[Postfix-br] Problemas com spam recebidos

Marcelo Padovan marcelinho04 em gmail.com
Terça Abril 8 16:47:56 BRT 2014 

Olá pessoal,

Também sofro um pouco com spoofing, mas pela depuração que pude fazer o
problema não é com o FROM e sim com o Return Path.
Todas as mensagens" spoofadas" com meu dominio tinha um return path
apontando para o dominio de origem da mensagem.

Não sou profundo conhecedor da RFC4408, alguém sabe se o return path tem
preferência sobre o FROM na checagem do SPF.

Achei alguma coisa no google sobre isso, caso obtenham sucesso, por favor
comentem.

Links:

http://www.zimbra.com/forums/administrators/37498-spamassassin-check-return-path-against-address.html

http://www.zimbra.com/forums/administrators/37072-spam-sourced-virtual-domain-user-same-user.html


Abraços


Atenciosamente.

Marcelo Padovan
(16) 99703-4939

Skype: marpadovan / marpadovan em hotmail.com
Gtalk: marcelinho04 em gmail.com



On Wed, Apr 2, 2014 at 6:53 PM, Claudio Junior <csjunior em gmail.com> wrote:

> a questão do SPF já tenho ativo.. Não sei se o nivel de bloqueio esta ok,
> mas não é este o problema.
>
>
> --
> Claudio da Silva Junior
> csjunior em gmail.com
>
>
> 2014-04-02 18:07 GMT-03:00 Guilherme Rezende <postfix em guilherme.eti.br>:
>
> Eu não conseguir resolver esse problema até hoje....
>>
>>
>> Em 02/04/2014 16:23, vic escreveu:
>>
>>  Em 2014-04-01 12:20, Claudio Junior escreveu:
>>>
>>>> Ola pessoal
>>>>
>>>> Estou tendo problemas com spam recebidos no qual no cliente do
>>>> usuário aparece que o email de origem é o mesmo email do usuário,
>>>> isto é, o email de origem é igual ao email de destino.
>>>>
>>>> Hoje tenho no meu postfix as seguintes regras no main.conf:
>>>>
>>>> smtpd_client_restrictions =
>>>> smtpd_helo_restrictions =
>>>>
>>>> smtpd_sender_restrictions =
>>>>         permit_mynetworks,
>>>>         permit_sasl_authenticated,
>>>>         check_sender_access hash:/etc/postfix/access,
>>>>         check_sender_access
>>>> cidr:/etc/postfix/cidr_koreia_china_nets
>>>>         reject_non_fqdn_sender,
>>>>         reject_unknown_sender_domain,
>>>> #       warn_if_reject reject_unverified_sender,
>>>>         permit
>>>>
>>>> smtpd_recipient_restrictions =
>>>>    permit_mynetworks
>>>> #   permit_sasl_authenticated
>>>>    reject_unauth_destination
>>>>    check_policy_service inet:127.0.0.1:60000 [1]
>>>>    check_policy_service unix:private/policy-spf
>>>>    reject_non_fqdn_sender
>>>>    reject_non_fqdn_recipient
>>>>    reject_unknown_recipient_domain
>>>>    reject_rbl_client bl.spamcop.net [2]
>>>>    reject_rbl_client zen.spamhaus.org [3]
>>>>    reject_rbl_client dnsbl.sorbs.net [4]
>>>>
>>>> No arquivo /etc/postfix/access tenho duas linhas com o um REJECT no
>>>> meu dominio (ou dominios).
>>>>
>>>> O header do email que estou recebendo é:
>>>>
>>>> Return-Path: <"www-data em mmnishida"@ig.com.br [5]>
>>>> Delivered-To: wellington em xxxxxxxx.coop.br
>>>> Received: from localhost (localhost [127.0.0.1])
>>>>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
>>>> F256C7FCA6
>>>>     for <wellington em xxxxxxxx.com>; Mon, 31 Mar 2014 01:50:10 -0300
>>>> (BRT)
>>>> X-Virus-Scanned: Debian amavisd-new at srv03xxxxxxxx.xxxxxxxx.coop.br
>>>> [7]
>>>> X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F3
>>>> hex):
>>>>      Subject: (URGENTE) Comprovante de Dep363sito (66703)
>>>> Received: from mail.xxxxxxxx.coop.br [8] ([127.0.0.1])
>>>>     by localhost (srv03xxxxxxxx.xxxxxxxx.coop.br [7] [127.0.0.1])
>>>> (amavisd-new, port 10024)
>>>>     with ESMTP id y6R8q59HOfXP for <wellington em xxxxxxxx.com>;
>>>>     Mon, 31 Mar 2014 01:50:05 -0300 (BRT)
>>>> X-Greylist: delayed 596 seconds by postgrey-1.32 at srv03xxxxxxxx;
>>>> Mon, 31 Mar 2014 01:50:02 BRT
>>>> Received-SPF: None (no SPF record) identity=mailfrom;
>>>> client-ip=138.91.20.116; helo=npx11.npx11.m5.internal.cloudapp.net
>>>> [9]; envelope-from=www-data em mmnishida@ig.com.br [5];
>>>> receiver=wellington em xxxxxxxx.com
>>>> Received: from npx11.npx11.m5.internal.cloudapp.net [9] (unknown
>>>> [138.91.20.116])
>>>>     by srv03xxxxxxxx.xxxxxxxx.com [6] (Postfix) with ESMTP id
>>>> 813A97FCA4
>>>>     for <wellington em xxxxxxxx.com>; Mon, 31 Mar 2014 01:50:02 -0300
>>>> (BRT)
>>>> Received: by npx11.npx11.m5.internal.cloudapp.net [9] (Postfix, from
>>>> userid 33)
>>>>     id C990B21B38; Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
>>>> To: wellington em xxxxxxxx.com
>>>> Subject: (URGENTE) Comprovante de Depsito (66703)
>>>> X-PHP-Originating-Script: 0:wwew.php
>>>> MIME-Version: 1.0
>>>> Content-type: text/html; charset=iso-8859-1
>>>> X-Mailer: Microsoft Office Outlook, Build 17.551210
>>>> Content-Transfer-encoding: 8bit
>>>> From: wellington em xxxxxxxx.com
>>>> Reply-To: wellington em xxxxxxxx.com
>>>> X-Mailer: iGMail [www.ig.com.br [10]]
>>>> X-Originating-Email: wellington em xxxxxxxx.com
>>>> X-Sender: wellington em xxxxxxxx.com
>>>> X-iGspam-global: Unsure, spamicity=0.570081 - pe=5.74e-01 -
>>>> pf=0.574081 - pg=0.574081
>>>> Message-Id:
>>>> <20140331043828.C990B21B38 em npx11.npx11.m5.internal.cloudapp.net>
>>>> Date: Mon, 31 Mar 2014 04:38:28 +0000 (UTC)
>>>>
>>>> Alguém sabe o que pode ser? Como é um ambiente de produção, esta
>>>> difiicl ficar fazendo testes. Preciso implementar uma configuração
>>>> que barre este tipo de emails.
>>>>
>>>> --
>>>> Claudio da Silva Junior
>>>> csjunior em gmail.com
>>>>
>>>>
>>> Configure SPF no(s) seu(s) domínio(s).
>>>
>>>
>> _______________________________________________
>> Postfix-br mailing list
>> Postfix-br em listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>>
>
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.softwarelivre.org/pipermail/postfix-br/attachments/20140408/80c54a43/attachment.html>

More information about the Postfix-br mailing list