> From: "Vasiliy P. Melnik" > > 84-53-109-145.wxdsl.nl > > a80-101-99-70.adsl.xs4all.nl > > та вы гоните принимать почту напрямую с 4-ех блоков цифр
Не напрямую. Это во втором Received. Те боты/трояны шлют через релеи, используя украденные пароли. Пример: Received: from email12.mywebmailserver.com ([199.231.136.142]) by lena.kiev.ua with esmtp (Exim 4.80.1 (FreeBSD)) (envelope-from <ch...@bowler.co.uk>) id 1VfZ87-000DVZ-MZ for l...@lena.kiev.ua; Sun, 10 Nov 2013 19:49:01 +0200 Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70]) by email12.mywebmailserver.com (IntelliMail) with ASMTP id CRY74585; Sun, 10 Nov 2013 12:48:55 -0500 Первые три плюса в этом регулярном выражении пропускают первый Received: set acl_m_bot8 = ${if match{$header_Received:}\ {\N\A(?:.+\n\s)+.+\nfrom (\S+) \N}{$1}} > deny message = Direct mail from your host does not accepted - use > your ISPs mail server > hosts = !+relay_from_hosts : \N^\w+[-.]\d+[-.]\d+ : > \N^\d+[-.]\d+ : \N^\d{6,} Такие hostnames у меня идут на селективный greylisting, этого обычно оказывается достаточно. _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users