Recebi um e-mail fraudulento de zcsend.net. Desta vez, o endereço do remetente é falso. Preciso usar o Fail2Ban para banir mensagens da mesma origem. No entanto, existem muitos endereços aqui nos cabeçalhos. Qual devo proibir?
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mail.elcolie.com
by mail.elcolie.com with LMTP
id CQu1FWy08mQ8UwEA83h3bQ
(envelope-from <[email protected]>)
for <[email protected]>; Sat, 02 Sep 2023 04:05:00 +0000
Received: from localhost (localhost [127.0.0.1])
by mail.elcolie.com (Postfix) with ESMTP id 4F41E835F9
for <[email protected]>; Sat, 2 Sep 2023 04:05:00 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=135.84.81.239; helo=sender-239.fsu3.zcsend.net; envelope-from=bounce_826278108+a.1ffd60557f594e44_gm1@mail18.psnd.zcsend.net; receiver=<UNKNOWN>
Authentication-Results: mail.elcolie.com; dmarc=none (p=none dis=none) header.from=ahrdigital.com.br
Authentication-Results: mail.elcolie.com;
dkim=pass (1024-bit key; unprotected) header.d=mail18.psnd.zcsend.net [email protected] header.a=rsa-sha256 header.s=k1 header.b=mfuyyvvw;
dkim-atps=neutral
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Received: from 172.30.236.109 by sender-239.fsu3.zcsend.net
with SMTP id 169362748867145850; Fri, 01 Sep 2023 21:04:48 -0700
DKIM-Signature: a=rsa-sha256; b=mfuyyvvwcocf77Gr4eWhg010x1Vak0knteAbKgX+PiHKD2TdnhfbGOZHCItAcuEJSjZN2UGRM/dQMzI9WfytdauyhtACpvDVf+uIn6qRmlNkOn140NbFVuYPDUABu1IBCr6wEwXR2pLevy7Zz1vFWUEuRck+70wzVwMjrj7+yvE=; c=simple/simple; s=k1; d=mail18.psnd.zcsend.net; v=1; bh=LMN9EQQS8smfom6q8kw8Y3zjTellj/Oo1rnIjeRT56c=; h=date:from:to:message-id:subject:mime-version:content-type:list-unsubscribe:list-unsubscribe-post:x-csa-complaints;
Date: Fri, 1 Sep 2023 21:04:48 -0700 (PDT)
From: "Parcel Team" <[email protected]>
To: [email protected]
Message-ID: <zcb.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f594e44.1693627488661@mail18.psnd.zcsend.net>
Subject: =?UTF-8?B?Tm90aWZpY2F0aW9uOsKgIENhc2UgTnVtYmVyICMzMzYxNzI=?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_8830362_773276248.1693627488657"
List-Unsubscribe: <https://vldxa-cmpzourl.maillist-manage.com/ua/optout?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>,<mailto:[email protected]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-CSA-Complaints: [email protected]
Reply-To: [email protected]
X-JID: 3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f3f24e4
X-campaignid: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Zoho-RID: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Report-Abuse: <Please send a copy of this message along with header to abuse+3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d_zcb_1ffd60557f594e44@zohocampaigns.com>, <https://vldxa-cmpzourl.maillist-manage.com/campaigns/ReportAbuse.zc?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>
------=_Part_8830362_773276248.1693627488657
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Substituí meu endereço de e-mail real por[email protected]
Como meu servidor de e-mail está usandohttps://github.com/docker-mailserver/docker-mailserver
Eu simplesmente corro
docker exec 2834fea5aa2e setup fail2ban ban 135.84.81.239
Questões:
- Encontrei o endereço IP correto?
- Estou bloqueando corretamente?
- Estou faltando alguma coisa?
Responder1
Encontrando o endereço IP correto
Todoagente de transferência de mensagens(MTA) o processamento do e-mail adiciona cabeçalhos no topo da mensagem, para que fiquem em ordem decrescente; os mais altos são os mais novos. Para encontrar o endereço IP, você deve procurar o Receivedcabeçalho onde seu servidor aceitou o e-mail pela primeira vez.
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Aqui, o primeiro endereço após fromé o HELOnome do host do servidor no qual não deve ser confiável. O endereço IP e o nome do host ( PTR) associado a ele estão entre colchetes.
Portanto, 135.84.81.239é o endereço IP que você estava procurando. No entanto, há mais nisso...
Fail2Ban não foi projetado para isso
Por que vocêprecisarusar Fail2Ban?Fail2Ban(1)não é para bloquear spam, mas...
um conjunto de programas de servidor e cliente para limitar tentativas de autenticação de força bruta.
DNSListas de buracos negros em tempo real(RBL)
O endereço IP no exemplo, 135.84.81.239, está atualmente na lista negra emlistas de buracos negros em tempo real(RBL):
- Spam CopLista de bloqueio (
bl.spamcop.net) - JunkEmailFilter.comHostKarma (
hostkarma.junkemailfilter.com)
Em vez de bloquear endereços IP individuais sempre que um spam chega, você pode utilizar alguns serviços externos que já estão fazendo isso em grande escala. Além disso, a maioria deles removerá a listagem quando o problema for resolvido.
Existem muitos provedores de RBL com diferentes tipos de listagens. Você deve analisar quais dessas listas são adequadas às suas necessidades. Por exemplo,
- Spamhaus
- lista de bloqueio.de
- SpamEatingMonkey
- SORVETES(Spam e sistema de bloqueio de retransmissão aberta)
- Barracuda
- dan.me.uk(especializado em bloquear nós Tor)
Configurando RBLs no Postfix
Seus cabeçalhos mostram que você está usando o Postfix. Você pode configurar, por exemplo, SpamCop em seu computador main.cfadicionando umreject_rbl_clientemsmtpd_recipient_restrictionsonde será avaliado após full HELO, MAIL FROM& RCPT TO.
smtpd_recipient_restrictions =
. . .
reject_rbl_client bl.spamcop.net,
. . .
permit
Responder2
Colocar um único servidor Zoho na lista negra não adianta muito. Eles têm mais alguns.
Se você quiser banir totalmente os servidores deles, faça-o por domínio host zcsend.netou porenvelopeDE @(.*).psnd.zcsend.net>.
Se você não quiser bani-los totalmente, tudo o que resta é uma reclamação.
Claro, você também pode tentar filtrar porcabeçalhoFROM mas isso é facilmente falsificado.