> From: "Vasiliy P. Melnik"
> > 84-53-109-145.wxdsl.nl
> > a80-101-99-70.adsl.xs4all.nl
>
> та вы гоните принимать почту напрямую с 4-ех блоков цифр
Не напрямую. Это во втором Received. Те боты/трояны шлют через релеи,
используя украденные пароли. Пример:
Received: from email12.mywebmailserver.com ([199.231.136.142])
by lena.kiev.ua with esmtp (Exim 4.80.1 (FreeBSD))
(envelope-from <ch...@bowler.co.uk>)
id 1VfZ87-000DVZ-MZ
for l...@lena.kiev.ua; Sun, 10 Nov 2013 19:49:01 +0200
Received: from a80-101-99-70.adsl.xs4all.nl ([80.101.99.70])
by email12.mywebmailserver.com (IntelliMail) with ASMTP id CRY74585;
Sun, 10 Nov 2013 12:48:55 -0500
Первые три плюса в этом регулярном выражении пропускают первый Received:
set acl_m_bot8 = ${if match{$header_Received:}\
{\N\A(?:.+\n\s)+.+\nfrom (\S+) \N}{$1}}
> deny message = Direct mail from your host does not accepted - use
> your ISPs mail server
> hosts = !+relay_from_hosts : \N^\w+[-.]\d+[-.]\d+ :
> \N^\d+[-.]\d+ : \N^\d{6,}
Такие hostnames у меня идут на селективный greylisting,
этого обычно оказывается достаточно.
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
