Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-09-14 16:39:47

  buli - Użytkownik

buli
Użytkownik
Skąd: Człuchów
Zarejestrowany: 2006-04-30

Fake mail, jak zabezpieczyć użytkowników

Ostatnim czasem, za sprawą posłanki Kępy głośno o stronie http://emkei.cz

Tak się zastanawiam co zrobić aby postfix odrzucał takie wiadomości i nie docierały one do userów na moim serwerze..
Czy postgrey, amavis, spamassasin nie działają tylko na poziomie domen nadawców?

X-Greylist: delayed 451 seconds by postgrey-1.31 at xxx; Wed, 14 Sep 2011 15:34:09 CEST
Received: from emkei.cz (emkei.cz [46.167.245.101])[/quote]
Będę wdzięczny za wskazówki jak dodać taką regułę.

Ostatnio edytowany przez buli (2011-09-14 16:48:03)


blehh :F

Offline

 

#2  2011-09-14 17:06:29

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: Fake mail, jak zabezpieczyć użytkowników

jakims rozwiazaniem tego bylo SPF, ale to zlo ... ogolnie tak dziala poczta i kazdy (uzytkownik) powinien miec swiadomosc ze e-mail (tak samo jak papierowy list) nie musi pochodzic od tego kto sie pod nim podpisal, ani od tego kto jest na kopercie (w mailach typowo uzytkownik nawet nie oglada koperty)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#3  2011-09-14 17:46:00

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Fake mail, jak zabezpieczyć użytkowników

[url=http://pl.wikipedia.org/wiki/Sender_Policy_Framework]SPF[/url] jest dobrym narzędziem do maili ze sfałszowanych adresów, choć w mojej opinii  lepszy jest podpis [url=http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail]DKIM[/url], oba prawdziwą skuteczność uzyskują w połączeniu z kryptograficznym podpisem rekordów strefy - [url=http://pl.wikipedia.org/wiki/DNSSEC]DNSSEC[/url].
Oczywiście serwer poczty musi obslugiwać SPF i DKIM.
Spamassassin też sprawdza SPF i DKIM, o ile mu się to włączy w konfiguracji.

Sznurki:
http://www.howtoforge.com/postfix_spf
https://help.ubuntu.com/community/Postfix/DKIM
http://wiki.debian.org/DNSSEC
http://spamassassin.apache.org/tests_3_3_x.html

Żadno z tych rozwiązań nie jest szczególnie kosztowne, a pozwala wykluczyć podobne fałszerstwa dość skutecznie.
Jedynie znalezienie serwera  primary i secondary DNS, które obsługują rekordy DNSSEC,
i mają w miarę znośny panel konfiguracyjny, graniczy z cudem.

Tu jest ciekawa dyskusja:
http://niebezpiecznik.pl/post/nikt-nie-wlamal-sie-na-skrzynke-beaty-kempy-jeszcze

Na końcu jest zresztą "laboratoryjne" wyjaśnienie przyczyny, z powodu której jeden mail tyle wiatru narobił.
Z resztą sam zobacz:

Kod:

telnet smtp2.pap.pl 25

lub np:

Kod:

swaks -from andrzej.dorsz@prezydent.pl -to sekretariat.prezesa@pap.pl -s smtp2.pap.pl

:xD

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-09-14 18:00:38)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2011-09-14 17:57:21

  buli - Użytkownik

buli
Użytkownik
Skąd: Człuchów
Zarejestrowany: 2006-04-30

Re: Fake mail, jak zabezpieczyć użytkowników

Chciałem na początek dodać zwykłe odrzucanie domeny w postfixie..
dodałem coś takiego w main.cf

header_checks = pcre:/etc/postfix/header_checks[/quote]
oraz zawartość header_checks

/^Received:(emkei\.cz)/ REJECT[/quote]
Jednak wiadomość przechodzi

Sep 14 17:43:54 xxx postfix/smtpd[26111]: connect from emkei.cz[46.167.245.101]
Sep 14 17:43:54 xxx postgrey: action=pass, reason=triplet found, client_name=emkei.cz, client_address=46.167.245.101, sender=testa@xxx.pl, recipient=testb@xxx.pl
Sep 14 17:43:54 xxx postfix/smtpd[26111]: 4EA101B438: client=emkei.cz[46.167.245.101]
Sep 14 17:43:54 xxx postfix/cleanup[26121]: 4EA101B438: message-id=<20110914154357.775BC81AD1D@emkei.cz>
Sep 14 17:43:54 xxx postfix/smtpd[26111]: disconnect from emkei.cz[46.167.245.101]
Sep 14 17:43:59 xxx postfix/cleanup[26121]: 2E4511B464: message-id=<20110914154357.775BC81AD1D@emkei.cz>
Sep 14 17:43:59 xxx amavis[21110]: (21110-36) Passed CLEAN, [46.167.245.101] [46.167.245.101] <testa@xxx.pl> -> <testb@xxx.pl>, Message-ID: <20110914154357.775BC81AD1D@emkei.cz>, mail_id: kw18VkDILVPK, Hits: -1.117, size: 650, queued_as: 2E4511B464, 4864 ms[/quote]


blehh :F

Offline

 

#5  2011-09-14 18:18:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Fake mail, jak zabezpieczyć użytkowników

Postix? współczuję.

W Spamassassinie możesz dać dla domeny np  +100  pkt, potem w Deliverze lub Procmailu ustawić wywalanie maili powyżej np 25 pkt w kosmos (/dev/null) i gotowe.

A jakbyś chciał kiedyś zmienić Postfixa na Qmaila, to tam jest taki fajny pliczek konfiguracyjny:

Kod:

/etc/qmail/badmailfrom

Przy czym banowanie poszczególnych domen, ktore mogą być wykorzystane do spamu, czy oszustw, to bezsensowna strata czasu, przypominająca nieco przeganianie szpaków z czereśni, przy pomocy packi na muchy.

Znacznie lepiej porządnie skonfigurować serwer, niż się bzdurami zajmować.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2012-03-04 06:48:25)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00118 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.86.160' WHERE u.id=1
0.00077 UPDATE punbb_online SET logged=1733366067 WHERE ident='18.116.86.160'
0.00065 SELECT * FROM punbb_online WHERE logged<1733365767
0.00078 DELETE FROM punbb_online WHERE ident='18.116.43.120'
0.00046 SELECT topic_id FROM punbb_posts WHERE id=181308
0.00005 SELECT id FROM punbb_posts WHERE topic_id=19705 ORDER BY posted
0.00056 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19705 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00126 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19705 ORDER BY p.id LIMIT 0,25
0.00085 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19705
Total query time: 0.00678 s