Интернет |
Спам доходит вне зависимости от iptables
Как-то уже поднимал такой вопрос, внятного ответа не получил... Давайте ещё раз...
1. Пришел спам.
2. Из заголовков письма идентфицировал адрес SMTP, с которого было послано: 2a01:111:f400:febd::819 (да, IPv6)
3.
4. Ок, не проблема...
Всё это добавлено в ip6tables.
Файрволл включен, основная политика DROP.
Сегодня приходит еще одно письмо с того же IP-адреса.
Спуфинг? Или что? Как такое может быть?
Для неверующих скажу: между двумя письмами прошел большой период времени. Т.е. ситуация, когда пришло первое письмо, а пока я добавлял и применял правила пришло второе письмо, в принципе невозможно. Ко времени прихода второго письма правила уже действовали.
P.S. Я сильно подозреваю, что и первое письмо пришло не с того адреса, который указан в заголовках... но как тогда настоящий адрес отследить?
1. Пришел спам.
2. Из заголовков письма идентфицировал адрес SMTP, с которого было послано: 2a01:111:f400:febd::819 (да, IPv6)
3.
Цитата:
root@SAFEHOSTNAME:~# whois 2a01:111:f400:febd::819 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '2a01:110::/31' % Abuse contact for '2a01:110::/31' is 'abuse@microsoft.com' inet6num: 2a01:110::/31 |
Цитата:
root@SAFEHOSTNAME:~# ipset -L spammers_ipv6 Name: spammers_ipv6 Type: hash:net Revision: 6 Header: family inet6 hashsize 1024 maxelem 65536 Size in memory: 1240 References: 1 Number of entries: 1 Members: 2a01:110::/31 |
Файрволл включен, основная политика DROP.
Сегодня приходит еще одно письмо с того же IP-адреса.
Спуфинг? Или что? Как такое может быть?
Для неверующих скажу: между двумя письмами прошел большой период времени. Т.е. ситуация, когда пришло первое письмо, а пока я добавлял и применял правила пришло второе письмо, в принципе невозможно. Ко времени прихода второго письма правила уже действовали.
P.S. Я сильно подозреваю, что и первое письмо пришло не с того адреса, который указан в заголовках... но как тогда настоящий адрес отследить?