Problemas com spam recebidos

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Problemas com spam recebidos

Claudio Junior
Ola pessoal

Estou tendo problemas com spam recebidos no qual no cliente do usuário aparece que o email de origem é o mesmo email do usuário, isto é, o email de origem é igual ao email de destino.

Hoje tenho no meu postfix as seguintes regras no main.conf:


smtpd_client_restrictions =
smtpd_helo_restrictions =

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access,
        check_sender_access cidr:/etc/postfix/cidr_koreia_china_nets
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
#       warn_if_reject reject_unverified_sender,
        permit

smtpd_recipient_restrictions =
   permit_mynetworks
#   permit_sasl_authenticated
   reject_unauth_destination
   check_policy_service inet:127.0.0.1:60000
   check_policy_service unix:private/policy-spf
   reject_non_fqdn_sender
   reject_non_fqdn_recipient
   reject_unknown_recipient_domain
   reject_rbl_client bl.spamcop.net
   reject_rbl_client zen.spamhaus.org
   reject_rbl_client dnsbl.sorbs.net

No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no meu dominio (ou dominios).

O header do email que estou recebendo é:

Return-Path: <"www-data@mmnishida"@ig.com.br>
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
    by srv03xxxxxxxx.xxxxxxxx.com (Postfix) with ESMTP id F256C7FCA6
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300 (BRT)
X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3 hex):
    Subject: (URGENTE) Comprovante de Dep\363sito (66703)
Received: from mail.xxxxxxxx.coop.br ([127.0.0.1])
    by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id y6R8q59HOfXP for <[hidden email]>;
    Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx; Mon, 31 Mar 2014 01:50:02 BRT
Received-SPF: None (no SPF record) identity=mailfrom; client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net; envelope-from=www-data@mmnishida@ig.com.br; receiver=[hidden email] 
Received: from npx11.npx11.m5.internal.cloudapp.net (unknown [138.91.20.116])
    by srv03xxxxxxxx.xxxxxxxx.com (Postfix) with ESMTP id 813A97FCA4
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300 (BRT)
Received: by npx11.npx11.m5.internal.cloudapp.net (Postfix, from userid 33)
    id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
Subject: (URGENTE) Comprovante de Depsito (66703)
X-PHP-Originating-Script: 0:wwew.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
Reply-To: [hidden email]
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: [hidden email]
X-Sender: [hidden email]
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 - pf=0.574081 - pg=0.574081
Message-Id: <[hidden email]>
Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)


Alguém sabe o que pode ser? Como é um ambiente de produção, esta difiicl ficar fazendo testes. Preciso implementar uma configuração que barre este tipo de emails. 


--
Claudio da Silva Junior
[hidden email]

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
vic
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

vic
Em 2014-04-01 12:20, Claudio Junior escreveu:

> Ola pessoal
>
> Estou tendo problemas com spam recebidos no qual no cliente do
> usuário aparece que o email de origem é o mesmo email do usuário,
> isto é, o email de origem é igual ao email de destino.
>
> Hoje tenho no meu postfix as seguintes regras no main.conf:
>
> smtpd_client_restrictions =
> smtpd_helo_restrictions =
>
> smtpd_sender_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         check_sender_access hash:/etc/postfix/access,
>         check_sender_access
> cidr:/etc/postfix/cidr_koreia_china_nets
>         reject_non_fqdn_sender,
>         reject_unknown_sender_domain,
> #       warn_if_reject reject_unverified_sender,
>         permit
>
> smtpd_recipient_restrictions =
>    permit_mynetworks
> #   permit_sasl_authenticated
>    reject_unauth_destination
>    check_policy_service inet:127.0.0.1:60000 [1]
>    check_policy_service unix:private/policy-spf
>    reject_non_fqdn_sender
>    reject_non_fqdn_recipient
>    reject_unknown_recipient_domain
>    reject_rbl_client bl.spamcop.net [2]
>    reject_rbl_client zen.spamhaus.org [3]
>    reject_rbl_client dnsbl.sorbs.net [4]
>
> No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
> meu dominio (ou dominios).
>
> O header do email que estou recebendo é:
>
> Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
> Delivered-To: [hidden email]
> Received: from localhost (localhost [127.0.0.1])
>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
> F256C7FCA6
>     for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
> (BRT)
> X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
> [7]
> X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
> hex):
>      Subject: (URGENTE) Comprovante de Dep363sito (66703)
> Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
>     by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
> (amavisd-new, port 10024)
>     with ESMTP id y6R8q59HOfXP for <[hidden email]>;
>     Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
> X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
> Mon, 31 Mar 2014 01:50:02 BRT
> Received-SPF: None (no SPF record) identity=mailfrom;
> client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
> [9]; envelope-from=www-data@[hidden email] [5];
> receiver=[hidden email] 
> Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
> [138.91.20.116])
>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
> 813A97FCA4
>     for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
> (BRT)
> Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
> userid 33)
>     id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
> To: [hidden email]
> Subject: (URGENTE) Comprovante de Depsito (66703)
> X-PHP-Originating-Script: 0:wwew.php
> MIME-Version: 1.0
> Content-type: text/html; charset=iso-8859-1
> X-Mailer: Microsoft Office Outlook, Build 17.551210
> Content-Transfer-encoding: 8bit
> From: [hidden email]
> Reply-To: [hidden email]
> X-Mailer: iGMail [www.ig.com.br [10]]
> X-Originating-Email: [hidden email]
> X-Sender: [hidden email]
> X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
> pf=0.574081 - pg=0.574081
> Message-Id:
> <[hidden email]>
> Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
>
> Alguém sabe o que pode ser? Como é um ambiente de produção, esta
> difiicl ficar fazendo testes. Preciso implementar uma configuração
> que barre este tipo de emails. 
>
> --
> Claudio da Silva Junior
> [hidden email]
>

Configure SPF no(s) seu(s) domínio(s).

--
vic
choppnerd.com
donttrack.us | dontbubble.us
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

Guilherme Rezende
Eu não conseguir resolver esse problema até hoje....


Em 02/04/2014 16:23, vic escreveu:

> Em 2014-04-01 12:20, Claudio Junior escreveu:
>> Ola pessoal
>>
>> Estou tendo problemas com spam recebidos no qual no cliente do
>> usuário aparece que o email de origem é o mesmo email do usuário,
>> isto é, o email de origem é igual ao email de destino.
>>
>> Hoje tenho no meu postfix as seguintes regras no main.conf:
>>
>> smtpd_client_restrictions =
>> smtpd_helo_restrictions =
>>
>> smtpd_sender_restrictions =
>>         permit_mynetworks,
>>         permit_sasl_authenticated,
>>         check_sender_access hash:/etc/postfix/access,
>>         check_sender_access
>> cidr:/etc/postfix/cidr_koreia_china_nets
>>         reject_non_fqdn_sender,
>>         reject_unknown_sender_domain,
>> #       warn_if_reject reject_unverified_sender,
>>         permit
>>
>> smtpd_recipient_restrictions =
>>    permit_mynetworks
>> #   permit_sasl_authenticated
>>    reject_unauth_destination
>>    check_policy_service inet:127.0.0.1:60000 [1]
>>    check_policy_service unix:private/policy-spf
>>    reject_non_fqdn_sender
>>    reject_non_fqdn_recipient
>>    reject_unknown_recipient_domain
>>    reject_rbl_client bl.spamcop.net [2]
>>    reject_rbl_client zen.spamhaus.org [3]
>>    reject_rbl_client dnsbl.sorbs.net [4]
>>
>> No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
>> meu dominio (ou dominios).
>>
>> O header do email que estou recebendo é:
>>
>> Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
>> Delivered-To: [hidden email]
>> Received: from localhost (localhost [127.0.0.1])
>>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
>> F256C7FCA6
>>     for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
>> (BRT)
>> X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
>> [7]
>> X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
>> hex):
>>      Subject: (URGENTE) Comprovante de Dep363sito (66703)
>> Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
>>     by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
>> (amavisd-new, port 10024)
>>     with ESMTP id y6R8q59HOfXP for <[hidden email]>;
>>     Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
>> X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
>> Mon, 31 Mar 2014 01:50:02 BRT
>> Received-SPF: None (no SPF record) identity=mailfrom;
>> client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
>> [9]; envelope-from=www-data@[hidden email] [5];
>> receiver=[hidden email]
>> Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
>> [138.91.20.116])
>>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
>> 813A97FCA4
>>     for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
>> (BRT)
>> Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
>> userid 33)
>>     id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
>> To: [hidden email]
>> Subject: (URGENTE) Comprovante de Depsito (66703)
>> X-PHP-Originating-Script: 0:wwew.php
>> MIME-Version: 1.0
>> Content-type: text/html; charset=iso-8859-1
>> X-Mailer: Microsoft Office Outlook, Build 17.551210
>> Content-Transfer-encoding: 8bit
>> From: [hidden email]
>> Reply-To: [hidden email]
>> X-Mailer: iGMail [www.ig.com.br [10]]
>> X-Originating-Email: [hidden email]
>> X-Sender: [hidden email]
>> X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
>> pf=0.574081 - pg=0.574081
>> Message-Id:
>> <[hidden email]>
>> Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
>>
>> Alguém sabe o que pode ser? Como é um ambiente de produção, esta
>> difiicl ficar fazendo testes. Preciso implementar uma configuração
>> que barre este tipo de emails.
>>
>> --
>> Claudio da Silva Junior
>> [hidden email]
>>
>
> Configure SPF no(s) seu(s) domínio(s).
>

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

Claudio Junior
a questão do SPF já tenho ativo.. Não sei se o nivel de bloqueio esta ok, mas não é este o problema.


--
Claudio da Silva Junior
[hidden email]


2014-04-02 18:07 GMT-03:00 Guilherme Rezende <[hidden email]>:
Eu não conseguir resolver esse problema até hoje....


Em 02/04/2014 16:23, vic escreveu:

Em 2014-04-01 12:20, Claudio Junior escreveu:
Ola pessoal

Estou tendo problemas com spam recebidos no qual no cliente do
usuário aparece que o email de origem é o mesmo email do usuário,
isto é, o email de origem é igual ao email de destino.

Hoje tenho no meu postfix as seguintes regras no main.conf:

smtpd_client_restrictions =
smtpd_helo_restrictions =

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access,
        check_sender_access
cidr:/etc/postfix/cidr_koreia_china_nets
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
#       warn_if_reject reject_unverified_sender,
        permit

smtpd_recipient_restrictions =
   permit_mynetworks
#   permit_sasl_authenticated
   reject_unauth_destination
   check_policy_service inet:127.0.0.1:60000 [1]
   check_policy_service unix:private/policy-spf
   reject_non_fqdn_sender
   reject_non_fqdn_recipient
   reject_unknown_recipient_domain
   reject_rbl_client bl.spamcop.net [2]
   reject_rbl_client zen.spamhaus.org [3]
   reject_rbl_client dnsbl.sorbs.net [4]

No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
meu dominio (ou dominios).

O header do email que estou recebendo é:

Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
F256C7FCA6
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
(BRT)
X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
[7]
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
hex):
     Subject: (URGENTE) Comprovante de Dep363sito (66703)
Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
    by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
(amavisd-new, port 10024)
    with ESMTP id y6R8q59HOfXP for <[hidden email]>;
    Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
Mon, 31 Mar 2014 01:50:02 BRT
Received-SPF: None (no SPF record) identity=mailfrom;
client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
[9]; envelope-from=www-data@mmnishida@ig.com.br [5];
receiver=[hidden email]
Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
[138.91.20.116])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
813A97FCA4
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
(BRT)
Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
userid 33)
    id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
To: [hidden email]
Subject: (URGENTE) Comprovante de Depsito (66703)
X-PHP-Originating-Script: 0:wwew.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: [hidden email]
Reply-To: [hidden email]
X-Mailer: iGMail [www.ig.com.br [10]]
X-Originating-Email: [hidden email]
X-Sender: [hidden email]
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
pf=0.574081 - pg=0.574081
Message-Id:
<[hidden email]>
Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)

Alguém sabe o que pode ser? Como é um ambiente de produção, esta
difiicl ficar fazendo testes. Preciso implementar uma configuração
que barre este tipo de emails.

--
Claudio da Silva Junior
[hidden email]


Configure SPF no(s) seu(s) domínio(s).


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

Marcelo Padovan
Olá pessoal,

Também sofro um pouco com spoofing, mas pela depuração que pude fazer o problema não é com o FROM e sim com o Return Path.
Todas as mensagens" spoofadas" com meu dominio tinha um return path apontando para o dominio de origem da mensagem.

Não sou profundo conhecedor da RFC4408, alguém sabe se o return path tem preferência sobre o FROM na checagem do SPF.

Achei alguma coisa no google sobre isso, caso obtenham sucesso, por favor comentem.

Links:
Abraços


Atenciosamente.

Marcelo Padovan
(16) 99703-4939

Skype: marpadovan / [hidden email]
Gtalk: [hidden email]



On Wed, Apr 2, 2014 at 6:53 PM, Claudio Junior <[hidden email]> wrote:
a questão do SPF já tenho ativo.. Não sei se o nivel de bloqueio esta ok, mas não é este o problema.


--
Claudio da Silva Junior
[hidden email]


2014-04-02 18:07 GMT-03:00 Guilherme Rezende <[hidden email]>:

Eu não conseguir resolver esse problema até hoje....


Em 02/04/2014 16:23, vic escreveu:

Em 2014-04-01 12:20, Claudio Junior escreveu:
Ola pessoal

Estou tendo problemas com spam recebidos no qual no cliente do
usuário aparece que o email de origem é o mesmo email do usuário,
isto é, o email de origem é igual ao email de destino.

Hoje tenho no meu postfix as seguintes regras no main.conf:

smtpd_client_restrictions =
smtpd_helo_restrictions =

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access,
        check_sender_access
cidr:/etc/postfix/cidr_koreia_china_nets
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
#       warn_if_reject reject_unverified_sender,
        permit

smtpd_recipient_restrictions =
   permit_mynetworks
#   permit_sasl_authenticated
   reject_unauth_destination
   check_policy_service inet:127.0.0.1:60000 [1]
   check_policy_service unix:private/policy-spf
   reject_non_fqdn_sender
   reject_non_fqdn_recipient
   reject_unknown_recipient_domain
   reject_rbl_client bl.spamcop.net [2]
   reject_rbl_client zen.spamhaus.org [3]
   reject_rbl_client dnsbl.sorbs.net [4]

No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
meu dominio (ou dominios).

O header do email que estou recebendo é:

Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
F256C7FCA6
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
(BRT)
X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
[7]
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
hex):
     Subject: (URGENTE) Comprovante de Dep363sito (66703)
Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
    by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
(amavisd-new, port 10024)
    with ESMTP id y6R8q59HOfXP for <[hidden email]>;
    Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
Mon, 31 Mar 2014 01:50:02 BRT
Received-SPF: None (no SPF record) identity=mailfrom;
client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
[9]; envelope-from=www-data@mmnishida@ig.com.br [5];
receiver=[hidden email]
Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
[138.91.20.116])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
813A97FCA4
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
(BRT)
Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
userid 33)
    id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
To: [hidden email]
Subject: (URGENTE) Comprovante de Depsito (66703)
X-PHP-Originating-Script: 0:wwew.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: [hidden email]
Reply-To: [hidden email]
X-Mailer: iGMail [www.ig.com.br [10]]
X-Originating-Email: [hidden email]
X-Sender: [hidden email]
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
pf=0.574081 - pg=0.574081
Message-Id:
<[hidden email]>
Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)

Alguém sabe o que pode ser? Como é um ambiente de produção, esta
difiicl ficar fazendo testes. Preciso implementar uma configuração
que barre este tipo de emails.

--
Claudio da Silva Junior
[hidden email]


Configure SPF no(s) seu(s) domínio(s).


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

Carlos Alberto Greco
Estou com mesmo problema, mas reparei que nos dois emails temos,  Received-SPF: None (no SPF record), poderia recusar o e-mail?
uso zimbra

Greco


De: "Marcelo Padovan" <[hidden email]>
Para: "Lista de administradores de servidores Postfix do Brasil" <[hidden email]>
Enviadas: Terça-feira, 8 de abril de 2014 16:47:56
Assunto: Re: [Postfix-br] Problemas com spam recebidos

Olá pessoal,

Também sofro um pouco com spoofing, mas pela depuração que pude fazer o problema não é com o FROM e sim com o Return Path.
Todas as mensagens" spoofadas" com meu dominio tinha um return path apontando para o dominio de origem da mensagem.

Não sou profundo conhecedor da RFC4408, alguém sabe se o return path tem preferência sobre o FROM na checagem do SPF.

Achei alguma coisa no google sobre isso, caso obtenham sucesso, por favor comentem.

Links:
Abraços


Atenciosamente.

Marcelo Padovan
(16) 99703-4939

Skype: marpadovan / [hidden email]
Gtalk: [hidden email]



On Wed, Apr 2, 2014 at 6:53 PM, Claudio Junior <[hidden email]> wrote:
a questão do SPF já tenho ativo.. Não sei se o nivel de bloqueio esta ok, mas não é este o problema.


--
Claudio da Silva Junior
[hidden email]


2014-04-02 18:07 GMT-03:00 Guilherme Rezende <[hidden email]>:

Eu não conseguir resolver esse problema até hoje....


Em 02/04/2014 16:23, vic escreveu:

Em 2014-04-01 12:20, Claudio Junior escreveu:
Ola pessoal

Estou tendo problemas com spam recebidos no qual no cliente do
usuário aparece que o email de origem é o mesmo email do usuário,
isto é, o email de origem é igual ao email de destino.

Hoje tenho no meu postfix as seguintes regras no main.conf:

smtpd_client_restrictions =
smtpd_helo_restrictions =

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access,
        check_sender_access
cidr:/etc/postfix/cidr_koreia_china_nets
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
#       warn_if_reject reject_unverified_sender,
        permit

smtpd_recipient_restrictions =
   permit_mynetworks
#   permit_sasl_authenticated
   reject_unauth_destination
   check_policy_service inet:127.0.0.1:60000 [1]
   check_policy_service unix:private/policy-spf
   reject_non_fqdn_sender
   reject_non_fqdn_recipient
   reject_unknown_recipient_domain
   reject_rbl_client bl.spamcop.net [2]
   reject_rbl_client zen.spamhaus.org [3]
   reject_rbl_client dnsbl.sorbs.net [4]

No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
meu dominio (ou dominios).

O header do email que estou recebendo é:

Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
F256C7FCA6
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
(BRT)
X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
[7]
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
hex):
     Subject: (URGENTE) Comprovante de Dep363sito (66703)
Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
    by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
(amavisd-new, port 10024)
    with ESMTP id y6R8q59HOfXP for <[hidden email]>;
    Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
Mon, 31 Mar 2014 01:50:02 BRT
Received-SPF: None (no SPF record) identity=mailfrom;
client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
[9]; envelope-from=www-data@mmnishida@ig.com.br [5];
receiver=[hidden email]
Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
[138.91.20.116])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
813A97FCA4
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
(BRT)
Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
userid 33)
    id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
To: [hidden email]
Subject: (URGENTE) Comprovante de Depsito (66703)
X-PHP-Originating-Script: 0:wwew.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: [hidden email]
Reply-To: [hidden email]
X-Mailer: iGMail [www.ig.com.br [10]]
X-Originating-Email: [hidden email]
X-Sender: [hidden email]
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
pf=0.574081 - pg=0.574081
Message-Id:
<[hidden email]>
Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)

Alguém sabe o que pode ser? Como é um ambiente de produção, esta
difiicl ficar fazendo testes. Preciso implementar uma configuração
que barre este tipo de emails.

--
Claudio da Silva Junior
[hidden email]


Configure SPF no(s) seu(s) domínio(s).


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

LunarZone
This post has NOT been accepted by the mailing list yet.
In reply to this post by Claudio Junior
reject_rbl_client ip.v4bl.org
reject_rbl_client bl.spamcannibal.org
reject_rbl_client ips.backscatterer.org
reject_rbl_client dnsbl.inps.de
reject_rbl_client psbl.surriel.com
reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2
reject_rbl_client fresh15.spameatingmonkey.net
reject_rbl_client noptr.spamrats.com
reject_rbl_client bl.spamstinks.com

Free English, Spanish, & Portuguese Ecards for Birthdays, Christmas, Navidad, Valentines, & Love

Reply | Threaded
Open this post in threaded view
|

Re: Problemas com spam recebidos

Claudio Junior
In reply to this post by Carlos Alberto Greco
Ola pessoal

Depois de um tempo estudando o postfix para melhorar os problemas que estou tendo com spans, eu implementei a seguinte solução relacionadas a restrições:

smtpd_client_restrictions =
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions =
smtpd_etrn_restrictions =
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks        permit_sasl_authenticated       permit_mynetworks       permit_sasl_authenticated       reject_unauth_destination       reject_non_fqdn_sender  reject_non_fqdn_recipient       reject_unknown_sender_domain    reject_unknown_recipient_domain reject_rbl_client bl.spamcop.net        reject_rbl_client zen.spamhaus.org      reject_rbl_client dnsbl.sorbs.net       check_sender_access mysql:/etc/postfix/mysql_virtual_mysenders_maps.cf  check_sender_access cidr:/etc/postfix/cidr_koreia_china_nets    check_policy_service inet:127.0.0.1:60000      check_policy_service unix:private/policy-spf
smtpd_sender_restrictions =


A consulta em mysql_virtual_mysendes_maps retorna os meus dominios servidos pelo mysql com a opção de reject. A ideia é bloquear o envio de emails a partir do meu domínio para usuários não autenticados. O resto vejam por vcs mesmo. Estou usando também algumas rbls. 

O que vs acham disto? 

Podem passar maiores sugestões para melhorar?

Att.


--
Claudio da Silva Junior
[hidden email]


Em 8 de abril de 2014 17:58, Carlos <[hidden email]> escreveu:
Estou com mesmo problema, mas reparei que nos dois emails temos,  Received-SPF: None (no SPF record), poderia recusar o e-mail?
uso zimbra

Greco


De: "Marcelo Padovan" <[hidden email]>
Para: "Lista de administradores de servidores Postfix do Brasil" <[hidden email]>
Enviadas: Terça-feira, 8 de abril de 2014 16:47:56
Assunto: Re: [Postfix-br] Problemas com spam recebidos


Olá pessoal,

Também sofro um pouco com spoofing, mas pela depuração que pude fazer o problema não é com o FROM e sim com o Return Path.
Todas as mensagens" spoofadas" com meu dominio tinha um return path apontando para o dominio de origem da mensagem.

Não sou profundo conhecedor da RFC4408, alguém sabe se o return path tem preferência sobre o FROM na checagem do SPF.

Achei alguma coisa no google sobre isso, caso obtenham sucesso, por favor comentem.

Links:
Abraços


Atenciosamente.

Marcelo Padovan
<a href="tel:%2816%29%2099703-4939" value="+5516997034939" target="_blank">(16) 99703-4939

Skype: marpadovan / [hidden email]
Gtalk: [hidden email]



On Wed, Apr 2, 2014 at 6:53 PM, Claudio Junior <[hidden email]> wrote:
a questão do SPF já tenho ativo.. Não sei se o nivel de bloqueio esta ok, mas não é este o problema.


--
Claudio da Silva Junior
[hidden email]


2014-04-02 18:07 GMT-03:00 Guilherme Rezende <[hidden email]>:

Eu não conseguir resolver esse problema até hoje....


Em 02/04/2014 16:23, vic escreveu:

Em 2014-04-01 12:20, Claudio Junior escreveu:
Ola pessoal

Estou tendo problemas com spam recebidos no qual no cliente do
usuário aparece que o email de origem é o mesmo email do usuário,
isto é, o email de origem é igual ao email de destino.

Hoje tenho no meu postfix as seguintes regras no main.conf:

smtpd_client_restrictions =
smtpd_helo_restrictions =

smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access,
        check_sender_access
cidr:/etc/postfix/cidr_koreia_china_nets
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
#       warn_if_reject reject_unverified_sender,
        permit

smtpd_recipient_restrictions =
   permit_mynetworks
#   permit_sasl_authenticated
   reject_unauth_destination
   check_policy_service inet:127.0.0.1:60000 [1]
   check_policy_service unix:private/policy-spf
   reject_non_fqdn_sender
   reject_non_fqdn_recipient
   reject_unknown_recipient_domain
   reject_rbl_client bl.spamcop.net [2]
   reject_rbl_client zen.spamhaus.org [3]
   reject_rbl_client dnsbl.sorbs.net [4]

No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
meu dominio (ou dominios).

O header do email que estou recebendo é:

Return-Path: <"www-data@mmnishida"@ig.com.br [5]>
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
F256C7FCA6
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:10 -0300
(BRT)
X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
[7]
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
hex):
     Subject: (URGENTE) Comprovante de Dep363sito (66703)
Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
    by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
(amavisd-new, port 10024)
    with ESMTP id y6R8q59HOfXP for <[hidden email]>;
    Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
Mon, 31 Mar 2014 01:50:02 BRT
Received-SPF: None (no SPF record) identity=mailfrom;
client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
[9]; envelope-from=www-data@mmnishida@ig.com.br [5];
receiver=[hidden email]
Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
[138.91.20.116])
    by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
813A97FCA4
    for <[hidden email]>; Mon, 31 Mar 2014 01:50:02 -0300
(BRT)
Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
userid 33)
    id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
To: [hidden email]
Subject: (URGENTE) Comprovante de Depsito (66703)
X-PHP-Originating-Script: 0:wwew.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: [hidden email]
Reply-To: [hidden email]
X-Mailer: iGMail [www.ig.com.br [10]]
X-Originating-Email: [hidden email]
X-Sender: [hidden email]
X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
pf=0.574081 - pg=0.574081
Message-Id:
<[hidden email]>
Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)

Alguém sabe o que pode ser? Como é um ambiente de produção, esta
difiicl ficar fazendo testes. Preciso implementar uma configuração
que barre este tipo de emails.

--
Claudio da Silva Junior
[hidden email]


Configure SPF no(s) seu(s) domínio(s).


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br