> В последнее время одолел спам секс сайтов.
> Заголовки писем волне нормально > выглядят, в теле письма ссылки на поломанные wp и joomla, с них уже > редирект на секс сайты. > Ссылки всегда разные, сервера с которых идет рассылка тоже разные. Вот и до меня (.ua) этот спам добрался: 5Nov1507 Mail Agent ( 27) Молодой предприниматель в поисках молодой д 6Nov1335 Mail Agent ( 25) Реальные секс знакомства. vSn 7Nov1452 Admin ( 26) знакомства с женщинами,VcZwo 7Nov2231 Mail Agent ( 26) Интересный мужчина познакомится с девушкой 8Nov 503 Mail Agent ( 26) Социальная сеть для взрослых СЕКСA 8Nov1445 Admin ( 27) Секс одноклассникиtuSd 9Nov 200 Mail Agent ( 26) секс-портал. Знакомства, секс MMGcB 8Nov2339 Admin ( 27) Парень познакомится c девушкой, возможна по 9Nov 353 Mail Agent ( 26) Бесплатные сайты знакомств для секса.So 9Nov1313 Admin ( 27) Познакомлюсь с девушкой для романтических в 9Nov1812 Admin ( 29) Парень познакомится с девушкой извращенкой 10Nov 018 Admin ( 27) Секс знакомства onlineyk 10Nov1303 Admin ( 26) Быстрые знакомства, сексciXWL 10Nov1834 Admin ( 31) Парень познакомится с мужчиной.NrJ 10Nov1821 Mail Agent ( 27) секс-портал. Знакомства, секс iTXKo 10Nov1946 Admin ( 27) Интересный мужчина познакомится с девушкой 10Nov1934 Mail Agent ( 26) Секс одноклассникиsgEILre В теле спама разные ссылки, в основном wp или joomla, в HTML-части URL самой ссылки не совпадает с URL, написанным в качестве текста ссылки. Приходит этот спам с разных честных релеев, ими принят по ESMTPA, очевидно использованы украденные виндозными троянами пароли. Но все эти 17 сохраненных мной за 5 дней спамов инжектированы со всего двух IP-адресов: Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]) Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl [80.101.99.70]) Received: from 84-53-109-145.wxdsl.nl (84-53-109-145.wxdsl.nl [84.53.109.145]) Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl [80.101.99.70]) Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:58688) Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl [80.101.99.70]) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:46787) Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:28521) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:27954) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:26733) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:40012) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]) Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]:18778) Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]) Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]) Поэтому в acl_check_data: deny message = rejected because recognized as sent by Russian spambot via \ a relay authenticated with a stolen password (type 8) condition = ${if ={$received_count}{2}} set acl_m_bot8 = ${if match{$header_Received:}\ {\N\A(?:.+\n\s)+.+\nfrom (\S+) \N}{$1}} condition = ${lookup{$acl_m_bot8}nwildlsearch\ {/usr/local/etc/exim/blacklist_injector}{1}{0}} И этот файл: 84-53-109-145.wxdsl.nl a80-101-99-70.adsl.xs4all.nl Со временем придется этот черный список дополнять, когда спамер перейдет на использование других затрояненных. _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users