Oleksandr Usov wrote on 25.12.2018 0:19:
>> Запутался в адресатах кому отвечал (мимо рассылки попал)
>>> пн, 24 груд. 2018 о 23:48 Victor Ustugov <victor на corvax.kiev.ua> <mailto:victor на corvax.kiev.ua>> пише:
>> Oleksandr Usov wrote on 24.12.2018 23:39:
> > Глупость сморозил про envelope-from - оно мне как раз не поможет.
>> с помощью access-mail и производится проверка значения envelope from,
> которое в данном случае указано в заголовке Return-Path.
>> > Есть ли возможность фильтровать по From, может через system_filter?
>> я стараюсь минимально проверять содержимое письма средствами exim, для
> этого есть контент сканеры.
>> что касается системного фильтра, то содержимое site/system_filter_bottom
> будет добавлено к системному фильтру при сборке, соответственно в нём
> можно указать необходимые действия.
>> но средствами системного фильтра не получится выполнить deny. можно лишь
> по факту приёма письма не доставить его получателю.
>>> Я слепил что-то такого плана (это мой весь файл фильтра - добавил только
> строку $header_from ):
>> if not first_delivery then finish endif
>> if error_message then finish endif
>> if $header_from contains "magento" and not error_message then fail text
> "Spam is not wanted here" endif
>> finish
The fail command causes all the original recipients to be failed, and a
bounce
message to be created.
это точно то, что хотелось сделать?
> Пока не заметил в логах срабатывания.
if $h_From: contains "magento" then
это самое близкое к "if $header_from contains "magento""
ещё точнее (чтобы не зацепить текст перед адресом в заголовке From):
if "${address:$h_From:}" contains "magento" then
> а что это за письма такие?
>> они что, регулярные, все с одинаковым заголовком From и разными envelope
> from?
>>> Да, довольно регулярно - сегодня буквально шквал вечером начался,
так а для чего в ответ шквал баунсов отправлять?
> многие
> валят от wwwrun@, www-data@, apache@ - пока что забанил всех таких
> отправителей.
>>> или с envelope from drupalrus на royal-parfum.ru> <mailto:drupalrus на royal-parfum.ru> кроме этого мусора с
>magento на royal-parfum.ru <mailto:magento на royal-parfum.ru> в заголовке
> From приходят какие-то валидные
> письма с более другими заголовками From?
>>>> Могу собрать примеров - но там только отправитель меняется, и From
> содержит magento на .
и что, блокировать все письма с мейлбоксом magento в заголовке From?
и если magento не просто содержится в заголовке From, а является полным
значением локальной части адреса отправителя, то ещё точнее будет вот
такое условие:
if "${local_part:${address:$h_From:}}" is "magento" then
небось у всех писем ещё сходный заголовок X-PHP-Originating-Script и в
Content-Type только text/html без указания charset, а в теле письма есть
<!DOCTYPE>, но не <html> и <body>, и есть ссылка на
https://update.magento.center?
> > Я не проверяю содержимое писем на стороне exim никак.
>> и контент сканера нет?
>>> Дальше я переправляю в Zimbra (на разные серверы, так что хотелось
> обрубать сразу на входящих релеях, а не лезть в кастомные спам-фильтры
> Zimbra, которые не очень адаптируются руками).
я не о контент сканерах на других хостах спрашивал.
но отвечать не надо - и так уже всё понятно.
у меня SpamAssassin без предварительного обучения статистического
фильтра такими письмами (мало того, bayes вообще дал отрицательную
оценку -1.2 балла) дал общую оценку 9.0. а при 8.0 и выше я не доставляю
письма получателям в общем случае. только в персональные карантины
локальным получателям и помеченные на те сервера, которые в состоянии
такие письма доставить в карантины своим пользователям.
правда у меня своих правил в SpamAssassin вагон и маленькая тележка.
> > пн, 24 груд. 2018 о 23:25 Oleksandr Usov <blessendor на gmail.com> <mailto:blessendor на gmail.com>
> > <mailto:blessendor на gmail.com <mailto:blessendor на gmail.com>>> пише:
> >
> > Приветствую!
> >
> > Во вложении пример письма, по которому никак не удается
> > заблокировать отправителей через access-mail, например:
> >
> > \N^magento.+ на .+$\N : reject : Blacklisted
> > \N^.+magento на .+$\N : reject : Blacklisted
> > \N^magento на .+$\N : reject : Blacklisted
> >
> > В заголовках поле From содержит данного отправителя, но проверка
> > производится по envelope-from.
> >
> > Нет ли соответствующего конфига для блокировки по
> envelope-from или
> > return-path?
> >
> > Из паровоза собирал конфиг давно, может что появилось.
> >
> > openSUSE 13.1, Exim 4.82
>> --
> Best wishes
> Victor Ustugov mailto:victor на corvax.kiev.ua> <mailto:victor на corvax.kiev.ua>
> Skype ID: corvax_nb JID: victor на corvax.kiev.ua> <mailto:victor на corvax.kiev.ua>
> public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc>>>> _______________________________________________
> exim-conf mailing list
>exim-conf на mta.org.ua>https://mta.org.ua/mailman/listinfo/exim-conf>https://mta.org.ua/exim-conf/>https://mta.org.ua/exim-conf/m4/README>rsync://rsync.mta.org.ua/exim-conf/>
--
Best wishes
Victor Ustugov mailto:victor на corvax.kiev.ua
Skype ID: corvax_nb JID: victor на corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc