Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
Od pewnego czasu przeciskają się e-mail do pracowników o takich treściach
cyt:
Dzien dobry, Jestem Peter Hicks i moge pokazac, jak zwiekszyc do dochodow bez trudu! Korzystanie Opcje binarne mozna dokonac 2,300 dolarow tygodniu ekstra! Czy interesuje Cie to? Mysle, ze tak! Kliknij na link, aby dowiedziec sie wiecej o: http://go.qb.by/56f3a Do zobaczenia, Piotr
Zmienia się adres e-mail i link, oraz adres IP. Mam dodane listy RBL, ale trafiają na nie po kilku dniach i wtedy wszystko działa( nie dochodzą do użytkowników).
Email spełniają moje kryteria, nie są na RBL jeszcze :), nie mają dziwnych załączników w punktacji zdobywają 2.35, 2.39.
Są to wręcz wzorowe email-e
Co można z takim spamem zrobić ? macie jakieś pomysły
Dzięki
Offline
Pokaż całego maila z nagłówkami, surowy tekst, w TB po wklepaniu ctrl+u.
I przy okazji SPF włączony?
Podpisy DKIM sprawdzone?
Greylisting działa?
Zawsze możes z buta potraktować serwerownie, które wynajmują VPSy po 19,99.
W jednym serwerku, którym się opiekuję, kilka najbardziej znanych dostaje 2 pkt na dzień dobry, następne 2 są za "promocja|oferta|okazja|przecena", i jak do tych 2 warunków jest w mailu obrazek, to nie ma cudu, żeby tego SA nie uwalił.
Do klas IP używam tego draństwa:
https://forum.dug.net.pl/viewtopic.php?pid=200113#p200113
Sądząc z treści, możesz też łapać regexami charakterystyczne kawałki zdań:
https://wiki.apache.org/spamassassin/WritingRules
Ostatnio edytowany przez Jacekalex (2015-02-20 10:59:50)
Offline
From dirqqox@ifmpl.home.pl Thu Feb 19 19:41:01 2015
Return-Path: <dirqqox@ifmpl.home.pl>
X-Original-To: anfil@nencki.gov.pl
Delivered-To: anfil@nencki.gov.pl
Received: from porsche.ibd (localhost [127.0.0.1])
by porsche.nencki.gov.pl (Postfix) with ESMTP id 424357F2E7
for <anfil@nencki.gov.pl>; Thu, 19 Feb 2015 19:41:01 +0100 (CET)
X-Virus-Scanned: amavisd-new at nencki.gov.pl
Received: from porsche.nencki.gov.pl ([127.0.0.1])
by porsche.ibd (porsche.ibd [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id DEe6IF5fvQjq for <anfil@nencki.gov.pl>;
Thu, 19 Feb 2015 19:40:42 +0100 (CET)
Received: from gate.nencki.gov.pl (gate.nencki.gov.pl [212.87.16.201])
by porsche.nencki.gov.pl (Postfix) with ESMTP id A9E4E7F2B0
for <anfil@nencki.gov.pl>; Thu, 19 Feb 2015 19:40:42 +0100 (CET)
Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)
Message-ID: <11828300609-YCRBJGBVJYEOPEGEZDFIHGWFX@rusfnvw3.chipita.pl>
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
Subject: Re: Teraz daje szanse zarobic Tobie.
To: anfil@nencki.gov.pl
Date: Fri, 20 Feb 2015 04:34:07 +0200
Mime-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit
X-Virus-Scanned: by bsmtpd at nencki.gov.pl
X-UID: 143086
Status: RO
Dzien dobry,
Jestem Peter Hicks i moge pokazac, jak zwiekszyc do dochodow bez trudu! Korzystanie Opcje binarne mozna dokonac 2,300 dolarow tygodniu ekstra! Czy interesuje Cie to? Mysle, ze tak!
Kliknij na link, aby dowiedziec sie wiecej o: http://go.qb.by/56f3a
Do zobaczenia,
Piotr[/quote]
I przy okazji SPF włączony? NIE
Podpisy DKIM sprawdzone? NIE
Greylisting działa? TAKOstatnio edytowany przez redelek (2015-02-20 10:58:54)
Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/
Offline
I przy okazji SPF włączony? NIE Podpisy DKIM sprawdzone? NIE
Od tego zacznij, a potem będziemy dalej kombinować.
Zobacz tam jeszcze, co dodałem wyżej po twojej odpowiedzi.
[s]Z resztą, jak ten spam przychodzi z serwerowni home.pl, to tam mają abuse.[/s]
Chociaż pewnie co chwila idzie z innych adresów.
EDIT:
Która domena jest z twojego serwera, nencki.pl?
Adres From jest z domeny chipita.pl - siedzi na home.pl, return patch jest na adres w home.pl, a spam dostałaś z Estonii:
Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)
Ty jesteś administrator, czy kalesony?
W WHOIS dla tego adresu Ip (80.79.125.18) stoi czarno na białym (na konsoli odwrotnie):
% Information related to '80.79.112.0 - 80.79.127.255'
[b]% Abuse contact for '80.79.112.0 - 80.79.127.255' is 'abuse@wavecom.ee'[/b][/quote]Ostatnio edytowany przez Jacekalex (2015-02-20 11:17:10)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
na razie to przykręcony temat, bo pierwszy serwer pocztowy jest z 98 roku na FreeBSD 3.X ( i tam nie ma nic), ja teraz migruję do CentOS, ale do końca dovecot na nim nie działa i grubo się zastanawiam czy by nie Debian. Jak zwykle dostałem w spadku :((
Część skrzynek jest jeszcze na FreeBSD, a nowe już na CentOS.
Po zmigrowaniu skrzynki FreeBSD działa jako transport na CentOS, przekazuje wszystko.
Oki zaraz zobaczę to SPF. Plany modernizacyjne są bardzo duże i fajne, ale muszę tak na chwilę rozwiązać ten problem dzięki za info zaraz sprawdzę.
Piotrek
Offline
Na SPFie ten spam by zakończył żywot w 3 sekundy:
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
;; ANSWER SECTION: chipita.pl. 3599 IN TXT "v=spf1 mx exp=onlinealbum.chipita.pl ip4:178.239.85.0/24 -all"
I tyle w temacie, panie "administrator". :D
Ostatnio edytowany przez Jacekalex (2015-02-20 11:20:13)
Offline
ooo to na końcu dobre :Dupa :))) Nie mam tak miło, nie wszystko można mieć, ja robię dużo w firmie więc mam wszędzie ubytki. Niestety nie rozumieją szefowie , że gość od wszystkiego to Dupa i nie chcą zatrudnić ludzi do pomocy i do mniejszych rzeczy im pasuje tak jak jest , a ja się gryzę w ogon tyle roboty. No nic dzięki za pomoc postaram się coś zdziałać w tym temacie.
Ale to temat długiii i bez piwa nie da rady :)))) Dzięki
Ostatnio edytowany przez redelek (2015-02-20 11:31:02)
Offline
[quote=Jacekalex]Na SPFie ten spam by zakończył żywot w 3 sekundy:
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
[/quote]
Taki ch... jak Batorego komin, panie "administrator".
Od kiedy to do SPF wrzucasz From a nie Return-Path? Chyba że w domciu na tepsianym DSL-u.
A przejdzie ponieważ:
$ host -t txt home.pl home.pl descriptive text "v=spf1 ip4:212.85.96.0/19 ip4:62.129.192.0/18 ip4:89.161.128.0/17 ip4:79.96.0.0/16 ip4:188.128.128.0/17 ip4:46.41.128.0/18 a mx"
I tyle w temacie, panie "administrator". Jako pracę domową proponuję przeanalizowanie sobie jaki błąd ma home.pl (oczywiście po nauczeniu się jak się konfiguruje sprawdzanie SPF w MTA).
A wracając do tematu: wcale nie jest to takie proste jak się naszemu dyżurnemu administratorszczykowi wydaje. Wiele tego typu maili przychodzi z domen nie mających rekordów SPF lub nawet z legalnych adresów IP - czyli każdy, jawet najbardziej restrykcyjnie skonfigurowany MTA uzna go za prawidłowy. Szukanie "charakterystycznych stringów" też nie na wiele się zda - treść się zmienia, a zbyt ogólne ustawienia owocowałyby zbyt dużą ilością false positives. SpanAssassin punktuje te maile często niżej niż normalną uczciwą korespondencję.
Cóż - to nie są durni spamerzy od viagry, raczej ładnie zorganizowana złodziejska szajka zatrudniająca również administratorów i speców od bezpieczeństwa...
Offline
Zawsze można ustawić spamtrapa - zakładasz sobie dowolnego maila o niepozornej nazwie (np ola@mojadomena) ustawiasz dla niego próg antyspama na 1000pkt i co jakiś pzreglądasz maile, usuwasz te co nei są ewidentnym spamem a na reszcie puszczasz sa-learn. No i sporo możesz w samym postfixie odfiltrować (vide [url]http://www.postfix.org/ADDRESS_VERIFICATION_README.html[/url])
Offline
[quote=ethanak][quote=Jacekalex]Na SPFie ten spam by zakończył żywot w 3 sekundy:
From: "Pete Yoder" <Yoder.Pete9@chipita.pl>
[/quote]
Taki ch... jak Batorego komin, panie "administrator".
Od kiedy to do SPF wrzucasz From a nie Return-Path? Chyba że w domciu na tepsianym DSL-u.
A przejdzie ponieważ:
$ host -t txt home.pl home.pl descriptive text "v=spf1 ip4:212.85.96.0/19 ip4:62.129.192.0/18 ip4:89.161.128.0/17 ip4:79.96.0.0/16 ip4:188.128.128.0/17 ip4:46.41.128.0/18 a mx"
I tyle w temacie, panie "administrator". Jako pracę domową proponuję przeanalizowanie sobie jaki błąd ma home.pl (oczywiście po nauczeniu się jak się konfiguruje sprawdzanie SPF w MTA).
A wracając do tematu: wcale nie jest to takie proste jak się naszemu dyżurnemu administratorszczykowi wydaje. Wiele tego typu maili przychodzi z domen nie mających rekordów SPF lub nawet z legalnych adresów IP - czyli każdy, jawet najbardziej restrykcyjnie skonfigurowany MTA uzna go za prawidłowy. Szukanie "charakterystycznych stringów" też nie na wiele się zda - treść się zmienia, a zbyt ogólne ustawienia owocowałyby zbyt dużą ilością false positives. SpanAssassin punktuje te maile często niżej niż normalną uczciwą korespondencję.
Cóż - to nie są durni spamerzy od viagry, raczej ładnie zorganizowana złodziejska szajka zatrudniająca również administratorów i speców od bezpieczeństwa...[/quote]
Cóż waść pieprzysz?
To nie home.pl wysłał maila, tylko serwerownia Aktsiaselts Wavecom z Estonii.
Received: from greenlabyrinth.estnoc.ee (greenlabyrinth.estnoc.ee [80.79.125.18]) by gate.nencki.gov.pl with SMTP id ILOO7VzIOHQRenFD; Thu, 19 Feb 2015 19:40:41 +0100 (CET)
I nie RETURN_PATCH, bo u mnie Postfixowy skrypt spf-perl pięknie filtruje po polu MAIL FROM: w czasie sesji SMTP.
Dowód rzeczowy nr 1:
http://www.openspf.org/Why?s=mfrom;id=ethanak%40onet.pl;ip=%3A%3A1;r=localhost
I nie chrzań, że jakiś serwer nie ma rekordu SPF, bo tutaj mail przyszedł z domeny, która owszem, taki rekord ma, a my tu nie piszemy specyfikacji SMTP do RFC, tylko analizujemy konkretny przypadek dosyć prymitywnego spamu.
Oczywiście są też bardziej wyrafinowane sposoby spamowania, ale jak się trafią na serwerze, to się wtedy będziemy martwić.
Z resztą, jak ktoś nie potrafi lub mu się nie chce zrobić rekordu tekstowego w strefie domeny, to jego małpa i jego cyrk, sam jest sobie winien.
Na szczęście coraz więcej domen takie rekordy ma, i to nawet prawidlowo skonfigurowane.
Także Twoje argumenty są z dupy wzięte, mociumpanie.
Ostatnio edytowany przez Jacekalex (2015-02-20 12:35:51)
Offline
Panocki - spokojniej troszku bo będę ciął ;)
Offline
@winnetou: sorry, ale jeśli osoba znana na tym forum z tego, że z reguły coś wie tym razem pieprzy takie kacapoły to garbaty by się wyprostował... i nie chodzi tu o jakiekolwiek obrażanie kolegi "administratora" tylko o wyjaśienie sytuacji (żeby bron Boże kol. wątkotwórca nie uznał sprawy za wyjaśnioną - bo nie jest).
A więc spokojnie...
Drogi i Wielce Uczony Panie Jackualeksie... a czymże jest MAIL FROM z sesji SMTP, jeśli nie tym, co ląduje później w Return-Path? W odróżnieniu of nagłówka From który ląduje tylko i wyłącznie w nagłówku From?
Takoż - mail został wysłany z Estonii, jako adres nadawcy widnieje ktośtam@home.pl - pczy czym rekord SPF domeny home.pl [b]absolutnie nie zabrania[/b] wysyłania maili z return-path typu *@home.pl z Estonii, Azerbejdżanu tudzież Marsa.
Ponawiam więc prośbę o nauczenie się jak to działa, a [b]dopiero potem[/b] objęcie roli Wielkiego Mistrza wyjaśniającego owo działanie maluczkim na forum. Bo na razie robisz z siebie jedynie pieniacza, który za wszelką cenę chce udowodnić że Zawsze Ma Rację Nawet Wtedy Kiedy Jej Nie Ma.
Offline
Takoż - mail został wysłany z Estonii, jako adres nadawcy widnieje ktośtam@home.pl - pczy czym rekord SPF domeny home.pl absolutnie nie zabrania wysyłania maili z return-path typu *@home.pl z Estonii, Azerbejdżanu tudzież Marsa.[/quote]
W takiej sytuacji zawsze można opieprzać administrację home.pl, jeśli ta nie potrafi skonfigurować rekordu SPF, i odsyłać im takie maile jako dowód, do ichniejszego postmastera.
W każdym razie, jak się sprawę opisze na kilku forach branżowych, to zaraz poprawią. :D
Z resztą w samym skrypcie do SPF (do Postifxa są tylko w Pythonie lub Perlu) można to przerobić, żeby jednak łapał takie rzeczy, (brak polityki traktował domyślnie jako -all), choć to już będzie trochę wykraczało poza specyfikację standardowego filtra SPF.
Wiem, takie gimnastyki są niemile widziane, ale jeśli na największej polskiej hostingowni SPFa nie umieją ustawić, to prochu człowiek nie wymyśli.
Można ewentualnie naskrobać skrypta podobnego do tego z SPF, ale takiego, który sprawdzi w DNS rekordy a i mx, i wywali maila, jak nie przychodzi z któregoś z nich.
Nie będzie to co prawda idealnie zgodne ze specyfikacja SMTP, ale na to już niewiele można poradzić.
Względnie jest jeszcze w Postfixie filtr [url=http://www.postfix.org/postconf.5.html#reject_unverified_sender]reject_unverified_sender[/url],
ale ten mocno zamula dostarczanie poczty.
Pozdro
;-)Ostatnio edytowany przez Jacekalex (2015-02-20 13:21:52)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00187 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.129.39.85' WHERE u.id=1 |
0.00096 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.129.39.85', 1732812400) |
0.00078 | SELECT * FROM punbb_online WHERE logged<1732812100 |
0.00115 | DELETE FROM punbb_online WHERE ident='18.188.59.124' |
0.00086 | DELETE FROM punbb_online WHERE ident='3.133.109.58' |
0.00080 | DELETE FROM punbb_online WHERE ident='3.133.139.28' |
0.00076 | DELETE FROM punbb_online WHERE ident='3.144.106.207' |
0.00079 | SELECT topic_id FROM punbb_posts WHERE id=283299 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=27060 ORDER BY posted |
0.00060 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27060 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00157 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27060 ORDER BY p.id LIMIT 0,25 |
0.00270 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27060 |
Total query time: 0.01313 s |