Limit email per user by DA

Technical topics
1

เจอ user เครื่องคอมพ์ของเขาติด trojan พอเขาเข้าหน้าเช็คเมล trojan ก็จะจำ user & password ไว้แล้วแอบส่งเอง ออกไปทีหลายร้อยเมล (เมลหนึ่ง cc ซ่ะ 20 ชื่อ) ขนาดว่า limit ที่ DA ไว้แล้วว่าวันหนึ่งส่งได้ไม่เกิน 200 ฉบับ ยังเจอเมลตีกลับซ่ะ เป็นพันเลย แจ้งให้กำจัดซ่ะเขาก็บอกว่าไม่มี ไม่มี แต่วันไหนเขาเช็คเมล วันนั้นเครื่องเราจะเจอปัญหาเมลตีกลับจนล้นทุกที

ลองไปอ่าน forum ของ DA ว่าสามารถทำ limit per user ได้ด้วย แต่อ่านแล้วไม่เข้าใจวิธีการทำครับ limit email/user

เขาบอกให้เพิ่ม /etc/virtual/limit_username ใน exim.pl ที่อยู่ที่ /etc/ โดยมี username คือชื่อ user ใน DA ที่เราต้องการ limit ใช้ไหมครับ เสร็จแล้วก็ restart exim service เท่านี้ก็เสร็จ ถูกต้องไหมครับ แล้วเราจะไปป้อนจำนวนที่จะ limit email ของ user นั้นตรงไหนครับ

ขอบคุณในคำแนะนำครับ

2

พี่ธีครับ

ผมเคยทำตามในนี้ http://www.thaihosttalk.com/topic/17961-ขอรบกวนท่านที่ใช้-da-ครับ/

ส่วน เวลาเราต้องการกำหนด user ใดให้ใช้ ตามที่เรากำหนด ก็ สร้างไฟล์

limit.(user)

เช่น limit.thaihost ไว้ใน /etc/virtual

3

สงสัยจะเข้าใจผิดแล้วแฮะ

ลองใหม่ เ้ข้าไปที่ /etc/virtual สร้าง file ชื่อ limit_user ขึ้นมา ในนั้นใส่ตัวเลขที่จะ limit email ของ user นั้นไว้ แล้วก็ไป restart exim

ได้การละ ทีนี้ก็รอดูผล

4

เท่าที่ดูจาก Preventing outgoing spam | Directadmin Docs

ในนี้ก็ให้กำหนด ค่าใน /etc/virtual/ นะครับพี่ธี

echo 300 > /etc/virtual/limit_username

5

ขอบคุณคุณ EVOHosting.in.th ครับ ผมลืมคลังกระทู้ไปได้ไงเนี่ย

แต่ที่ผมทำเป็น ส่วนเพิ่มเติมของ DA รุ่นหลังจากกระทู้นั้นด้วยครับ[b]

[/b]

6

แฮะๆ แก้แล้วครับ พิมพ์ /virtual ตกหล่น

ตอนนี้ดูที่หน้า Details for User เป็นจำนวนที่เราตั้งแล้วครับ

7

Version ใหม่ ๆ กำหนดในหน้า admin ได้เลยนะครับ

อ้อ ขออภัยเข้าใจผิด

8

แยก user ก็เป็นแค่การ เพิ่ม/ลด ค่า limit ให้แตกต่างไปจากค่า default เท่านั้นเองครับ

ยังไงก็ไม่ช่วยอะไรเพราะพอเลยค่า limit ไป ก็จะมีเมล์ตีกลับเหมือนเดิม ครั้งจะไม่ limit ก็กลายเป็นส่ง spam กระจายไปทั่ว

9

ถ้า Limit เท่ากันทุก User ตามนี้ครับหากไม่ทุก User ก็คงต้องทำตามที่คนอื่นบอกครับ

10

ตั้งที่โดเมนนั้น จดหมายตีกลับ drop ทิ้งไปเลยครับพี่ธี

ต้องหาสาเหตุ ที่ถูกส่งเมล์ครับพี่ธี

  1. ถ้าปิด cgi แล้ว

  2. อาจเพราะ da-popb4smtp ครับ ปิด service ตัวนี้

จำได้ประมาณมีหน้าที่จำ ip ที่ทำการ auth เพื่อส่งออกเมล์

อาจมีผู้ใช้บางคน เครื่องติดโทรจัน แอบส่งเมล์ ผ่าน IP ดังกล่าว

ส่งผลให้ส่งได้สำเร็จ เพราะ IP นั้นๆ ผ่าน authentication แล้วจึงส่งได้ทันที

ถ้าปิดแล้ว ผู้ที่จะใช้ โปรแกรมส่งเมล์พวก outlook ต้องตั้งค่า authentication Outgoing mail ครับ

จำได้ว่าพี่ไก่เคยแนะนำไม่ควรปิด

แต่จากที่ปิดตลอดมา นอกจากลูกค้าจะต้องตั้งค่ายุ่งยากขึ้นเล็กน้อย ผมก็ไม่เจอปัญหา เรื่องเมล์ ถูกส่งออกเยอะๆ อีกเลยครับ

11

da-popb4smtp ปิดไว้ครับ stop service มือทุกครั้งที่มีการ restart server ครับ

ยังไม่รู้สาเหตุที่ชัดเจนครับ เนื่องจาก user ไม่ค่อยให้ความร่วมมือเท่าที่ควร

อันนี้ head ของเมลที่ตีกลับ

1S756G-000Ox3-SS-D

This message was created automatically by mail delivery software.



A message that you sent could not be delivered to one or more of its

recipients. This is a permanent error. The following address(es) failed:



  [email]1559105973@qq.com[/email]

	Unrouteable address

  [email]1518997255@qq.com[/email]

	Unrouteable address

  [email]1561586825@qq.com[/email]

	Unrouteable address

  [email]1554496439@qq.com[/email]

	Unrouteable address

  [email]1506456165@qq.com[/email]

	Unrouteable address

  [email]1552687616@qq.com[/email]

	Unrouteable address

  [email]1548507214@qq.com[/email]

	Unrouteable address

  [email]1539423995@qq.com[/email]

	Unrouteable address

  [email]1550341861@qq.com[/email]

	Unrouteable address

  [email]1559432346@qq.com[/email]

	Unrouteable address

  [email]1539233547@qq.com[/email]

	Unrouteable address



------ This is a copy of the message, including all the headers. ------



Return-path: <webmaster@nong123456.go.th>

Received: from [219.159.198.60] (helo=drchykqz)

	by ns3.1234town.com with esmtpa (Exim 4.62)

	(envelope-from <webmaster@nong123456.go.th>)

	id 1S756G-000Ovg-4z; Mon, 12 Mar 2012 20:15:44 +0700

Message-ID: <DDA78BFCADE48DDF9C72B84914718F64@drchykqz>

From: =?gb2312?B?zajWqg==?= <webmaster@nong123456.go.th>

To: 

Subject: 1559105973

Date: Mon, 12 Mar 2012 21:15:25 +0800

MIME-Version: 1.0

Content-Type: text/html;

	charset="gb2312"

Content-Transfer-Encoding: base64

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.5512

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

X-Antivirus-Scanner: Clean mail though you should still use an Antivirus

user เช็คเมลผ่านหน้าเว็บอย่างเดียว ไม่ได้ตั้งค่าอะไรกับ outlook เลย แต่เมลที่กลับแจ้งว่าส่งออกจาก outlook (X-Mailer: Microsoft Outlook Express 6.00.2900.5512)

ตอนนี้เลยต้องหาวิธี limit การส่งออกให้ต่ำที่สุดไว้ก่อนครับ เพราะลูกค้าไม่ค่อยได้ส่งเมล แต่เปิดเช็คเมลเข้า

12

unroute คือ ส่งเกิน Limit ครับ

ลองไล่ tail -f /var/log/exim/maillog ดูครับ มันจะบอกส่งจาก user อะไร จิงๆเปลี่ยน pass user นั้นก็จะหายครับ

ลองดูจาก msg ใน user ก็ได้ครับจะมีบอกส่งจาก user ไหนครับ

13

Received: from [219.159.198.60] (helo=drchykqz)

id 1S756G-000Ovg-4z; Mon, 12 Mar 2012 20:15:44 +0700

ลองไปคุ้ยใน mainlog ดูครับ

ก็น่าจะใช้ user/pass ที่ดักได้ไปทำการ authen เข้ามา ซึ่งวิธีแก้คงมีทางเดียวคือต้องกำจัด trojan ในเครื่องที่ถูกดัก password นั่นล่ะ

เมื่อ case นี้ user ไม่ให้ความร่วมมือก็ลำบากหน่อย มีมาก็เปลี่ยน password ไปซะ แล้วรอ user โทรมาตอนเข้าเช็คเมล์ไม่ได้ค่อยบอก pass ใหม่ไป มีมาอีกก็เปลี่ยนอีก ดูว่าใครจะทนไม่ได้ก่อนกัน

14

ทราบ user ครับถึงจะเล่น limit เฉพาะ user นั้นเลย

(helo=drchykqz) user นี้ไม่มีในระบบครับ เครื่องลูกค้าก็ไม่ได้ใช้ user หรือชื่อเครื่องตามนี้ (computer name = admin_98, user = administater)

อีเมลของลูกค้าใน domain มี 3 ชื่อ ที่มีปัญหาคือ webmaster ครับ อีก 2 ชื่อไม่ได้ใช้งาน

แฮะๆ ผมทนไม่ไหวก่อนครับ เพราะคอยเปลี่ยน password มาหลายรอบแล้ว

เผลอหน่อย script mail over queue ทำงาน service exim ก็จะ stop ลูกค้ารายอื่นส่งเมลไม่ได้ งานเข้าอีก 555

เมื่อวานพอแก้ limit per user ได้ ผมใส่ไว้แค่ 30 วันนี้ดู sent email ของ user รายนี้มีส่งออกแค่ 68 ฉบับ มีค้างและตีกลับใน queue 10 กว่าฉบับ ค่อยยังชั่วหน่อย

เดี๋ยวดูอาการ 2-3 วันครับ อาจจะปรับตัวเลขอีกหน่อย

15

ตอนนั้นแนะนำเพราะว่าลืมคิดตรงในออฟฟิศเดียวกันไอพีเดียวกันนี่แหละครับ

ผมก็ไม่ได้เปิดแล้ว แต่งบางเครืองก็ยังรันอยู่บ้าง ไม่ไหวอธิบายลูกค้าครับ ว่าทำใมเมื่อก่อนได้อะไรแบบนี้

แต่ตอนนี้ไอพีแถวๆจีนมาแอบส่งบ่อยครับ แต่พวกนี้ authen หมดครับ

บางครั้งเปลี่ยนรหัสผ่านไป ก็โดนขโมยอีก อาจจะต้องแนะนำลูกค้าไปใช้เว็บเมล์แทน

16

พี่ธีต้องลองเช็คดีดีครับ ว่ามันเผลอเปิดเองหรือป่าว

ภายหลังจากค่อยๆ อธิบายให้ลูกค้าฟัง เค๊าก็เข้าใจครับ เพราะหากเกิดปัญหาลักษณะนี้ โดเมนเค๊าเองสุ่มเสี่ยงที่จะติด Blacklist ได้เช่นกันครับ

17

ลุกค้าชอบตั้ง pass ง่ายๆครับ ตั้ง 1234 ไรงี้

18

ดูแล้วครับว่า service ไม่ start

รายนี้ตั้งยากครับ พิมพ์ภาษาไทยบนคีย์ภาษาอังกฤษครับ มีทั้งตัวหนังสือเล็ก ใหญ่และตัวเลขผสมกัน

ที่แปลกใจคือว่าเขาเช็คเมลจากหน้าเว็บครับ ไม่ได้ใช้ outlook

19