https://www.opennet.dev/openforum/vsluhforumID1/92069.html Каждые 20 сек. в лог Exim сыпется такая вот штука:<br><br>2011-08-05 09:46:42 SMTP syntax error in "MAIL FROM: &lt;auspiciousness5@inbox.ru&gt; BODY=8BITMIME" H=([180.244.221.145]) [180.244.221.145] malformed address: BODY=8BITMIME may not follow &lt;auspiciousness5@inbox.ru&gt; <br><br>Fail2ban эти адреса сразу банит, но в файрволе уже столько DROPов, что ого-го.<br><br>У меня вопрос - что это за попытки? - это на прием или отправку писем? Как с этим бороться? <br><br>В exim.conf<br><br>прописал<br><br>denymessage= We don't allow domain literals, sorry - many spam...<br>hosts= !+relay_from_hosts:*<br>!senders = :<br>condition= ${if isip{$sender_helo_name}{yes}{no}}<br><br>Но это явно не помогает. Логи ростут как дрожжах.<br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#16 Tue, 23 Aug 2011 12:44:50 GMT &gt;&gt; Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые <br>&gt;&gt; они присваивают благодаря т.н. "ловушкам" по всему миру.<br>&gt; )) я так понимаю ты работал с IronPort?)) Или это просто - <br>&gt; пальцем в небо?)) <br><br>Какая-то барыжная конторка давала нам на пробное использование на 1 месяц. Весчь клевая, но дорогая...<br>А что ты прочитал что-то не то в моем посте?...<br><br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#15 Tue, 23 Aug 2011 06:30:04 GMT &gt; Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые <br>&gt; они присваивают благодаря т.н. "ловушкам" по всему миру.<br><br>)) я так понимаю ты работал с IronPort?)) Или это просто - пальцем в небо?))<br><br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#14 Mon, 15 Aug 2011 14:12:57 GMT &gt; согласно rfc это допустимая форма, хоть и устаревшая <br><br>Я лишь имел в виду, что регексп не учитывал наличия скобок. А форма - допустимая и корректная формально, но недопустимая фактически. Каждый СМТП-отправитель из сторонних сетей должен иметь резолвящееся имя. <br><br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#13 Sun, 14 Aug 2011 09:22:29 GMT &gt; Не так то, что отправитель в хело отправляет ИП в квадратных скобках - [xxx.xxx.xxx.xxx]<br><br>согласно rfc это допустимая форма, хоть и устаревшая<br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#12 Fri, 12 Aug 2011 18:42:05 GMT &gt;&gt; Поадресные фейл2баны и днсблы - бестолковые и громоздкие инструменты. Фильтрацией на RCPT <br>&gt;&gt; можно отсеять гораздо больше и точнее.<br>&gt; Только RCPT TO уже сожрет твои ресурсы, прежде чем будет отправлено письмо. <br>&gt; Ненужное время простоя.<br>&gt; Чем РАНЬШЕ можно отсеять спам тем лучше. Самая эффективная и универсальная настройка <br>&gt; - сочетание отсеивания по разным критериям на разных этапах SMTP соединения. <br>&gt; Взять хотя бы IronPort. Кто использовал, полностью согласится, что у них <br>&gt; комплексная система фильтрации и защиты.<br><br>Ду ну. Основной комплекс у них - это отсеивание по репутациям, которые они присваивают благодаря т.н. "ловушкам" по всему миру.<br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#11 Thu, 11 Aug 2011 08:34:37 GMT <br>&gt;&gt; Правильно: <br>&gt;&gt; condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N} <br>&gt;&gt; {yes}{no} } <br>&gt; Не помогает ((( <br>&gt; Ставлю сразу же после acl_check_rcpt: и ничего. Может что не так <br>&gt; делаю?<br><br>Включайте debug и смотрите.<br>Работает.<br>Блокирует довольно много спама.<br><br>Вот, например:<br>2011-08-11 11:21:33 H=([59.98.162.13]) [59.98.162.13] F=&lt;reviewingiaj04@qip.ru&gt; rejected RCPT<br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#10 Wed, 10 Aug 2011 20:29:03 GMT <br><br>&gt; Правильно: <br>&gt; condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N} <br>&gt; {yes}{no} } <br><br>Не помогает ((( <br><br>Ставлю сразу же после acl_check_rcpt: и ничего. Может что не так делаю?<br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#9 Mon, 08 Aug 2011 13:09:08 GMT &gt; Поадресные фейл2баны и днсблы - бестолковые и громоздкие инструменты. Фильтрацией на RCPT <br>&gt; можно отсеять гораздо больше и точнее.<br><br>Только RCPT TO уже сожрет твои ресурсы, прежде чем будет отправлено письмо. Ненужное время простоя.<br>Чем РАНЬШЕ можно отсеять спам тем лучше. Самая эффективная и универсальная настройка - сочетание отсеивания по разным критериям на разных этапах SMTP соединения. Взять хотя бы IronPort. Кто использовал, полностью согласится, что у них комплексная система фильтрации и защиты.<br><br> https://www.opennet.dev/openforum/vsluhforumID1/92069.html#8 Mon, 08 Aug 2011 10:33:39 GMT &gt;&gt;&gt; ${if or{isip{$sender_helo_name}}{match_ip{$sender_helo_name}{[$sender_host_address}]}}{1}{0}} <br>&gt;&gt; К сожалению не помогло... Уже пробовал и просто match и ставить слеши <br>&gt;&gt; перед [], в разных местах ставил данное условие. Может еще что-нибудь <br>&gt;&gt; посоветуете?<br>&gt; ${if match{$sender_helo_name}{\N^\[[0-9]\.[0-9]\.[0-9]\.[0-9]\]\N} {yes}{no} } <br><br>Правильно:<br>condition = ${if match{$sender_helo_name}{\N^\[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\]\N} {yes}{no} }<br><br>