linux:mail:ylmf_pc
Содержание
Exim и ylmf-pc
Я пришёл к тебе с elho рассказать что в спамкоп ты сейчас уедешь неопытный админ.
Обнаружил в логах странные записи. Оказалось это старый ботнет Cutwail.
В reject.log ежедневно подобные записи
# cat /var/log/exim/reject.log | grep ylmf-pc 2017-11-29 19:52:16 auth_login authenticator failed for (ylmf-pc) [84.199.232.154]: 535 Incorrect authentication data 2017-11-29 19:52:26 auth_login authenticator failed for (ylmf-pc) [84.199.232.154]: 535 Incorrect authentication data 2017-11-29 22:57:37 auth_login authenticator failed for mail.hhint.nl (ylmf-pc) [213.126.55.154]: 535 Incorrect authentication data 2017-11-29 22:57:47 auth_login authenticator failed for mail.hhint.nl (ylmf-pc) [213.126.55.154]: 535 Incorrect authentication data 2017-11-29 23:50:00 auth_login authenticator failed for (ylmf-pc) [187.4.230.17]: 535 Incorrect authentication data 2017-11-29 23:50:11 auth_login authenticator failed for (ylmf-pc) [187.4.230.17]: 535 Incorrect authentication data 2017-11-30 08:33:57 auth_login authenticator failed for ghe1544479.lnk.telstra.net (ylmf-pc) [101.187.124.125]: 535 Incorrect authentication data (set_id=sales@portia.ru) 2017-11-30 08:34:14 auth_login authenticator failed for ghe1240337.lnk.telstra.net (ylmf-pc) [149.135.117.174]: 535 Incorrect authentication data (set_id=sales@portia.ru)
Как с этим бороться?
Exim
Подсказки на Github
Блокируем один HELO
acl_smtp_helo = acl_check_helo
acl_smtp_helo:
#BEGIN ACL_SMTP_HELO_BLOCK
drop
condition = ${if eq {$sender_helo_name}{ylmf-pc} {yes}{no}}
log_message = HELO/EHLO - ylmf-pc blocked
message = I Nailed You at HELO
accept
#END ACL_SMTP_HELO_BLOCK
Блокируем несколько HELO (пример отсюда, не проверял, но наверное работает)
acl_check_helo:
accept
hosts = +own_hosts
deny condition = ${if or { \
{eq {${lc:$sender_helo_name}}{example.com}} \
{eq {${lc:$sender_helo_name}}{1.2.3.4}} \
} {true}{false} }
accept
Exim с установленным WHM/cPanel
Рассмотрим ещё один вариант, когда нужно заблокировать более одного HELO.
- Создаём файл
/etc/heloblocksгде будут перечислены HELO, которые мы будем блокировать - В WHM переходим Exim Configuration Manager → Advanced Editor.
- Ищем
acl_smtp_helo, вcustom_begin_smtp_heloдобавляем
drop
condition = ${lookup{$sender_helo_name}lsearch{/etc/heloblocks}{yes}{no}}
log_message = HELO/EHLO - ylmf-pc blocked
message = ylmf-pc blocked
accept
Файл /etc/heloblocks
ylmf-pc yarde.com
Postfix
Нечасто работаю с Postfix, поэтому оставлю только одну ссылку - https://bløgg.no/tag/ylmf-pc/, возможно когда-нибудь пригодится.
Блокировка топором через iptables
iptables -A INPUT -p tcp --dport 25 -m string --string ylmf-pc --algo bm -j DROP
Как проверить, что это исправило ситуацию?
Подключимся по телнету (омг, 2017 год! Я всё ещё его использую) и представимся по форме
Вывод Windows CMD
220 mx.foobar.com ESMTP Exim 4.88 Fri, 01 Dec 2017 15:33:50 +0300 helo ylmf-pc 550 Administrative prohibition Подключение к узлу утеряно.
В reject.log запись такая
2017-12-01 15:33:58 H=(ylmf-pc) [188.x.y.z] rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
Ссылки
linux/mail/ylmf_pc.txt · Последнее изменение: 2018/04/03 15:36 — 127.0.0.1
Обсуждение