[cameron]

Цитата 3абанен:

Есть другие варианты? »

конечно есть.
разобраться почему вы попадаете в списки, от демона это не зависит

[3абанен]

Цитата cameron:

от демона это не зависит »

дело в том, что самое резонное предположение - это использование демонячьего SMTP извне для рассылки спама. Хотя все параметры проверил и перепроверил - не должно быть такого. Отсюда вывод - либо используется что-то недокументированное\уязвимость, либо что-то недоглядел. Как еще IP-шник может раз за разом в блек-лист попадать?

[cameron]

Цитата 3абанен:

либо что-то недоглядел. »

да, вы недоглядели логи.

[3абанен]

cameron, простите мою назойливость, но можно чуть подробнее с этого места? Все, что я почерпнул из логов - это то, что письма с нашего ip-шника отфутболиваются как спам. Что я упустил?

Цитата 3абанен:

Как еще IP-шник может раз за разом в блек-лист попадать? »

[cameron]

Цитата 3абанен:

Все, что я почерпнул из логов - это то, что письма с нашего ip-шника отфутболиваются как спам. »

это следствие.

Цитата 3абанен:

Что я упустил? »

- разбор лога smtpIN, что бы убедиться что там ваши клиенты.
- проверку телнетом на открытый релей.
- счётчики сообщений, быть может у вас есть учётка test с паролем 123 - её сбрутили.
- посещения зенхауса и втаптывание своего ИП в формы проверки - иногда там есть причины бана.
- анализ логов шлюза на предмет большого smtp out траффика, как временная мера- запрет исходящего наружу смтп и разбора лога дропнутых пакетов.
это очевидное из первоочередного.

[3абанен]

Цитата cameron:

быть может у вас есть учётка test с паролем 123 - её сбрутили. »

есть такая, уже отключил. Где можно проверить, была ли использована эта возможность?
>

Цитата cameron:

как временная мера- запрет исходящего наружу смтп »

пришел к тому же выводу, сделал.

[cameron]

Цитата 3абанен:

Где можно проверить, была ли использована эта возможность? »

в логе smtp in

[3абанен]

cameron, если говорят, что краткость - сестра таланта, то вы с ней явно блезняшки. Спасибо!

Нашел ->>

Thu 2012-01-19 21:50:33: Session 4059; child 1; thread 1972
Thu 2012-01-19 21:50:30: Accepting SMTP connection from [212.7.208.80:61973]
Thu 2012-01-19 21:50:30: Performing PTR lookup (80.208.7.212.IN-ADDR.ARPA)
Thu 2012-01-19 21:50:31: * Error: * Сервер имен сообщает, что имя домена не опознано
Thu 2012-01-19 21:50:31: * No PTR records found
Thu 2012-01-19 21:50:31: ---- End PTR results
Thu 2012-01-19 21:50:31: --> 220 gate2.наш.сервер ESMTP MDaemon 10.1.2; Thu, 19 Jan 2012 21:50:31 +0200
Thu 2012-01-19 21:50:31: <-- EHLO legendary-pc
Thu 2012-01-19 21:50:31: Performing IP lookup (legendary-pc)
Thu 2012-01-19 21:50:31: * Error: * Сервер имен сообщает, что имя домена не опознано
Thu 2012-01-19 21:50:31: ---- End IP lookup results
Thu 2012-01-19 21:50:31: --> 250-gate2.наш.сервер Hello legendary-pc, pleased to meet you
Thu 2012-01-19 21:50:31: --> 250-ETRN
Thu 2012-01-19 21:50:31: --> 250-AUTH=LOGIN
Thu 2012-01-19 21:50:31: --> 250-AUTH LOGIN CRAM-MD5
Thu 2012-01-19 21:50:31: --> 250-8BITMIME
Thu 2012-01-19 21:50:31: --> 250 SIZE
Thu 2012-01-19 21:50:31: <-- AUTH LOGIN
Thu 2012-01-19 21:50:31: --> 334 VXNlcm5hbWU6
Thu 2012-01-19 21:50:31: <-- dGVzdA==
Thu 2012-01-19 21:50:31: --> 334 UGFzc3dvcmQ6
Thu 2012-01-19 21:50:31: <-- ******
Thu 2012-01-19 21:50:31: --> 235 Authentication successful
Thu 2012-01-19 21:50:31: Authenticated as test@наш.сервер
Thu 2012-01-19 21:50:31: <-- MAIL FROM:<admin@careerbuilder.com>
Thu 2012-01-19 21:50:31: --> 250 <admin@careerbuilder.com>, Sender ok
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick12@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick12@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick13@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick13@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick15@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick15@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<rdpsmtp25@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <rdpsmtp25@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick16@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick16@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick18@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick18@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick17@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick17@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheic19@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheic19@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:32: <-- RCPT TO:<therichsheick21@yahoo.com>
Thu 2012-01-19 21:50:32: Отправитель сделал попытку доставить сообщение на неизвестный адрес
Thu 2012-01-19 21:50:32: --> 550 <therichsheick21@yahoo.com>, Recipient unknown
Thu 2012-01-19 21:50:33: Соединение прервано
Thu 2012-01-19 21:50:33: SMTP session terminated (Bytes in/out: 447/839)

И такого добра по нескольку раз в месяц с того времени. Это стандартный пользователь почтовика и прошлый сисад банально оставил брешь в системе? В любом случае, посмотрим за развитием ситуации.
В продолжение темы: почему антиспам не блокировал отправку с несуществующего домена? Это как-то настраивается? Можно ли усилить защиту почтовика от подобных случаев?

[cameron]

Цитата 3абанен:

почему антиспам не блокировал отправку с несуществующего домена? »

лог antispam, по-моему.
в нем будет запись типа
message not checked. sent from authenticated sender.
ответ на ваш вопрос в выделеном слове.

[Qwerty!!]

Здравствуйте!

Прошу помочь разобраться с логом MDaemon.
Получатель говорит что не получил письмо, также я нашел в логах ошибку.
Как можно узнать с чьей стороны ошибка?
Вот логи:
Thu 2013-01-03 10:04:28: Session 7664; child 2
Thu 2013-01-03 10:04:07: Parsing message <c:\mdaemon\queues\remote\pd50000136734.msg>
Thu 2013-01-03 10:04:07: * From: Meruert@xxx.kz
Thu 2013-01-03 10:04:07: * To: yyy@ipc.kz
Thu 2013-01-03 10:04:07: * Subject: =?koi8-r?B?IPLFxdPU0iDh7yAi8+Xu6e0t4uHu6yIg?=
Thu 2013-01-03 10:04:07: * Size (bytes): 39490
Thu 2013-01-03 10:04:07: * Message-ID: <!&!AAAAAAAAAAAYAAAAAAAAAGE5ajh81TZMreZaUYP7CfzCgAAAEAAAAC18fUmQnzpDhf5vWlq0b7YBAAAAAA==@xxx.kz>
Thu 2013-01-03 10:04:07: Attempting SMTP connection to [ipc.kz]
Thu 2013-01-03 10:04:07: Resolving MX records for [ipc.kz] (DNS Server: 192.168.0.240)...
Thu 2013-01-03 10:04:07: * P=000 S=000 D=ipc.kz TTL=(1440) MX=[mail.ipc.kz] {212.154.154.105}
Thu 2013-01-03 10:04:07: Attempting SMTP connection to [212.154.154.105:25]
Thu 2013-01-03 10:04:07: Waiting for socket connection...
Thu 2013-01-03 10:04:28: * Winsock Error 10060 Тайм-аут соединения.
Thu 2013-01-03 10:04:28: * 212.154.154.105 added to connection failure cache for 5 minutes
Thu 2013-01-03 10:04:28: Attempting to send message to smart host
Thu 2013-01-03 10:04:28: Attempting SMTP connection to [98.57.245.171:25]
Thu 2013-01-03 10:04:28: Waiting for socket connection...
Thu 2013-01-03 10:04:28: * Connection established (98.57.245.171:1786 -> 98.57.245.171:25)
Thu 2013-01-03 10:04:28: Waiting for protocol to start...
Thu 2013-01-03 10:04:28: <-- 220 mail.xxx.kz ESMTP MDaemon 10.1.2; Thu, 03 Jan 2013 10:04:28 +0600
Thu 2013-01-03 10:04:28: --> EHLO mail.xxx.kz
Thu 2013-01-03 10:04:28: <-- 250-mail.xxx.kz Hello mail.xxx.kz, pleased to meet you
Thu 2013-01-03 10:04:28: <-- 250-ETRN
Thu 2013-01-03 10:04:28: <-- 250-AUTH=LOGIN
Thu 2013-01-03 10:04:28: <-- 250-AUTH LOGIN CRAM-MD5
Thu 2013-01-03 10:04:28: <-- 250-8BITMIME
Thu 2013-01-03 10:04:28: <-- 250-STARTTLS
Thu 2013-01-03 10:04:28: <-- 250 SIZE
Thu 2013-01-03 10:04:28: --> STARTTLS
Thu 2013-01-03 10:04:28: <-- 220 Begin TLS negotiation
Thu 2013-01-03 10:04:28: SSL negotiation successful (TLS 1.0, 1024 bit key exchange, 128 bit RC4 encryption)
Thu 2013-01-03 10:04:28: --> EHLO mail.xxx.kz
Thu 2013-01-03 10:04:28: <-- 250-mail.xxx.kz Hello mail.xxx.kz, pleased to meet you
Thu 2013-01-03 10:04:28: <-- 250-ETRN
Thu 2013-01-03 10:04:28: <-- 250-AUTH=LOGIN
Thu 2013-01-03 10:04:28: <-- 250-AUTH LOGIN CRAM-MD5
Thu 2013-01-03 10:04:28: <-- 250-8BITMIME
Thu 2013-01-03 10:04:28: <-- 250 SIZE
Thu 2013-01-03 10:04:28: --> MAIL From:<Meruert@xxx.kz> SIZE=39490
Thu 2013-01-03 10:04:28: <-- 250 <Meruert@xxx.kz>, Sender ok
Thu 2013-01-03 10:04:28: --> RCPT To:<yyy@ipc.kz>
Thu 2013-01-03 10:04:28: <-- 250 <yyy@ipc.kz>, Recipient ok
Thu 2013-01-03 10:04:28: --> DATA
Thu 2013-01-03 10:04:28: <-- 354 Enter mail, end with <CRLF>.<CRLF>
Thu 2013-01-03 10:04:28: Sending <c:\mdaemon\queues\remote\pd50000136734.msg> to [98.57.245.171]
Thu 2013-01-03 10:04:28: Transfer Complete
Thu 2013-01-03 10:04:28: <-- 250 Ok, message saved <Message-ID: !&!AAAAAAAAAAAYAAAAAAAAAGE5ajh81TZMreZaUYP7CfzCgAAAEAAAAC18fUmQnzpDhf5vWlq0b7YBAAAAAA==@xxx.kz>
Thu 2013-01-03 10:04:28: --> QUIT
Thu 2013-01-03 10:04:28: <-- 221 See ya in cyberspace
Thu 2013-01-03 10:04:28: SMTP session successful (Bytes in/out: 698/39966)