Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2019-02-20 11:11:06

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

[exim]Jak się pozbyć syfu?

Hejka!

Przychodzą ostatnio do mnie (i nie tylko) piękne inforrmacje, że mam zapłacić ileśtam bitcoinów bo jak nie to opublikują film jak się brzydko bawię pod kołderką :)
Maile mają jedną rzecz wspólną, czyli:

Kod:

From: <username@domena.tld>
To: username@domena.tld

no i oczywiście reszta całkiem pięknie prawidłowa, envelope sender się zgadza z spf-em i w ogóle miód bajka.

Poprzednio było po prostu:

Kod:

From: username@domena.tld

i wyłapywałem to przez:

Kod:

condition = ${if and {\
        {eq {$rh_from:}{$rh_to:}}\
        {!match{$rh_from:}{$sender_address}}\
        }{yes}{no}}

Pytanko: jakto zrobić w przypadku dodania znaczków <> ?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#2 2019-02-20 12:29:20

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Spamssasin, demon spamd, userpref w mysql:

Kod:

MariaDB [spamd]> insert into userpref (`id`,`username`,`preference`,`value`,`descript`,`added`,`added_by`,`modified`) value ('','$GLOBAL','blacklist_from','*conversionlabs.org.pl','',CURRENT_TIMESTAMP(),'',CURRENT_TIMESTAMP());

Do tego dla blacklist_from +100pkt w punktacji i dziękuję za uwagę.

Poza tym mając pola Received  nie musisz się bawić z lamerstwem w postaci nagłówka From, który można dosyć łatwo sfałszować korzystając z faktu, że w mailu może być ich kilka, a MUA bierze  albo pierwszy, albo ostatni, niekoniecznie ten autentyczny, bo tego ani Outlook ani TB odróżnić nie potrafią, podobnie jak inne programy.

Przykłady nagłówków Received:

Kod:

Received: from poczta.interia.pl [217.74.64.236]

Kod:

Received: from m237-69.mailgun.net (m237-69.mailgun.net [159.135.237.69])

Kod:

Received: from post.fortum.pl (post.fortum.pl [91.200.34.165])

Nagłówek Received zawiera dużo więcej pożytecznych informacji:

Received: from poczta.martessport.com.pl (poczta.martessport.com.pl [212.244.242.170])
    (using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by fmx13.pf.interia.pl (Postfix) with ESMTPS

Gdzie from to serwer nadawcy, natomiast by to serwer przyjmujący maila.

Pierwszy nagłówek od góry (przeważnie, zależy to od konfiguracji serwera SMTP), wypełnia twój serwer SMTP, w treści maila takiego nagłówka sfałszować się nie da.

Poza tym jak na jednym serwerze ustawiłem kiedyś w Postfixie:

Kod:

smtpd_tls_security_level = encrypt

to ilość spamu spadła o około 40% (to było kilka lat temu).

Ostatnio edytowany przez Jacekalex (2019-02-20 12:54:45)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3 2019-02-20 13:50:26

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

Jacekalex - ja Cię naprawdę lubię ale Twój podręczmik blokowania nie ma nic wspólnego z moim pytaniem.
spamassassin to ładnie wyłapuje, ale ja potrzebuję tego zanim wlezie do spamassassina. pozza tym zależy mi dokładnie na takim spospbie wykrywania (envelope sender + nagłówki from i to).
wiesz jak to zrobić to pomóż
nie wiesz... to nie snuj teorii spiskowych.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#4 2019-02-21 04:25:31

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Exim nie czegoś w typie konfigu badmailfrom czy wbudowanego RBLa?

Bo Postfix może stosować praktycznie dowolne filtry w sesji SMTP.

Może pokaż oryginalne  nagłówki takiego spamu.

I przy okazji czy nadawca i odbiorca w tym mailu są z tej samej domeny? (nie zajmujemy się tym, czy nagłówki są prawdziwe czy fałszywe).


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5 2019-02-21 07:33:54

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

Ma wszystko co trzeba, tyle że mail jest jak najbardziej prawidłowy (łącznie z tym, że nie ma żadnych fałszywych nagłówków, jest to wysyłane z zombiaków działających na autentycznych kontach Bogu ducha winnych nadawców). Jedyną wspólną cechą jest ten sam adres w polach "From" i "To" nie zgadzający się z rzeczywistym nadawcą (envelope sender).
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne - niestety od pewnego czasu nie są, w "To" siedzi sam adres a w "From" adres ujęty w nawiasy kątowe. I teraz wystarczyłaby mi regułka sprawdzająca adresy w polach "From" i "To" a nie po prostu ich zawartość.
Ot, i cała filozofia :(


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#6 2019-02-21 13:29:46

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne

W Postfixie:

Kod:

cat /etc/postfix/sender_checks_my
domena.tld       554 Prosze wlaczyc SMTP AUTH

Kod:

grep sender_checks_my /etc/postfix/main.cf 
                                check_sender_access hash:/etc/postfix/sender_checks_my,

I za podobny spam bardzo serdecznie dziękujemy na poziomie sesji SMTP,
czyli autoryzacja SMTP albo wypad.

Rozwiązanie pochodzi stąd:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90

Kilka słów o podszywaniu się
...

SOA#1

W Eximie pewnie też się da, czyli pozwalamy z naszej obsługiwanej domeny tylko i wyłącznie z autoryzacją, taki numer jest do zrobienia w każdym serwerze SMTP.

W Eximie z resztą masz np:

Kod:

auth_advertise_hosts = ! 10.9.8.0/24

https://www.exim.org/exim-html-current/doc/html/spe … tication.html

Wtedy bez autoryzacji  (u mnie) tylko i wyłącznie polecenie systemowe sendmail może coś wysłać.

Ostatnio edytowany przez Jacekalex (2019-02-21 13:45:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7 2019-02-21 17:23:20

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

ech...
Ja mam Exima a nie Postfixa, znam go raczej nieźle (dopieszczam tę konfigurację już siedem lat) tylko mam problem z jednym wyrażeniem (wyciągnięcie adresu e-mail z $rh_to i $rh_from).
Jeszcze raz wytłumaczę (już nie Tobie bo się chyba uodporniłeś ale ktoś to może przeczytać): poczta jest z innej domeny, całkiem prawidłowa z dokładniością do rekordu SPF, nie mam podstaw aby ją odrzucać na podstawie nagłówków, chodzi tylko o wyłapanie sytuacji fałszywki w polu "from" i wysłanie gościa na drzewo.
Wyobraź sobie że ze swojej domeny do Ciebie wysyłam maila, wszystko jest pięknie ładnie, nie masz powoduy aby go odrzucić tyle że w polu "from" wpisuję sobie "jacekalex@gdzieśtam" zamiast "ethanak@zupełniegdzieindziej". Teoretycznie jest to dopuszczalne, ale ja sobie takich maili nie życzę i życzę sobie odrzucić to jeszcze przed wejściem do spamassassina z odpowiednią informacją. Tyle. Nic więcej.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)