• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

swyatogor

Green Team
24.02.2014
593
24
BIT
0
c грейлистингом как-то баловались.. но наткнулись на то, что некоторые сервисы, предоставляющие нам услуги, не хотят работать через такие условия и сообщения не доставляются .. Для бизнеса критично(( причем некоторые очень.. типа заказов от торговых сетей..
 

aameno2

Lotus Team
27.01.2009
754
152
BIT
225
Руки ваши, да будут здоровы.
Во первых, грейлист обучается сам. И задержка будет только с первым письмом.
Во вторых, белые списки никто не отменял)
В третьих, в четвертых и т.д. Моншер, для бизнеса будет хорошо получить шифровальщик?
Его ведь антивирус вообще не определит, а с таких рассылок это весьма вероятно.
Далее, дким, спф уже де факто, стандарт. Попробуйте отправить полсотни писем на гмейл....может повезет, а может вступите в длительный квест по обьяснениям с саппортом гугла. У вас же оно настроено? На своем сервере?
Так включите проверку, и отказывайтесь от непонятных писем.
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
печаль.. spf и dkim у этих писем в норме((
Добавлено:
аххаххаха.. и грейлистинг они тоже проходят))))

хмм... такое ощущение, что прошло массовое заражение в европе рабочих станций разных фирм.. и через эту бот-сеть идет рассылка.. по всем правилам.. Это только ждать когда их всех в DNSBL отправят..
 
Последнее редактирование:

swyatogor

Green Team
24.02.2014
593
24
BIT
0
Код:
Received: from mail.romcor.ru ([10.0.0.47])
          by lotus.romcor.ru (IBM Domino Release 9.0.1FP7)
          with ESMTP id 2016101121051869-13805 ;
          Tue, 11 Oct 2016 21:05:18 +0500
Received: from localhost (localhost [127.0.0.1])
    by mail.romcor.ru (Postfix) with ESMTP id 6040A7FC75
    for <***@romcor.ru>; Tue, 11 Oct 2016 21:03:32 +0500 (+05)
X-Virus-Scanned: amavisd-new at romcor.ru
X-Spam-Flag: NO
X-Spam-Score: 2.753
X-Spam-Level: **
X-Spam-Status: No, score=2.753 tagged_above=-999 required=2.9
    tests=[FREEMAIL_FORGED_REPLYTO=2.503, FREEMAIL_REPLYTO_END_DIGIT=0.25,
    HTML_MESSAGE=0.001, SPF_PASS=-0.001] autolearn=no
Received: from mail.romcor.ru ([127.0.0.1])
    by localhost (mail.romcor.ru [127.0.0.1]) (amavisd-new, port 10024)
    with LMTP id PUSZoC8BE1MI for <***@romcor.ru>;
    Tue, 11 Oct 2016 21:03:31 +0500 (+05)
Received-SPF: pass (excluzivem.eu: 85.25.226.204 is authorized to use 'info@excluzivem.eu' in 'mfrom' identity (mechanism 'a' matched)) receiver=eman-relay-01.pomkop; identity=mailfrom; envelope-from="info@excluzivem.eu"; helo=mail.excluzivem.eu; client-ip=85.25.226.204
Received: from mail.excluzivem.eu (s1.excluzivem.eu [85.25.226.204])
    by mail.romcor.ru (Postfix) with ESMTP id 452A37FC66
    for <***@romcor.ru>; Tue, 11 Oct 2016 21:02:41 +0500 (+05)
Received: from excluzivem.eu (node-212-158-175-28.it-virtualization.ru [212.158.175.28])
    by mail.excluzivem.eu (Postfix) with ESMTPA id 52BB724C8F4;
    Tue, 11 Oct 2016 10:14:54 +0300 (EEST)
Message-ID: <560201d223a8$52cb78b0$20c9f30f@info>
Reply-To: kanaschkina.olga2016@yandex.ru
From: "=?windows-1251?B?0/fl4e376SDW5e3y8A==?=" <info@excluzivem.eu>
To: <serbulova_nl@ro24.fss.ru>
Subject: =?windows-1251?B?zuH/5+Dt7e7x8ugg6CDu8uLl8vHy4uXt7e7x8vwg4+vg4u3u4+4g4fP14+Dr8uXw4CDoIPHu8vDz5O3o6u7iIOHz9ePg6/Ll8OjoLiDR8+Tl4e3g/yDv8ODq8ujq4C4=?=
Date: Tue, 11 Oct 2016 10:14:59 +0300
MIME-Version: 1.0
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
X-MIMETrack: Itemize by SMTP Server on ezop/POMKOP(Release 9.0.1FP7|August  17, 2016) at
11.10.2016 21:05:18,
    Serialize by Notes Client on *****/POMKOP(Release 9.0.1|October
14, 2013) at 11.10.2016 21:14:43,
    Serialize complete at 11.10.2016 21:14:43
X-Notes-Item: 42AA8146:70412FA9-FD8F1A6B:1F69F6FF;
type=4; name=$INetOrig
X-Notes-Item: Tue, 11 Oct 2016 10:14:59 +0300;
type=400; name=$Created
X-TNEFEvaluated: 1
X-Notes-Item: Memo;
name=Form
X-Notes-Item: CN=ezop/O=POMKOP;
type=501; flags=44; name=$UpdatedBy
X-Notes-Item: 5D42B7E1:540925B4-45258049:0058607D;
type=4; name=$Orig
X-Notes-Item: ;
type=501; name=Categories
X-Notes-Item: ;
type=401; name=$Revisions
X-Notes-Item: CN=ezop/O=POMKOP;
type=501; flags=0; name=RouteServers
X-Notes-Item: 11-Oct-2016 21:05:18 ZE5/11-Oct-2016 21:05:18 ZE5;
type=401; flags=0; name=RouteTimes
X-Notes-Item: Tue, 11 Oct 2016 21:05:18 +0500;
type=400; name=DeliveredDate
X-Notes-Item: =?KOI8-R?B?9d7Fws7ZyiDjxc7U0iDQ0snHzMHbwcXUINDSyc7R1Ngg1d7B09TJxSAg1w==?=
=?KOI8-R?B?INPFzcnOwdLFOg==?=;
flags=6; name=$Abstract
X-Notes-Item: 42AA8146:70412FA9-FD8F1A6B:1F69F6FF;
type=4; name=$TUA
X-Notes-Item: 1;
name=$NoteHasNativeMIME
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0006_01D223A8.278CEA30"

This is a multi-part message in MIME format.
 

aameno2

Lotus Team
27.01.2009
754
152
BIT
225
например.
Я к чему, спф письмо ваше прошло. Однако, среднестатистический офис.
Выход в сеть адын. Внешний адрес адын. А админ идиот. Ну почти.
25 во внешний не заблокирован, и мааленький рассыльщик. Как результат, вы получаете письмо с валидным спф.
А вот с дким картина будет другой :)
Вы же подписываете свои письма ?;)
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
хм.. что то бяда.. в письмах появилась запись DKIM-Filter.. но это и всё((
Если есть подпись - то есть результат проверки, нету.. то и все.. только о том фильтр его смотрел.. Не могу найти инфы как сортировать или помечать письма не прошедшие проверку((.. лучше конечно помечать и пропускать)
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
Как включить подпись - да.. как включить проверку - только упоминание, что можно включить проверку вот так или так.. а что дальше делать - нигде.. два дня уже инет шерстю..
 

aameno2

Lotus Team
27.01.2009
754
152
BIT
225
Начнем с главного. Вы свои письма подписываете?
Какая связка у вас стоит на релее?
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
Свои подписываем.. Postfix через opendkim подписывает..на выход
а на вход Postfix(opendkim)+avamisd-new+spamassassin
на входе проверяет и opendkim - есть заголовок в письмах DKIM_Filter - OpenDKIM Filter v2.10.3
и потом еще Amavis проверяет, появляется поле Authentication_Results, если есть подпись DKIM_Signature

я понимаю что это избыточная проверка.. но пока на период настройки необходимо..
Нужно отлавливать письма без подписи и помечать какой-нить меткой, но пропускать дальше.. Обрубать совсем нельзя - почти все крупные торговые сети - Лента, магнит, х5 - шлют письма без подписи и без SPF.. потеряем письмо - многомилионный штраф может прикорячится.. Нужно сначала их отсеять внести в вайтлисты, а уже потом закручивать гайки..
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
new68.gif
процентов 80 входящих писем без подписи..
 

aameno2

Lotus Team
27.01.2009
754
152
BIT
225
opendkim лишний. Амавис сам умеет подписывать.
 

aameno2

Lotus Team
27.01.2009
754
152
BIT
225
Отправителей) (шутка)
У меня 90% писем от забугорных. А у них дким процветает
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
А у мну такие отправители, что только пойти повесится.. тот же fms.gov.ru(( почти все торговые сети (кроме ашана единственный вроде с DKIM'ом)..
 

swyatogor

Green Team
24.02.2014
593
24
BIT
0
Подскажите, если кто знает, еще вот такую бяду..
Хочу сделать проверку для spamassassin по полю In_Reply_To..
Не могу сделать правило((
по аналогии с талмудом -
Код:
header   __AUTH_YAHOO1  From:addr =~ m{[\@.]yahoo\.com$}mi
мой вариант не срабатывает..
Код:
header   _HH1_ME  In_Reply_To:addr =~ m{[\@.]мойдомен\.ру}mi
ЧЯДНТ??
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!