> В последнее время одолел спам секс сайтов.
> Заголовки писем волне нормально
> выглядят, в теле письма ссылки на поломанные wp и joomla, с них уже
> редирект на секс сайты.
> Ссылки всегда разные, сервера с которых идет рассылка тоже разные.
Вот и до меня (.ua) этот спам добрался:
5Nov1507 Mail Agent ( 27) Молодой предприниматель в поисках молодой д
6Nov1335 Mail Agent ( 25) Реальные секс знакомства. vSn
7Nov1452 Admin ( 26) знакомства с женщинами,VcZwo
7Nov2231 Mail Agent ( 26) Интересный мужчина познакомится с девушкой
8Nov 503 Mail Agent ( 26) Социальная сеть для взрослых СЕКСA
8Nov1445 Admin ( 27) Секс одноклассникиtuSd
9Nov 200 Mail Agent ( 26) секс-портал. Знакомства, секс MMGcB
8Nov2339 Admin ( 27) Парень познакомится c девушкой, возможна по
9Nov 353 Mail Agent ( 26) Бесплатные сайты знакомств для секса.So
9Nov1313 Admin ( 27) Познакомлюсь с девушкой для романтических в
9Nov1812 Admin ( 29) Парень познакомится с девушкой извращенкой
10Nov 018 Admin ( 27) Секс знакомства onlineyk
10Nov1303 Admin ( 26) Быстрые знакомства, сексciXWL
10Nov1834 Admin ( 31) Парень познакомится с мужчиной.NrJ
10Nov1821 Mail Agent ( 27) секс-портал. Знакомства, секс iTXKo
10Nov1946 Admin ( 27) Интересный мужчина познакомится с девушкой
10Nov1934 Mail Agent ( 26) Секс одноклассникиsgEILre
В теле спама разные ссылки, в основном wp или joomla, в HTML-части
URL самой ссылки не совпадает с URL, написанным в качестве текста ссылки.
Приходит этот спам с разных честных релеев, ими принят по ESMTPA,
очевидно использованы украденные виндозными троянами пароли.
Но все эти 17 сохраненных мной за 5 дней спамов
инжектированы со всего двух IP-адресов:
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl
[80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl (84-53-109-145.wxdsl.nl [84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl
[80.101.99.70])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:58688)
Received: from a80-101-99-70.adsl.xs4all.nl (a80-101-99-70.adsl.xs4all.nl
[80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:46787)
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:28521)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:27954)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:26733)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145]:40012)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]:18778)
Received: from 84-53-109-145.wxdsl.nl ([84.53.109.145])
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
Поэтому в acl_check_data:
deny message = rejected because recognized as sent by Russian spambot via \
a relay authenticated with a stolen password (type 8)
condition = ${if ={$received_count}{2}}
set acl_m_bot8 = ${if match{$header_Received:}\
{\N\A(?:.+\n\s)+.+\nfrom (\S+) \N}{$1}}
condition = ${lookup{$acl_m_bot8}nwildlsearch\
{/usr/local/etc/exim/blacklist_injector}{1}{0}}
И этот файл:
84-53-109-145.wxdsl.nl
a80-101-99-70.adsl.xs4all.nl
Со временем придется этот черный список дополнять, когда спамер перейдет
на использование других затрояненных.
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
