Forum Debian Users Gang

redelek · 2015-02-20 10:26:22

Witam,

Od pewnego czasu przeciskają się e-mail do pracowników o takich treściach

cyt:
Dzien dobry, Jestem Peter Hicks i moge pokazac, jak zwiekszyc do dochodow bez trudu! Korzystanie Opcje binarne mozna dokonac 2,300 dolarow tygodniu ekstra! Czy interesuje Cie to? Mysle, ze tak! Kliknij na link, aby dowiedziec sie wiecej o: http://go.qb.by/56f3a Do zobaczenia, Piotr

Zmienia się adres e-mail i link, oraz adres IP. Mam dodane listy RBL, ale trafiają na nie po kilku dniach i wtedy wszystko działa( nie dochodzą do użytkowników).
Email spełniają moje kryteria, nie są na RBL jeszcze :), nie mają dziwnych załączników w punktacji zdobywają 2.35, 2.39.

Są to wręcz wzorowe email-e

Co można z takim spamem zrobić ? macie jakieś pomysły

Dzięki

Jacekalex · 2015-02-20 10:36:08

Pokaż całego maila z nagłówkami, surowy tekst, w TB po wklepaniu ctrl+u.

I przy okazji SPF włączony?
Podpisy DKIM sprawdzone?
Greylisting działa?

Zawsze możes z buta potraktować serwerownie, które wynajmują VPSy po 19,99.
W jednym serwerku, którym się opiekuję, kilka najbardziej znanych dostaje 2 pkt na dzień dobry, następne 2 są za "promocja|oferta|okazja|przecena", i jak do tych 2 warunków jest w mailu obrazek, to nie ma cudu, żeby tego SA nie uwalił.

Do klas IP używam tego draństwa:
https://forum.dug.net.pl/viewtopic.php?pid=200113#p200113

Sądząc z treści, możesz też łapać regexami charakterystyczne kawałki zdań:
https://wiki.apache.org/spamassassin/WritingRules

Ostatnio edytowany przez Jacekalex (2015-02-20 10:59:50)

redelek · 2015-02-20 10:57:53

From dirqqox@ifmpl.home.pl Thu Feb 19 19:41:01 2015
Return-Path: <dirqqox@ifmpl.home.pl>
X-Original-To: anfil@nencki.gov.pl
Delivered-To: anfil@nencki.gov.pl
Received: from porsche.ibd (localhost [127.0.0.1])
by porsche.nencki.gov.pl (Postfix) with ESMTP id 424357F2E7
for <anfil@nencki.gov.pl>; Thu, 19 Feb 2015 19:41:01 +0100 (CET)
X-Virus-Scanned: amavisd-new at nencki.gov.pl
Received: from porsche.nencki.gov.pl ([127.0.0.1])
by porsche.ibd (porsche.ibd [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id DEe6IF5fvQjq for <anfil@nencki.gov.pl>;
Thu, 19 Feb 2015 19:40:42 +0100 (CET)
Received: from gate.nencki.gov.pl (gate.nencki.gov.pl [212.87.16.201])
by porsche.nencki.gov.pl (Postfix) with ESMTP id A9E4E7F2B0
for <anfil@nencki.gov.pl>; Thu, 19 Feb 2015 19:40:42 +0100 (CET)
Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)
Message-ID: <11828300609-YCRBJGBVJYEOPEGEZDFIHGWFX@rusfnvw3.chipita.pl>
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
Subject: Re: Teraz daje szanse zarobic Tobie.
To: anfil@nencki.gov.pl
Date: Fri, 20 Feb 2015 04:34:07 +0200
Mime-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit
X-Virus-Scanned: by bsmtpd at nencki.gov.pl
X-UID: 143086
Status: RO

Dzien dobry,
Jestem Peter Hicks i moge pokazac, jak zwiekszyc do dochodow bez trudu! Korzystanie Opcje binarne mozna dokonac 2,300 dolarow tygodniu ekstra! Czy interesuje Cie to? Mysle, ze tak!
Kliknij na link, aby dowiedziec sie wiecej o: http://go.qb.by/56f3a

Do zobaczenia,
Piotr

I przy okazji SPF włączony? NIE
Podpisy DKIM sprawdzone? NIE
Greylisting działa? TAK

Ostatnio edytowany przez redelek (2015-02-20 10:58:54)

Jacekalex · 2015-02-20 11:01:38

Kod:

I przy okazji SPF włączony? NIE
Podpisy DKIM sprawdzone? NIE

Od tego zacznij, a potem będziemy dalej kombinować.

Zobacz tam jeszcze, co dodałem wyżej po twojej odpowiedzi.

Z resztą, jak ten spam przychodzi z serwerowni home.pl, to tam mają abuse.
Chociaż pewnie co chwila idzie z innych adresów.

EDIT:
Która domena jest z twojego serwera, nencki.pl?

Adres From jest z domeny chipita.pl - siedzi na home.pl, return patch jest na adres w home.pl, a spam dostałaś z Estonii:

Kod:

Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)

Ty jesteś administrator, czy kalesony?

W WHOIS dla tego adresu Ip (80.79.125.18) stoi czarno na białym (na konsoli odwrotnie):

% Information related to '80.79.112.0 - 80.79.127.255'

% Abuse contact for '80.79.112.0 - 80.79.127.255' is 'abuse@wavecom.ee'

Ostatnio edytowany przez Jacekalex (2015-02-20 11:17:10)

redelek · 2015-02-20 11:13:08

na razie to przykręcony temat, bo pierwszy serwer pocztowy jest z 98 roku na FreeBSD 3.X ( i tam nie ma nic), ja teraz migruję do CentOS, ale do końca dovecot na nim nie działa i grubo się zastanawiam czy by nie Debian. Jak zwykle dostałem w spadku :((
Część skrzynek jest jeszcze na FreeBSD, a nowe już na CentOS.

Po zmigrowaniu skrzynki FreeBSD działa jako transport na CentOS, przekazuje wszystko.

Oki zaraz zobaczę to SPF. Plany modernizacyjne są bardzo duże i fajne, ale muszę tak na chwilę rozwiązać ten problem dzięki za info zaraz sprawdzę.

Piotrek

Jacekalex · 2015-02-20 11:19:52

Na SPFie ten spam by zakończył żywot w 3 sekundy:

Kod:

From: "Pete Yoder" <Yoder.Pete9@chipita.pl>

Kod:

;; ANSWER SECTION:
chipita.pl.        3599    IN    TXT    "v=spf1 mx exp=onlinealbum.chipita.pl  ip4:178.239.85.0/24 -all"

I tyle w temacie, panie "administrator". :D

Ostatnio edytowany przez Jacekalex (2015-02-20 11:20:13)

redelek · 2015-02-20 11:27:43

ooo to na końcu dobre :Dupa :))) Nie mam tak miło, nie wszystko można mieć, ja robię dużo w firmie więc mam wszędzie ubytki. Niestety nie rozumieją szefowie , że gość od wszystkiego to Dupa i nie chcą zatrudnić ludzi do pomocy i do mniejszych rzeczy im pasuje tak jak jest , a ja się gryzę w ogon tyle roboty. No nic dzięki za pomoc postaram się coś zdziałać w tym temacie.

Ale to temat długiii i bez piwa nie da rady :)))) Dzięki

Ostatnio edytowany przez redelek (2015-02-20 11:31:02)

ethanak · 2015-02-20 12:01:53

Jacekalex napisał(-a):
Na SPFie ten spam by zakończył żywot w 3 sekundy:
Kod:
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>

Taki ch... jak Batorego komin, panie "administrator".
Od kiedy to do SPF wrzucasz From a nie Return-Path? Chyba że w domciu na tepsianym DSL-u.

A przejdzie ponieważ:

Kod:

$ host -t txt home.pl
home.pl descriptive text "v=spf1 ip4:212.85.96.0/19 ip4:62.129.192.0/18 ip4:89.161.128.0/17 ip4:79.96.0.0/16 ip4:188.128.128.0/17 ip4:46.41.128.0/18 a mx"

I tyle w temacie, panie "administrator". Jako pracę domową proponuję przeanalizowanie sobie jaki błąd ma home.pl (oczywiście po nauczeniu się jak się konfiguruje sprawdzanie SPF w MTA).

A wracając do tematu: wcale nie jest to takie proste jak się naszemu dyżurnemu administratorszczykowi wydaje. Wiele tego typu maili przychodzi z domen nie mających rekordów SPF lub nawet z legalnych adresów IP - czyli każdy, jawet najbardziej restrykcyjnie skonfigurowany MTA uzna go za prawidłowy. Szukanie "charakterystycznych stringów" też nie na wiele się zda - treść się zmienia, a zbyt ogólne ustawienia owocowałyby zbyt dużą ilością false positives. SpanAssassin punktuje te maile często niżej niż normalną uczciwą korespondencję.

Cóż - to nie są durni spamerzy od viagry, raczej ładnie zorganizowana złodziejska szajka zatrudniająca również administratorów i speców od bezpieczeństwa...

winnetou · 2015-02-20 12:17:48

Zawsze można ustawić spamtrapa - zakładasz sobie dowolnego maila o niepozornej nazwie (np ola@mojadomena) ustawiasz dla niego próg antyspama na 1000pkt i co jakiś pzreglądasz maile, usuwasz te co nei są ewidentnym spamem a na reszcie puszczasz sa-learn. No i sporo możesz w samym postfixie odfiltrować (vide http://www.postfix.org/ADDRESS_VERIFICATION_README.html)

Jacekalex · 2015-02-20 12:27:40

ethanak napisał(-a):
Jacekalex napisał(-a):
Na SPFie ten spam by zakończył żywot w 3 sekundy:
Kod:
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
Taki ch... jak Batorego komin, panie "administrator".
Od kiedy to do SPF wrzucasz From a nie Return-Path? Chyba że w domciu na tepsianym DSL-u.

A przejdzie ponieważ:
Kod:
$ host -t txt home.pl
home.pl descriptive text "v=spf1 ip4:212.85.96.0/19 ip4:62.129.192.0/18 ip4:89.161.128.0/17 ip4:79.96.0.0/16 ip4:188.128.128.0/17 ip4:46.41.128.0/18 a mx"
I tyle w temacie, panie "administrator". Jako pracę domową proponuję przeanalizowanie sobie jaki błąd ma home.pl (oczywiście po nauczeniu się jak się konfiguruje sprawdzanie SPF w MTA).

A wracając do tematu: wcale nie jest to takie proste jak się naszemu dyżurnemu administratorszczykowi wydaje. Wiele tego typu maili przychodzi z domen nie mających rekordów SPF lub nawet z legalnych adresów IP - czyli każdy, jawet najbardziej restrykcyjnie skonfigurowany MTA uzna go za prawidłowy. Szukanie "charakterystycznych stringów" też nie na wiele się zda - treść się zmienia, a zbyt ogólne ustawienia owocowałyby zbyt dużą ilością false positives. SpanAssassin punktuje te maile często niżej niż normalną uczciwą korespondencję.

Cóż - to nie są durni spamerzy od viagry, raczej ładnie zorganizowana złodziejska szajka zatrudniająca również administratorów i speców od bezpieczeństwa...

Cóż waść pieprzysz?

To nie home.pl wysłał maila, tylko serwerownia Aktsiaselts Wavecom z Estonii.

Kod:

Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)

I nie RETURN_PATCH, bo u mnie Postfixowy skrypt spf-perl pięknie filtruje po polu MAIL FROM: w czasie sesji SMTP.
Dowód rzeczowy nr 1:
http://www.openspf.org/Why?s=mfrom;id=ethanak%40one … 1;r=localhost

I nie chrzań, że jakiś serwer nie ma rekordu SPF, bo tutaj mail przyszedł z domeny, która owszem, taki rekord ma, a my tu nie piszemy specyfikacji SMTP do RFC, tylko analizujemy konkretny przypadek dosyć prymitywnego spamu.
Oczywiście są też bardziej wyrafinowane sposoby spamowania, ale jak się trafią na serwerze, to się wtedy będziemy martwić.
Z resztą, jak ktoś nie potrafi lub mu się nie chce zrobić rekordu tekstowego w strefie domeny, to jego małpa i jego cyrk, sam jest sobie winien.
Na szczęście coraz więcej domen takie rekordy ma, i to nawet prawidlowo skonfigurowane.
Także Twoje argumenty są z dupy wzięte, mociumpanie.

Ostatnio edytowany przez Jacekalex (2015-02-20 12:35:51)

winnetou · 2015-02-20 12:34:00

Panocki - spokojniej troszku bo będę ciął ;)

ethanak · 2015-02-20 12:47:26

@winnetou: sorry, ale jeśli osoba znana na tym forum z tego, że z reguły coś wie tym razem pieprzy takie kacapoły to garbaty by się wyprostował... i nie chodzi tu o jakiekolwiek obrażanie kolegi "administratora" tylko o wyjaśienie sytuacji (żeby bron Boże kol. wątkotwórca nie uznał sprawy za wyjaśnioną - bo nie jest).

A więc spokojnie...

Drogi i Wielce Uczony Panie Jackualeksie... a czymże jest MAIL FROM z sesji SMTP, jeśli nie tym, co ląduje później w Return-Path? W odróżnieniu of nagłówka From który ląduje tylko i wyłącznie w nagłówku From?
Takoż - mail został wysłany z Estonii, jako adres nadawcy widnieje ktośtam@home.pl - pczy czym rekord SPF domeny home.pl absolutnie nie zabrania wysyłania maili z return-path typu *@home.pl z Estonii, Azerbejdżanu tudzież Marsa.

Ponawiam więc prośbę o nauczenie się jak to działa, a dopiero potem objęcie roli Wielkiego Mistrza wyjaśniającego owo działanie maluczkim na forum. Bo na razie robisz z siebie jedynie pieniacza, który za wszelką cenę chce udowodnić że Zawsze Ma Rację Nawet Wtedy Kiedy Jej Nie Ma.

Jacekalex · 2015-02-20 12:57:41

Takoż - mail został wysłany z Estonii, jako adres nadawcy widnieje ktośtam@home.pl - pczy czym rekord SPF domeny home.pl absolutnie nie zabrania wysyłania maili z return-path typu *@home.pl z Estonii, Azerbejdżanu tudzież Marsa.

W takiej sytuacji zawsze można opieprzać administrację home.pl, jeśli ta nie potrafi skonfigurować rekordu SPF, i odsyłać im takie maile jako dowód, do ichniejszego postmastera.
W każdym razie, jak się sprawę opisze na kilku forach branżowych, to zaraz poprawią. :D

Z resztą w samym skrypcie do SPF (do Postifxa są tylko w Pythonie lub Perlu) można to przerobić, żeby jednak łapał takie rzeczy, (brak polityki traktował domyślnie jako -all), choć to już będzie trochę wykraczało poza specyfikację standardowego filtra SPF.

Wiem, takie gimnastyki są niemile widziane, ale jeśli na największej polskiej hostingowni SPFa nie umieją ustawić, to prochu człowiek nie wymyśli.

Można ewentualnie naskrobać skrypta podobnego do tego z SPF, ale takiego, który sprawdzi w DNS rekordy a i mx, i wywali maila, jak nie przychodzi z któregoś z nich.
Nie będzie to co prawda idealnie zgodne ze specyfikacja SMTP, ale na to już niewiele można poradzić.

Względnie jest jeszcze w Postfixie filtr reject_unverified_sender,
ale ten mocno zamula dostarczanie poczty.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-02-20 13:21:52)

Forum Debian Users Gang

Ogłoszenie

#1 2015-02-20 10:26:22

redelek - Członek DUG

postfix dovecot barracuda i SPAM

#2 2015-02-20 10:36:08

Jacekalex - Podobno człowiek...;)

Re: postfix dovecot barracuda i SPAM

#3 2015-02-20 10:57:53

redelek - Członek DUG

Re: postfix dovecot barracuda i SPAM

#4 2015-02-20 11:01:38

Jacekalex - Podobno człowiek...;)

Re: postfix dovecot barracuda i SPAM

Kod:

Kod:

#5 2015-02-20 11:13:08

redelek - Członek DUG

Re: postfix dovecot barracuda i SPAM

#6 2015-02-20 11:19:52

Jacekalex - Podobno człowiek...;)

Re: postfix dovecot barracuda i SPAM

Kod:

Kod:

#7 2015-02-20 11:27:43

redelek - Członek DUG

Re: postfix dovecot barracuda i SPAM

#8 2015-02-20 12:01:53

ethanak - Użytkownik

Re: postfix dovecot barracuda i SPAM

Jacekalex napisał(-a):

Kod:

Kod:

#9 2015-02-20 12:17:48

winnetou - złodziej wirków ]:->

Re: postfix dovecot barracuda i SPAM

#10 2015-02-20 12:27:40

Jacekalex - Podobno człowiek...;)

Re: postfix dovecot barracuda i SPAM

ethanak napisał(-a):

Jacekalex napisał(-a):

Kod:

Kod:

Kod:

#11 2015-02-20 12:34:00

winnetou - złodziej wirków ]:->

Re: postfix dovecot barracuda i SPAM

#12 2015-02-20 12:47:26

ethanak - Użytkownik

Re: postfix dovecot barracuda i SPAM

#13 2015-02-20 12:57:41

Jacekalex - Podobno człowiek...;)

Re: postfix dovecot barracuda i SPAM

Stopka forum