Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2019-02-20 11:11:06
ethanak - 
Użytkownik
[exim]Jak się pozbyć syfu?
Hejka!
Przychodzą ostatnio do mnie (i nie tylko) piękne inforrmacje, że mam zapłacić ileśtam bitcoinów bo jak nie to opublikują film jak się brzydko bawię pod kołderką :)
Maile mają jedną rzecz wspólną, czyli:
Kod:
From: <username@domena.tld> To: username@domena.tld
no i oczywiście reszta całkiem pięknie prawidłowa, envelope sender się zgadza z spf-em i w ogóle miód bajka.
Poprzednio było po prostu:
Kod:
From: username@domena.tld
i wyłapywałem to przez:
Kod:
condition = ${if and {\
{eq {$rh_from:}{$rh_to:}}\
{!match{$rh_from:}{$sender_address}}\
}{yes}{no}}Pytanko: jakto zrobić w przypadku dodania znaczków <> ?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#2 2019-02-20 12:29:20
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Spamssasin, demon spamd, userpref w mysql:
Kod:
MariaDB [spamd]> insert into userpref (`id`,`username`,`preference`,`value`,`descript`,`added`,`added_by`,`modified`) value ('','$GLOBAL','blacklist_from','*conversionlabs.org.pl','',CURRENT_TIMESTAMP(),'',CURRENT_TIMESTAMP());Do tego dla blacklist_from +100pkt w punktacji i dziękuję za uwagę.
Poza tym mając pola Received nie musisz się bawić z lamerstwem w postaci nagłówka From, który można dosyć łatwo sfałszować korzystając z faktu, że w mailu może być ich kilka, a MUA bierze albo pierwszy, albo ostatni, niekoniecznie ten autentyczny, bo tego ani Outlook ani TB odróżnić nie potrafią, podobnie jak inne programy.
Przykłady nagłówków Received:
Kod:
Received: from poczta.interia.pl [217.74.64.236]
Kod:
Received: from m237-69.mailgun.net (m237-69.mailgun.net [159.135.237.69])
Kod:
Received: from post.fortum.pl (post.fortum.pl [91.200.34.165])
Nagłówek Received zawiera dużo więcej pożytecznych informacji:
Received: from poczta.martessport.com.pl (poczta.martessport.com.pl [212.244.242.170])
(using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by fmx13.pf.interia.pl (Postfix) with ESMTPS
Gdzie from to serwer nadawcy, natomiast by to serwer przyjmujący maila.
Pierwszy nagłówek od góry (przeważnie, zależy to od konfiguracji serwera SMTP), wypełnia twój serwer SMTP, w treści maila takiego nagłówka sfałszować się nie da.
Poza tym jak na jednym serwerze ustawiłem kiedyś w Postfixie:
Kod:
smtpd_tls_security_level = encrypt
to ilość spamu spadła o około 40% (to było kilka lat temu).
Ostatnio edytowany przez Jacekalex (2019-02-20 12:54:45)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2019-02-20 13:50:26
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
Jacekalex - ja Cię naprawdę lubię ale Twój podręczmik blokowania nie ma nic wspólnego z moim pytaniem.
spamassassin to ładnie wyłapuje, ale ja potrzebuję tego zanim wlezie do spamassassina. pozza tym zależy mi dokładnie na takim spospbie wykrywania (envelope sender + nagłówki from i to).
wiesz jak to zrobić to pomóż
nie wiesz... to nie snuj teorii spiskowych.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#4 2019-02-21 04:25:31
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Exim nie czegoś w typie konfigu badmailfrom czy wbudowanego RBLa?
Bo Postfix może stosować praktycznie dowolne filtry w sesji SMTP.
Może pokaż oryginalne nagłówki takiego spamu.
I przy okazji czy nadawca i odbiorca w tym mailu są z tej samej domeny? (nie zajmujemy się tym, czy nagłówki są prawdziwe czy fałszywe).
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2019-02-21 07:33:54
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
Ma wszystko co trzeba, tyle że mail jest jak najbardziej prawidłowy (łącznie z tym, że nie ma żadnych fałszywych nagłówków, jest to wysyłane z zombiaków działających na autentycznych kontach Bogu ducha winnych nadawców). Jedyną wspólną cechą jest ten sam adres w polach "From" i "To" nie zgadzający się z rzeczywistym nadawcą (envelope sender).
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne - niestety od pewnego czasu nie są, w "To" siedzi sam adres a w "From" adres ujęty w nawiasy kątowe. I teraz wystarczyłaby mi regułka sprawdzająca adresy w polach "From" i "To" a nie po prostu ich zawartość.
Ot, i cała filozofia :(
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#6 2019-02-21 13:29:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne
W Postfixie:
Kod:
cat /etc/postfix/sender_checks_my domena.tld 554 Prosze wlaczyc SMTP AUTH
Kod:
grep sender_checks_my /etc/postfix/main.cf
check_sender_access hash:/etc/postfix/sender_checks_my,I za podobny spam bardzo serdecznie dziękujemy na poziomie sesji SMTP,
czyli autoryzacja SMTP albo wypad.
Rozwiązanie pochodzi stąd:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90
Kilka słów o podszywaniu się
...
SOA#1
W Eximie pewnie też się da, czyli pozwalamy z naszej obsługiwanej domeny tylko i wyłącznie z autoryzacją, taki numer jest do zrobienia w każdym serwerze SMTP.
W Eximie z resztą masz np:
Kod:
auth_advertise_hosts = ! 10.9.8.0/24
https://www.exim.org/exim-html-current/doc/html/spe … tication.html
Wtedy bez autoryzacji (u mnie) tylko i wyłącznie polecenie systemowe sendmail może coś wysłać.
Ostatnio edytowany przez Jacekalex (2019-02-21 13:45:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2019-02-21 17:23:20
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
ech...
Ja mam Exima a nie Postfixa, znam go raczej nieźle (dopieszczam tę konfigurację już siedem lat) tylko mam problem z jednym wyrażeniem (wyciągnięcie adresu e-mail z $rh_to i $rh_from).
Jeszcze raz wytłumaczę (już nie Tobie bo się chyba uodporniłeś ale ktoś to może przeczytać): poczta jest z innej domeny, całkiem prawidłowa z dokładniością do rekordu SPF, nie mam podstaw aby ją odrzucać na podstawie nagłówków, chodzi tylko o wyłapanie sytuacji fałszywki w polu "from" i wysłanie gościa na drzewo.
Wyobraź sobie że ze swojej domeny do Ciebie wysyłam maila, wszystko jest pięknie ładnie, nie masz powoduy aby go odrzucić tyle że w polu "from" wpisuję sobie "jacekalex@gdzieśtam" zamiast "ethanak@zupełniegdzieindziej". Teoretycznie jest to dopuszczalne, ale ja sobie takich maili nie życzę i życzę sobie odrzucić to jeszcze przed wejściem do spamassassina z odpowiednią informacją. Tyle. Nic więcej.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline