> В последнее время одолел спам секс сайтов.

> Заголовки писем волне нормально
> выглядят, в теле письма ссылки на поломанные wp и joomla, с них уже
> редирект на секс сайты.
> Ссылки всегда разные, сервера с которых идет рассылка тоже разные.

Вот и до меня (.ua) этот спам добрался:

    5Nov1507 Mail Agent      (  27) Молодой предприниматель в поисках молодой д
    6Nov1335 Mail Agent      (  25) Реальные секс знакомства. vSn
    7Nov1452 Admin           (  26) знакомства с женщинами,VcZwo
    7Nov2231 Mail Agent      (  26) Интересный мужчина познакомится с девушкой
    8Nov 503 Mail Agent      (  26) Социальная сеть для взрослых СЕКСA
    8Nov1445 Admin           (  27) Секс одноклассникиtuSd
    9Nov 200 Mail Agent      (  26) секс-портал. Знакомства, секс MMGcB
    8Nov2339 Admin           (  27) Парень познакомится c девушкой, возможна по
    9Nov 353 Mail Agent      (  26) Бесплатные сайты знакомств для секса.So
    9Nov1313 Admin           (  27) Познакомлюсь с девушкой для романтических в
    9Nov1812 Admin           (  29) Парень познакомится с девушкой извращенкой
   10Nov 018 Admin           (  27) Секс знакомства onlineyk
   10Nov1303 Admin           (  26) Быстрые знакомства, сексciXWL
   10Nov1834 Admin           (  31) Парень познакомится с мужчиной.NrJ
   10Nov1821 Mail Agent      (  27) секс-портал. Знакомства, секс iTXKo
   10Nov1946 Admin           (  27) Интересный мужчина познакомится с девушкой
   10Nov1934 Mail Agent      (  26) Секс одноклассникиsgEILre

В теле спама разные ссылки, в основном wp или joomla, в HTML-части
URL самой ссылки не совпадает с URL, написанным в качестве текста ссылки.

Приходит этот спам с разных честных релеев, ими принят по ESMTPA,
очевидно использованы украденные виндозными троянами пароли.
Но все эти 17 сохраненных мной за 5 дней спамов
инжектированы со всего двух IP-адресов:

Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl 
[80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl (84-53-109-145.wxdsl.nl [84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl 
[80.101.99.70])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:58688)
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl 
[80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:46787)
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:28521)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:27954)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:26733)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:40012)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]:18778)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])

Поэтому в acl_check_data:

  deny  message = rejected because recognized as sent by Russian spambot via \
                  a relay authenticated with a stolen password (type 8)
        condition = ${if ={$received_count}{2}}
        set acl_m_bot8 = ${if match{$header_Received:}\
                                   {\N\A(?:.+\n\s)+.+\nfrom (\S+) \N}{$1}}
        condition = ${lookup{$acl_m_bot8}nwildlsearch\
                     {/usr/local/etc/exim/blacklist_injector}{1}{0}}

И этот файл:

84-53-109-145.wxdsl.nl
a80-101-99-70.adsl.xs4all.nl

Со временем придется этот черный список дополнять, когда спамер перейдет
на использование других затрояненных.

_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Ответить