https://opennet.me/openforum/vsluhforumID1/88138.html Добрый день. Помогите разобраться со СПАМ-ерским письмом которое, как по мне, имеет интересное содержание.<br><br>Суть: <br>- есть большая корпоративная сеть с таким почтовым сервером Postfix+Amavisd-new+Spamassassin+CommuniGate. <br>- Пользователю &#171;А&#187; пришло спамерское письмо которое было адресовано пользователю &#171;В&#187;<br>- Пользователь &#171;В&#187; понятное дело это письмо не отсылал, и это видно из заголовка письма так как первый Received это какой-то интернет сервер.<br>- Интересно то что и отправитель письма и получатель письма пользователь &#171;B&#187;<br>- А самое интересное что в X-Spam-Status пишется что срабатывает правило USER_IN_WHITELIST_TO. Но вот в конфиге Spamassassin пользователь &#171;В&#187; не прописан в белом списке.<br><br>Само письмо и конфиги выложены ниже. Название своего сервера и пользователей я заменил на myserver и &#171;А&#187;, &#171;В&#187;, &#171;С&#187;. <br><br>Не могу понять почему на письмо сработало правило USER_IN_WHITELIST_TO и почему оно пришло пользователю &#171;А&#18 https://opennet.me/openforum/vsluhforumID1/88138.html#17 Sat, 13 Feb 2010 18:09:56 GMT &gt;Совершенно верно, но не только. К примеру, sendmail добавляет аргумент RCPT TO:&lt;&gt; в заголовок конверта <br><br>Спасибо, теперь я разобрался почему письмо попало пользователю A@myserver.com а не B@myserver.com<br><br>&gt;Вот тут точно не могу сказать, с SA не работал, но подозреваю, <br>&gt;что B@myserver.com в белом списке, а SA видимо смотрел именно заголовки. <br>&gt;Это мое предположение <br><br>Основные моменты Local.cf:<br><br>use_razor2 1<br>use_bayes 1<br>bayes_auto_learn 0<br>bayes_path /var/spool/amavis/.spamassassin/bayes<br>bayes_auto_learn_threshold_nonspam 0<br>bayes_auto_learn_threshold_spam 20.0<br>use_pyzor 0<br>ok_locales all<br>razor_config /var/spool/amavis/.razor/razor-agent.conf<br><br>whitelist_to C@myserver.com<br>whitelist_to D@myserver.com<br>whitelist_to F@myserver.com<br><br>score USER_IN_WHITELIST_TO -100.000<br><br>В белом списке нет пользователей "A" и "B"<br><br> https://opennet.me/openforum/vsluhforumID1/88138.html#16 Sat, 13 Feb 2010 17:53:15 GMT &gt;Тогда получается что реального отправителя (тот который на конверте) можно найти только <br>&gt;в логах (/var/log/mail)? <br><br>Совершенно верно, но не только. К примеру, sendmail добавляет аргумент RCPT TO:&lt;&gt; в заголовок конверта (но делать это не обязан, потому некоторые MTA это не делают):<br><br>Return-Path: &lt;vit@testdomain.org&gt;<br>Received: from localhost (localhost [127.0.0.1])<br> by smtp.testdomain.org (8.14.3/8.14.3) with ESMTP id o1DHeQi4001443<br> for &lt;vit@testdomain.org&gt;; Sat, 13 Feb 2010 22:40:40 +0500 (YEKT)<br><br>Видите "for &lt;vit@testdomain.org&gt;"? Это и есть аргумент RCPT TO:&lt;&gt; А реальный отправитель это "Return-Path: &lt;vit@testdomain.org&gt;", т.е. то, что клиент указал в MAIL FROM:&lt;&gt;. <br>&gt;И всетки если уж письмо попало A@myserver.com то почему на него сработало <br>&gt;правило USER_IN_WHITELIST_TO в SpamAssassin? Ведь такой пользователь не прописан в белом <br>&gt;списке. <br><br>Вот тут точно не могу сказать, с SA не работал, но подозреваю, что B@myserver.com в белом списке, а SA видимо смотрел именно заголовки. Это м https://opennet.me/openforum/vsluhforumID1/88138.html#15 Sat, 13 Feb 2010 15:22:46 GMT Vitaly_loki, спасибо за столь детальный ответ. Все, я понял. Просто раньше думал что адреса на "конверте" тоже указываются в заголовках.<br><br>На счет этого я знаю, сам так не раз почту отправлял:<br><br>Trying 127.0.0.1...<br>Connected to localhost.<br>Escape character is '^]'.<br>220 smtp.testdomain.org ESMTP MeTA1-1.0.PreAlpha32.0<br>ehlo localhost<br>250-smtp.testdomain.org ESMTP Hi there<br>250-PIPELINING<br>250-STARTTLS<br>250-AUTH LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5<br>250-SIZE 10485760<br>250-8BITMIME<br>250-ENHANCEDSTATUSCODES<br>250-XVERP<br>250 HELP<br>MAIL FROM:&lt;vit@remotedomain.ru&gt;<br>250 2.1.0 Sender ok<br>RCPT TO:&lt;vit@testdomain.org&gt;<br>250 2.1.5 Recipient ok<br><br>DATA<br>354 Go<br>From: Bill Gates &lt;Bill.Gates@microsoft.com&gt;<br>To: Petya Ivanov &lt;non-existent@yandex.ru&gt;<br>Subject: Forged headers<br><br>message text<br>.<br>250 2.0.0 got it id=S000000000000006A00<br>quit<br>221 2.0.0 Bye<br>Connection closed by foreign host.<br><br>Тогда получается что реального отправителя (тот который на конверте) можно найти только в логах (/var/log/mail)?<br><br>И всетки если https://opennet.me/openforum/vsluhforumID1/88138.html#14 Sat, 13 Feb 2010 12:56:24 GMT &gt;А почему этот адрес не указывается в заголовке письма? <br><br>Osiris, еще разок... внимательней будьте. Объясняю... Клиент соединяется на 25 TCP/порт с вашим SMTP-серверов. После приглашения (код сообщения 220), клиент представляется:<br><br>EHLO domain.name<br><br>сервер отвечает ему:<br>250-сообщение какое-нить<br><br>затем клиент начинает говорить от имени кого он отправляет почту, этот адрес будет использоваться для ответа в случае неудачной доставки:<br><br>MAIL FROM:&lt;user@domain.com&gt;<br><br>Затем клиент говорить КОМУ он отправляет почту, это РЕАЛЬНЫЙ адрес доставки или алиас (псевдоним), вот именно на основании этого параметра SMTP-сервер маршрутизирует (кладет в ящик и т.д.) почту:<br><br>RCPT TO:&lt;user@localdomain.com&gt;<br><br>Это всё был конверт письма. Дальше начинает передача содержимого письма, то что вкладывается в конверт:<br><br>DATA<br>и тут начинаешь писать какие хочешь заголовки<br>From: Bill Gates &lt;Bill.Gates@microsoft.com&gt;<br>To: Petya Ivanov &lt;non-existent@yandex.ru&gt;<br>Subject: Forged headers<br>X-Comment: <br><br>После пустой строки начина https://opennet.me/openforum/vsluhforumID1/88138.html#10 Sat, 13 Feb 2010 10:28:38 GMT время smtp-сессии клиент сказал так: <br>&gt;<br>&gt;EHLO blah-blah-blah <br>&gt;MAIL FROM:&lt;blah-blah@domain.com&gt;<br>&gt;RCPT TO:&lt;A@myserver.com&gt; &lt;-- вот оно<br>&gt;<br><br>А почему этот адрес не указывается в заголовке письма?<br><br><br> https://opennet.me/openforum/vsluhforumID1/88138.html#9 Fri, 12 Feb 2010 18:12:25 GMT &gt;&gt;Так и тут, при отправке письма сервер сначала говорит кому это письмо <br>&gt;&gt;(конверт), а затем уже кидает содержимое (внутри письма). <br>&gt;<br>&gt;Отправитель говорит что письмо <br>&gt;From: B@myserver.com <br>&gt;To: &lt;B@myserver.com&gt;<br>&gt;<br>&gt;Внутри письма спам, что не интересно. А вот почему оно попало пользователю <br>&gt;A@myserver.com при полном отсутствии его в заголовке это не понятно. <br><br>Потому что во время smtp-сессии клиент сказал так:<br><br>EHLO blah-blah-blah<br>MAIL FROM:&lt;blah-blah@domain.com&gt;<br>RCPT TO:&lt;A@myserver.com&gt; &lt;-- вот оно<br><br>,а затем<br><br>DATA<br>From: B@myserver.com<br>To: &lt;B@myserver.com&gt;<br>Subject<br><br>spam<br>.<br>--<br>Все что до DATA - это конверт, все что после, но до пустой строки - заголовки письма (используются в почтовых клиентах для удобства, сортировки и т.д.). После пустой строки - текст письма<br> https://opennet.me/openforum/vsluhforumID1/88138.html#7 Fri, 12 Feb 2010 14:12:21 GMT &gt;&gt;PavelR - все внятно объяснил. Есть заголовок письма и есть конверт, они <br>&gt;&gt;могут быть различны. <br>&gt;<br>&gt;А разве почтовые сервера определяют дальнейший маршрут письма не по заголовку??? <br><br>По заголовкам на конверте, проставленные MTA .<br>Загловки Mail user agent (MUA) From: , To: для человека больше служат.<br><br>http://www.soslan.ru/tcp/tcp28.html<br> https://opennet.me/openforum/vsluhforumID1/88138.html#6 Fri, 12 Feb 2010 14:05:59 GMT &gt;А разве почтовые сервера определяют дальнейший маршрут письма не по заголовку??? <br><br>Сюрприииз :)<br>Гуглить: протокол smtp<br> https://opennet.me/openforum/vsluhforumID1/88138.html#5 Fri, 12 Feb 2010 13:09:15 GMT &gt;PavelR - все внятно объяснил. Есть заголовок письма и есть конверт, они <br>&gt;могут быть различны. <br><br>А разве почтовые сервера определяют дальнейший маршрут письма не по заголовку???<br>