Exim: Как избавиться от исходящего спама?

Question

[Олег Свирчев]

Добрый день.

Периодически рассылается спам с сервера через клиентов, которых очень много на сервере (свыше 200 сайтов) по причине взлома клиентских сайтов. Используется панель ISPmanager

Используется дыра в php mail и локальная отправка через сокет. Релей отключен.

В логах
H=localhost (static.204.97.63.178.clients.your-server.de) [127.0.0.1] F= rejected RCPT : relay not permitted
H=farcrysless.ru [91.239.215.127] X=TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256 F= rejected RCPT : relay not permitted

Не смотря на то, что пишет, что релей запрещен, все равно отправляется. Какие правила нужно выполнить, чтобы отключить эти рассылки или как-то их блокировать?

Comments

[Дмитрий Шицков]

rejected RCPT : relay not permitted - значит, что отправки небыло. Найдите записи об успешной отправке.

[Дмитрий Шицков]

А, и ещё, у вас там только Экзим? Сендмеил не завалялся, который шлёт почту параллельно?

[Олег Свирчев]

Дмитрий Шицков: Нет, не завалялся. Я как бы сам админ, но эту хрень не знаю, как побороть.

[Олег Свирчев]

Олег Свирчев: Вот тако проходит емаил. Может и не каждый раз, но проходит точно. В инете полно таких же проблем, но не у кого нету точного решения.
H=localhost (vps2411.inrr.ru) [127.0.0.1] F= rejected RCPT : relay not permitted

Answer 1

[Олег Свирчев]

Вот свежий лог, через который проходят письма.
H=localhost (vps2411.inrr.ru) [127.0.0.1] F= rejected RCPT : relay not permitted

Comments

[Дмитрий Шицков]

Ну, это снова reject. А где вывод лога транспорта, осуществившего доставку?

[Дмитрий Шицков]

Вот, например, вывод удаленной доставки, где видно, что по роутеру dnslookup мы отправили письмо через транспорт remote_smtp:
2016-08-04 11:19:01 1bVDrk-00044w-WE => someuser@gmail.com R=dnslookup T=remote_smtp S=24770 H=gmail-smtp-in.l.google.com [64.233.164.26] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes C="250 2.0.0 OK 1470298741 l1si5152573lfl.185 - gsmtp" DT=1s

[Олег Свирчев]

Дмитрий Шицков: В том и дело, что нету. И это странно. Тем не менее, не только у меня такая проблема. Если погуглить по "H=localhost spam", то наткнетесь на такие же проблемы

[Дмитрий Шицков]

Олег Свирчев: Нашёл только пока только одну мёртвую тему с аналогичным вашему логом и сообщением, что в нём нет информации об успешной отправке сообщения.

[Дмитрий Шицков]

Олег Свирчев: И еще такой глупый вопрос - а php mail() у вас отключён? :)

Answer 2

[iBird Rose]

делайте как тот же reg.ru просто кроет сайт если с него идет спам. и типа пока юзер не почистит сайт после взлома - запускать этот сайт не будут

Comments

[Олег Свирчев]

Это варварское решение. Клиент не может знать как почистить сайт и всякие там ревизиумы и прочее не спасает надолго. Обновление сайта также не всегда работает, т.к. могут слететь стили/модули и т.д.

[Sanes]

Олег Свирчев: Его проблемы

[Олег Свирчев]

Sanes: Если это регру, то да. Если это нормальный хостинг, как например adminvps.ru - то там помогают с этим делом, а не блокируют/посылают. С таким подходом все клиенты разбегутся

[Sanes]

Олег Свирчев: Вам надо устранить источник. А он на стороне клиента. Вы ему можете помочь с диагностикой. А вот проблему устранят пусть самостоятельно. Вы же не нянька!

[Sanes]

Олег Свирчев: С таким подходом вы будете страдать проблемами клиента и ничего не заработаете.

[iBird Rose]

Олег Свирчев: а по вашему - оставить эксплоит на сайте пользователя как есть (тобишь по просту забить на него) и просто перекрыть спам со стороны сервера - это нормально?

[Олег Свирчев]

iBird Rose: По моему - это закрыть исходящий спам и того, кто пытается использовать дыры в сайтах клиента и потом уже написать клиенту для обновления сайта. Нужна комплексная мера.

[iBird Rose]

Олег Свирчев: альтруист прям) Sanes выше правильно сказал. таким макаром вы ничего не заработаете