作者主題: SPAM 垃圾郵件連線問題判斷 (閱讀 3890 次)

fireflybug · « 於: 2007-11-07 10:43 »

各位大大好：

今天忽然收到很多SPAM Mail ，雖然都有被 spamassassin 正確判斷，但是還是很想從源頭就檔下退信，不收進信箱，對於反解檢查，請問是在哪個步驟開始檢查?大概的流程?偽裝IP可以逃過檢查嗎?是否有人能說明一下，謝謝。

以下是某封 spam mail 的 log：

最初的連線：
Nov 7 08:22:22 mails postfix/smtpd[10118]: connect from 216-55-142-24.dedicated.abac.net[216.55.142.24]

開始做郵件編號：
Nov 7 08:22:23 mails postfix/smtpd[10118]: 8B68F71575: client=216-55-142-24.dedicated.abac.net[216.55.142.24]

最後轉信位置：
Nov 7 08:22:24 mails postfix/cleanup[10656]: 8B68F71575: hold: header Received: from 216-55-142-24.dedicated.abac.net (216-55-142-24.dedicated.abac.net [216.55.142.24])??by mails.fec.com.tw (Postfix) with SMTP id 8B68F71575??for <rogerlin@fec.com.tw>; Wed, 7 Nov 2007 0 from 216-55-142-24.dedicated.abac.net[216.55.142.24]; from=<ccyueh@cm1.hinet.net> to=<rogerlin@fec.com.tw> proto=SMTP helo=<216-55-142-24.dedicated.abac.net>

上一個轉信位置：
Nov 7 08:22:24 mails postfix/cleanup[10656]: 8B68F71575: hold: header Received: from 219.80.212.192 by 216.55.142.24; Sat, 11 Nov 2006 01:13:53 +0100 from 216-55-142-24.dedicated.abac.net[216.55.142.24]; from=<ccyueh@cm1.hinet.net> to=<rogerlin@fec.com.tw> proto=SMTP helo=<216-55-142-24.dedicated.abac.net>

將信收下編ID：
Nov 7 08:22:24 mails postfix/cleanup[10656]: 8B68F71575: message-id=<YXMIBZWDQKJPXYRTJXZSOCZ@hotmail.com>

結束連線：
Nov 7 08:22:24 mails postfix/smtpd[10118]: disconnect from 216-55-142-24.dedicated.abac.net[216.55.142.24]

若我在/etc/postfix/access 底下抵擋 dedicated.abac.net 有用嗎?如：
dedicated.abac.net REJECT We can't allow SPAM Mail to relay!

hankce · « **回覆 #1 於:** 2007-11-08 16:16 »

你的架構是..postfix..和spamacces..嗎..還是另外還有amavisd clamav..
嗯嗯~你指的源頭..是只還沒進入主機前..還是以經進入主機了...在mail..還是佇列?
偽裝ip?你是指偽裝寄件者,他domain..和他來源ip不一樣嗎..?
如果是postfix 可用
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_recipient_access pcre:/etc/postfix/reci_checks,
check_relay_domains

fireflybug · « **回覆 #2 於:** 2007-11-08 17:50 »

恩是 postfix + spamassassin + PROCMAIL + F-port

信還沒進來前，對方要先與 Server 連線，我指的最初的連線，就是指這裡。

最初的連線：
Nov 7 08:22:22 mails postfix/smtpd[10118]: connect from 216-55-142-24.dedicated.abac.net[216.55.142.24]

這邊有辦法偽裝嗎?如果有的話，那反查的機制應該就破功了，因為可以偽裝成正常的可反查的IP就可通過檢查。

shadow · « **回覆 #3 於:** 2007-11-09 09:38 »

若是有沒設定反查的
信就寄不到了說

hankce · « **回覆 #4 於:** 2007-11-10 01:49 »

那邊沒辦法偽裝吧..如果你明白DNS原理的話...
如果有偽裝..那也只有 ..hinet..twnic..那些有辦法..畢竟你的主機
指向的dns server..不是自己架的就是hinet..或是那些ISP..

酷!學園

最新消息: