SOCL.cz
blog nejen o Internetu

Otravní spammeři a zasílání agregovaných DMARC reportů

publikováno 13. 11. 2017 v 21:45

Už mne přestaly bavit chybové hlášky o nepovedeném zaslání agregovaných DMARC reportů spammerům. Tyto chybové hlášky se hromadí den co den v logu poštovního serveru a nedoručené reporty visí ve frontě. Zakázat však DMARC reporty úplně nechci. Tak jak z toho ven, když používáme na serveru Postfix?

Denně kontroluju logy poštovního serveru (pomocí skriptu pflogsumm, případně ručně pomocí příkazů cat maillog | grep "whatever") a běžně vidím podobné chyby:

message deferral detail
-----------------------
  smtp (total: 1049)
        24   denhaagcs.com[185.140.110.3]:25: Connection refused
        24   lexiejrunge.com[185.140.110.3]:25: Connection refused
        24   pingduw.com[185.140.110.3]:25: Connection refused
        24   sherohonar.com[185.140.110.3]:25: Connection refused
        24   sjcamuk.com[185.140.110.3]:25: Connection refused
        21   assainiss.com[185.140.110.3]:25: Connection refused
        21   datachicago.com[185.140.110.3]:25: Connection refused
        21   dttguatemala.com[185.140.110.3]:25: Connection refused
        21   getsourceapp.com[185.140.110.3]:25: Connection refused
        21   grupopuente.com[185.140.110.3]:25: Connection refused
        21   misaldergi.com[185.140.110.3]:25: Connection refused
        21   mlsnakocka.com[185.140.110.3]:25: Connection refused
        21   nabelletoys.com[185.140.110.3]:25: Connection refused
        21   nochee.com[185.140.110.3]:25: Connection refused
        21   oleybee.com[185.140.110.3]:25: Connection refused
        21   syrrodents.com[185.140.110.3]:25: Connection refused
        21   turdizi.com[185.140.110.3]:25: Connection refused
        20   alyamasaj.com[185.140.110.3]:25: Connection refused
        20   bizimledurde.com[185.140.110.3]:25: Connection refused
        20   bxrepo.com[185.140.110.3]:25: Connection refused
        20   deeruma.com[185.140.110.3]:25: Connection refused
        20   dhiichims.com[185.140.110.3]:25: Connection refused
        20   dnacatamaran.com[185.140.110.3]:25: Connection refused
        20   gigakniga.com[185.140.110.3]:25: Connection refused
        20   ladnerminor.com[185.140.110.3]:25: Connection refused
        20   madurasok.com[185.140.110.3]:25: Connection refused
        20   nyspsorts.com[185.140.110.3]:25: Connection refused
        20   valmoor.com[185.140.110.3]:25: Connection refused
        ...

Zatracený spam!

Pokud žijete v ČR, určitě už i do vaší poštovní schránky dorazil spam nabízející HD kamery do auta, zahradní nástroje či osvětlení. Domnívám se, že jde o podvod nějakého chorého mozku a vřele nedoporučuju si tyhle pochybné věci objednávat, ale o tom snad raději jindy. Poštovní server v práci drtivou většinu tohoto spamu zastaví - buď jej označí jako ***SPAM*** a hodí jej do příslušného adresáře pro nevyžádanou poštu nebo spam rovnou zahodí. S tím tedy problém není a tenhle bordel končí přesně tak, jak má. Jenže dotyčný spammer nás chce ještě trošku potrápit, když už jeho spam nedojde do cíle, proto požaduje agregovaný DMARC report, a to na cílovou IP adresu 185.140.110.3. Na této IP adrese ale žádný poštovní server nenaslouchá, spojení je odmítnuto. Takže tím akorát na serveru bobtná fronta e-mailů k odeslání...

DMARC záznam jedné takové obyčejné spammerské domény datachicago.com vypadá například takto:

v=DMARC1;p=none;adkim=r;ri=86400;rua=mailto:admin@datachicago.com

Doména datachicago.com nemá žádný MX záznam, ale to podle RFC ani nemusí, postačí existence A záznamu - zmíněná IP adresa 185.140.110.3. Takže co s tím? Říci Postfixu, aby žádné e-maily na tuto IP adresu nezasílal! Bohužel tato funkcionalita je možná jen od verze 3.0 a výše. A Postfix v práci na produkčním serveru je ve verzi 2.10.1. Mohl bych se pokusit stáhnout balíček s vyšší verzí, ale teď fakt nemám prostor k laborování, tak jsem využil své dostupné zdroje a na druhém linuxovém serveru rozjel nejnovější Postfix (kompilací ze zdroje) a OpenDMARC nastavil tak, aby reporty zasílal přes tento poštovní server. A funguje to skvěle, stačilo přidat následující řádek do main.cf:

smtpd_recipient_restrictions =
 check_recipient_a_access hash:/etc/postfix/recipient_access,
 permit_mynetworks,
 reject_non_fqdn_recipient,
 ...

Do souboru recipient_access vložit:

185.140.110.3 REJECT

A příkazem postmap recipient_access vytvořit datový soubor pro Postfix. A na chvilku je zase klid. :-)

 

štítky: blokace DMARC linux podvod postfix spam
579x přečteno

Komentáře k článku (0)

Zatím nikdo nic nenapsal, chcete být první?
Vaše jméno/přezdívka: (max 40 znaků)

Web: (nepovinné, max 100 znaků)

Opiště sekvenci znaků:

captcha!

Zde napište komentář: (max 512 znaků)

Copyright © 2015-2018 SOCL.cz, RSS 2.0 RSS kanál blogu
Všechna práva vyhrazena, nebo tak nějak. Kontakt: mujblog(na)socl.cz

WEDOS BANNER