Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-09-14 16:39:47
buli - 
Użytkownik
- buli
- Użytkownik
- Skąd: Człuchów
- Zarejestrowany: 2006-04-30
Fake mail, jak zabezpieczyć użytkowników
Ostatnim czasem, za sprawą posłanki Kępy głośno o stronie http://emkei.cz
Tak się zastanawiam co zrobić aby postfix odrzucał takie wiadomości i nie docierały one do userów na moim serwerze..
Czy postgrey, amavis, spamassasin nie działają tylko na poziomie domen nadawców?
X-Greylist: delayed 451 seconds by postgrey-1.31 at xxx; Wed, 14 Sep 2011 15:34:09 CEST
Received: from emkei.cz (emkei.cz [46.167.245.101])[/quote]
Będę wdzięczny za wskazówki jak dodać taką regułę.Ostatnio edytowany przez buli (2011-09-14 16:48:03)
blehh :F
Offline
#2 2011-09-14 17:06:29
bercik - Moderator Mamut
Re: Fake mail, jak zabezpieczyć użytkowników
jakims rozwiazaniem tego bylo SPF, ale to zlo ... ogolnie tak dziala poczta i kazdy (uzytkownik) powinien miec swiadomosc ze e-mail (tak samo jak papierowy list) nie musi pochodzic od tego kto sie pod nim podpisal, ani od tego kto jest na kopercie (w mailach typowo uzytkownik nawet nie oglada koperty)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#3 2011-09-14 17:46:00
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Fake mail, jak zabezpieczyć użytkowników
[url=http://pl.wikipedia.org/wiki/Sender_Policy_Framework]SPF[/url] jest dobrym narzędziem do maili ze sfałszowanych adresów, choć w mojej opinii lepszy jest podpis [url=http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail]DKIM[/url], oba prawdziwą skuteczność uzyskują w połączeniu z kryptograficznym podpisem rekordów strefy - [url=http://pl.wikipedia.org/wiki/DNSSEC]DNSSEC[/url].
Oczywiście serwer poczty musi obslugiwać SPF i DKIM.
Spamassassin też sprawdza SPF i DKIM, o ile mu się to włączy w konfiguracji.
Sznurki:
http://www.howtoforge.com/postfix_spf
https://help.ubuntu.com/community/Postfix/DKIM
http://wiki.debian.org/DNSSEC
http://spamassassin.apache.org/tests_3_3_x.html
Żadno z tych rozwiązań nie jest szczególnie kosztowne, a pozwala wykluczyć podobne fałszerstwa dość skutecznie.
Jedynie znalezienie serwera primary i secondary DNS, które obsługują rekordy DNSSEC,
i mają w miarę znośny panel konfiguracyjny, graniczy z cudem.
Tu jest ciekawa dyskusja:
http://niebezpiecznik.pl/post/nikt-nie-wlamal-sie-na-skrzynke-beaty-kempy-jeszcze
Na końcu jest zresztą "laboratoryjne" wyjaśnienie przyczyny, z powodu której jeden mail tyle wiatru narobił.
Z resztą sam zobacz:
Kod:
telnet smtp2.pap.pl 25
lub np:
Kod:
swaks -from andrzej.dorsz@prezydent.pl -to sekretariat.prezesa@pap.pl -s smtp2.pap.pl
:xD
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-09-14 18:00:38)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2011-09-14 17:57:21
buli - Użytkownik
- buli
- Użytkownik
- Skąd: Człuchów
- Zarejestrowany: 2006-04-30
Re: Fake mail, jak zabezpieczyć użytkowników
Chciałem na początek dodać zwykłe odrzucanie domeny w postfixie..
dodałem coś takiego w main.cf
header_checks = pcre:/etc/postfix/header_checks[/quote]
oraz zawartość header_checks/^Received:(emkei\.cz)/ REJECT[/quote]
Jednak wiadomość przechodziSep 14 17:43:54 xxx postfix/smtpd[26111]: connect from emkei.cz[46.167.245.101]
Sep 14 17:43:54 xxx postgrey: action=pass, reason=triplet found, client_name=emkei.cz, client_address=46.167.245.101, sender=testa@xxx.pl, recipient=testb@xxx.pl
Sep 14 17:43:54 xxx postfix/smtpd[26111]: 4EA101B438: client=emkei.cz[46.167.245.101]
Sep 14 17:43:54 xxx postfix/cleanup[26121]: 4EA101B438: message-id=<20110914154357.775BC81AD1D@emkei.cz>
Sep 14 17:43:54 xxx postfix/smtpd[26111]: disconnect from emkei.cz[46.167.245.101]
Sep 14 17:43:59 xxx postfix/cleanup[26121]: 2E4511B464: message-id=<20110914154357.775BC81AD1D@emkei.cz>
Sep 14 17:43:59 xxx amavis[21110]: (21110-36) Passed CLEAN, [46.167.245.101] [46.167.245.101] <testa@xxx.pl> -> <testb@xxx.pl>, Message-ID: <20110914154357.775BC81AD1D@emkei.cz>, mail_id: kw18VkDILVPK, Hits: -1.117, size: 650, queued_as: 2E4511B464, 4864 ms[/quote]
blehh :FOffline
#5 2011-09-14 18:18:45
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Fake mail, jak zabezpieczyć użytkowników
Postix? współczuję.
W Spamassassinie możesz dać dla domeny np +100 pkt, potem w Deliverze lub Procmailu ustawić wywalanie maili powyżej np 25 pkt w kosmos (/dev/null) i gotowe.
A jakbyś chciał kiedyś zmienić Postfixa na Qmaila, to tam jest taki fajny pliczek konfiguracyjny:
Kod:
/etc/qmail/badmailfrom
Przy czym banowanie poszczególnych domen, ktore mogą być wykorzystane do spamu, czy oszustw, to bezsensowna strata czasu, przypominająca nieco przeganianie szpaków z czereśni, przy pomocy packi na muchy.
Znacznie lepiej porządnie skonfigurować serwer, niż się bzdurami zajmować.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2012-03-04 06:48:25)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00003 | SET NAMES latin2 |
| 0.00135 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.2.124' WHERE u.id=1 |
| 0.00062 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.2.124', 1733340175) |
| 0.00040 | SELECT * FROM punbb_online WHERE logged<1733339875 |
| 0.00082 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19705 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00104 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19705 ORDER BY p.id LIMIT 0,25 |
| 0.00081 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19705 |
| Total query time: 0.00524 s | |