = ${if eq{$host_lookup_failed}{1}}<br>deny condition = ${lookup{$sender_address}nwildlsearch{/usr/local/etc/exim/black.list}{yes}}<br>deny condition = ${lookup{$sender_host_name}nwildlsearch{/usr/local/etc/exim/black.list}{yes}}<br>accept<br>acl_check_data:<br>accept[/code]<br><br>Файл /usr/local/etc/exim/black.list содержит регекспы по одному на строку: <br>[code]^.*bezeqint\.net.*<br>^.*net\.il.*<br>^.*dialup.*<br>^.*pool.*<br>^.*peer.*<br>^.*dhcp.*[/code]<br><br> Exim рассылает спам (Denis_56) https://opennet.dev/openforum/vsluhforumID1/95094.html#5 Sun, 13 Oct 2013 15:13:22 GMT &gt; Желательно убрать свою подсеть отсюда: <br>&gt; hostlist relay_from_hosts = 127.0.0.1 : 192.168.0.0/24 <br><br>убрал, не помогло<br><br> Exim рассылает спам (UserMe) https://opennet.dev/openforum/vsluhforumID1/95094.html#4 Sun, 13 Oct 2013 14:20:24 GMT Желательно убрать свою подсеть отсюда:<br>hostlist relay_from_hosts = 127.0.0.1 : 192.168.0.0/24<br> Exim рассылает спам (Denis_56) https://opennet.dev/openforum/vsluhforumID1/95094.html#3 Sun, 13 Oct 2013 13:30:37 GMT Пример письма<br>root:/var/spool/mqueue&gt;more input/3/1VVLe3-0006QX-Jn-H<br>1VVLe3-0006QX-Jn-H<br>Exim 1002 6<br>&lt;zaq159xsw@mail.ru&gt;<br>1381670623 0<br>-helo_name 86.143.223.123<br>-host_address 86.143.223.123.56915<br>-host_name host86-143-223-123.range86-143.btcentralplus.com<br>-host_auth fixed_plain<br>-interface_address 25.78.18.65.25(наш внешний IP)<br>-received_protocol esmtpa<br>-aclm 0 8<br>atlant72<br>-body_linecount 41<br>-max_received_linelength 76<br>-auth_id ludmila<br>XX<br>1<br>atlant72@yandex.ru<br><br>255P Received: from host86-143-223-123.range86-143.btcentralplus.com ([86.143.223.123] helo=86.143.223.123)<br> by test.ru with esmtpa (Exim 4.80.1)(наш домен)<br> (envelope-from &lt;zaq159xsw@mail.ru&gt;)<br> id 1VVLe3-0006QX-Jn<br> for atlant72@yandex.ru; Sun, 13 Oct 2013 17:23:44 +0400<br>052I Message-ID: &lt;1FDD7FB7259945C4A04351F973839AD2@ehwd&gt;<br>072R Reply-To: =?koi8-r?B?8MHXxcwg4sHCwcXXwQ==?= &lt;nierasegecaps@hotmail.com&gt;<br>060F From: =?koi8-r?B?8MHXxcwg4sHCwcXXwQ==?= &lt;zaq159xsw@mail.ru&gt;<br>025T To: &lt;atlant72@yandex.ru&gt;<br>0 Exim рассылает спам (PavelR) https://opennet.dev/openforum/vsluhforumID1/95094.html#2 Sun, 13 Oct 2013 05:43:55 GMT А что, логи на Вашей системе полностью отключены?<br> Exim рассылает спам (DeadLoco) https://opennet.dev/openforum/vsluhforumID1/95094.html#1 Sat, 12 Oct 2013 22:45:29 GMT &gt; Почтовый сервер Exim рассылает спам, причем в поле отправителя подставляет разные домены. <br>&gt; Из поля relay_from_hosts удалял все записи, после этого проверял, через командную <br>&gt; строку не дает отправлять почту не из внешней, не из внутренней <br>&gt; сети и даже локально если в поле From указан левый домен, <br>&gt; но буквально пол минуты и в очереди появляются новая куча сообщений. <br>&gt; Подскажите куда капать?<br><br>Это могут быть баунсы в ответ на несуществующие локалпарты.<br>Нужно глянуть, как выглядят письма, забивающие очередь. <br>