Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » [SOLVED] Analiza nagłówka SPAMU
#1 2015-05-13 09:57:04
bonus - 
Użytkownik
- bonus
- Użytkownik
- Zarejestrowany: 2009-11-12
[SOLVED] Analiza nagłówka SPAMU
Witam
proszę o pomoc w wyjaśnieniu pochodzenia i trasy otrzymanego SPAMU oto nagłówek:
Kod:
Return-Path: <fvobtsojn@integral-tech.pl> Received: by o2.pl (o2.pl mailsystem) with LMTP; Mon, 13 Apr 2015 23:45:31 +0200 Received: from mta154.medicaremail.com [5.8.40.154] by mx3.o2.pl with ESMTP id nrMdrX; Mon, 13 Apr 2015 23:45:54 +0200 Received-SPF: permerror (mx3.o2.pl: domain of fvobtsojn@integral-tech.pl uses mechanism not recognized by this client) Message-ID: <79883414077-KEPHUVKJNENFNYAHEVJICXVQ@otfn52.gminastezyca.pl> From: "Jakiś Nadawca" <spreparowanynadawca@jakasdomena.pl> Subject: XXX To: adres@o2.pl Date: XXX
Ostatnio edytowany przez bonus (2015-05-27 09:27:25)
Offline
#2 2015-05-13 10:14:38
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
Doszło na tlena, pomimo [b]Received-SPF: permerror[/b]?
Bez komentarza....
Chodzi Ci o to, skąd przyszedł ten mail - [b]fvobtsojn@integral-tech.pl[/b]
z jakiego serwera: Received: from [b]mta154.medicaremail.com[/b], z jakiego adresu IP: [[b]5.8.40.154[/b]]
- czy jak je filtrować i wywalać automatycznie?
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2015-05-13 11:27:47
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
@jacekalex: czytanie ze zrozumieniem się kłania. zadanie domowe: co znaczy permerror i dlaczego taki mail powinien być przepuszczony.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#4 2015-05-13 11:31:28
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
[quote=ethanak]@jacekalex: czytanie ze zrozumieniem się kłania. zadanie domowe: co znaczy permerror i dlaczego taki mail powinien być przepuszczony.[/quote]
Ja takie wywalam na dzień dobry, i jeszcze nie widziałem jakiejkolwiek reklamacji czy skargi.
Zgodnie ze specyfikacją SMTP mail ma siedzieć w kolejce wysyłania co najmniej 72 godziny, a permerrory na normalnych serwerach nie trwają wiecznie.
Z resztą komunikat błędu:
uses mechanism not recognized by this client[/quote]
oznacza chyba identyczny błąd, jaki kiedyś dyskutowaliśmy odnośnie home.pl.Ostatnio edytowany przez Jacekalex (2015-05-13 11:35:32)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2015-05-13 11:43:20
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
nie mam jak sprawdzić ale (jeśli chodzi o genezę błędu) też mi się tak wydaje. tyle że o ile ty czy ja możemy sobie pozwoluć na pewną nadinterpretację (poprzedzoną analizą logów) o tyle w przypadku o2 trzymanie się ściśle zasad jest chyba koniecznością... i błąd w konfiguracji rekordu spf nie powinien być tutaj powodem odrzucenia maila.
btw z ciekawości możesz wrzucić tu zawartość rekordu spf? przynajmniej mielibyśmy jasność...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#6 2015-05-13 11:44:06
bonus - Użytkownik
- bonus
- Użytkownik
- Zarejestrowany: 2009-11-12
Re: [SOLVED] Analiza nagłówka SPAMU
Właśnie nieco poczytałem o analizie nagłówków i już nieco czaje bazę, tylko dlaczego wiadomość od nadawcy fvobtsojn@integral-tech.pl została przesłana z serwera mta154.medicaremail.com, a nie jak by się wydawało z serwera pocztowego w domenie integral-tech.pl np. mail.integral-tech.pl. Kogo powiadamiać w tym wypadku o otrzymaniu SPAMU integral-tech.pl czyli INTEGRAL TECHNOLOGIES SP. Z O.O. czy może wysyłać do administratora mta154.medicaremail.com.
Offline
#7 2015-05-13 11:45:55
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
a dlaczego maile z domeny polip.com wysyłane są przez maszynę w setia.pl?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#8 2015-05-13 12:24:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
btw z ciekawości możesz wrzucić tu zawartość rekordu spf? przynajmniej mielibyśmy jasność...[/quote]
Rekord SPF:Kod:
integral-tech.pl descriptive text "v=spf1 mx a ptr ip4:10.0.0.1/16 a:iex1.integral.int include:integral-tech.pl -all"Log z mojego Postfixa:
Kod:
postfix/policy-spf[9009]: : Policy action=PREPEND Received-SPF: permerror (integral-tech.pl ... integral-tech.pl: Maximum void DNS look-ups limit (2) exceeded) receiver=localhost; identity=mailfrom; envelope-from="fvobtsojn@integral-tech.pl"; helo=localhost; client-ip=127.0.0.1Coś przekombinowali z rekordem SPF (albo spartolili, po co w SPF klasa 10.0.0.1/16), i od razu spamerzy z Rosji się na to rzucili.
Identyczna sytuacja była z home.pl i spamem z Estonii.
[b]@bonus[/b]
Odsyłaj to na [b]abuse@integral-tech.pl[/b], a pojedyncze powiadomienie możesz posłać na [b]postmaster@integral-tech.pl[/b], powinno pomóc, chociaż pewności nigdy nie ma.Ostatnio edytowany przez Jacekalex (2015-05-13 12:29:48)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2015-05-13 12:57:34
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
no jeśli integral-tech.pl inkluduje integral-tech.pl to tego nawet babolem nazwać nie można :)
w tym przypadku maile do postmastera raczej nie pomogą...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#10 2015-05-13 13:03:22
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
[quote=ethanak]no jeśli integral-tech.pl inkluduje integral-tech.pl to tego nawet babolem nazwać nie można :)
w tym przypadku maile do postmastera raczej nie pomogą...[/quote]
Dlaczego nie pomogą? jak jakiś patafian odbierze, to jest szansa, chyba,
że postmaster ma skrzynkę, do której przez ostatnie 15 lat nikt nie zajrzał. :D
Przepełniona partycja /var/ z powodu /var/mail/root to częsty przypadek na serwerach, którymi administrują różni studenci "gier i zabaw", albo ktoś kiedyś postawił serwer, skasował 200 zł i tyle go widzieli. xD
Ostatnio edytowany przez Jacekalex (2015-05-13 13:06:03)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#11 2015-05-13 13:06:36
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
chodzi mi o to, że facet jeśli nawet maila przeczyta to i tak nie zrozumie...
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#12 2015-05-13 22:13:33
bonus - Użytkownik
- bonus
- Użytkownik
- Zarejestrowany: 2009-11-12
Re: [SOLVED] Analiza nagłówka SPAMU
[quote=Jacekalex]a dlaczego maile z domeny polip.com wysyłane są przez maszynę w setia.pl[/quote]
Proszę wybaczyć brak wiedzy, ale mam następujące wątpliwości. Rozumiem, że pocztę dla domeny polip.com może obsługiwać maszyna setia.pl poprzez rejestrację rekordu MX, który wskazuje na zupełnie inny rekord A. W przypadku przedstawionego przeze mnie adresu fvobtsojn@integral-tech.pl jest zarejestrowany rekord MX w tej samej domenie tj. integral-tech.pl więc jak jest możliwe, że serwer mta154.medicaremail.com nada wiadomość jako nadawca fvobtsojn@integral-tech.pl? Dlaczego nie wyszedł ten email z adresu ip 217.153.135.34 czyli serwera integral-tech.pl?
Offline
#13 2015-05-13 23:25:53
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
Bo wysłali go spamerzy z adresu jakiejś sieci w Rosji, którzy wykorzystując spartolony rekord SPF integral-tech.pl po prostu fałszowali adres nadawcy.
Każdy serwer pocztowy może obsługiwać dowolne domeny wirtualne, wykorzystują ten fakt spamerzy, żeby się bronić przed spamem ze sfałszowanych adresów używa się kilku metod obrony, najczęstsze, to DKIM i SPF, blacklisty RBL też są od tego.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2015-05-14 07:56:07
bonus - Użytkownik
- bonus
- Użytkownik
- Zarejestrowany: 2009-11-12
Re: [SOLVED] Analiza nagłówka SPAMU
[quote=Jacekalex]Bo wysłali go spamerzy z adresu jakiejś sieci w Rosji, którzy wykorzystując spartolony rekord SPF integral-tech.pl po prostu fałszowali adres nadawcy.[/quote]
Czyli nie jest tak, że spamerzy utworzyli sobie konto na integral-tech.pl i wysłali SPAM, ale wówczas adresem właściwym wysyłki był adres ip w rekordzie MX integral-tech.pl czy tak?. Gdzieś wczoraj czytałem, że nagłówek Return-Path: jest nadawany przez serwer poczty i "nie może" zostać sfałszowany. Jeżeli SPAM został wysłany z rosji, a adres nadawcy sfałszowany to jaki sens ma powiadamianie postmastera integral-tech.pl?
Offline
#15 2015-05-14 08:15:53
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [SOLVED] Analiza nagłówka SPAMU
Nie założyli konta, dopisali domenę intergral-tech do domen wirtualnych obsługiwanych na własnym serwerze pocztowym, i zaczęli spamowanie, korzystając z faktu, że integral-tech ma spartolony rekord SPF, spamują, ile wlezie.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#16 2015-05-14 08:39:18
ethanak - Użytkownik
Re: [SOLVED] Analiza nagłówka SPAMU
[quote=bonus]Gdzieś wczoraj czytałem, że nagłówek Return-Path: jest nadawany przez serwer poczty i "nie może" zostać sfałszowany.[/quote]
"Nie może" to się parasol w rzyci przypadkiem otworzyć. Return-Path (inaczej Envelope Sender) to adres zwrotny nadawcy (tzn. adres wpisany przez nadawcę jako własny, w odróżnieniu od pola "From:" które może zawierać różne bzdury albo nawet w ogóle nie istnieć) - czyli nadawca może wpisać cokolwiek, co jest rozpoznawane przez serwer wysyłający pocztę. Czyli nawet fałszować nie trzeba.
Że już nie wspomnę, że spamsendery mają nieco inną konstrukcję niż uczciwe serwery SMTP i takowy nagłówek sobie z reguły generują.
Jedyne co jest naprawdę trudne do sfałszowania to adres IP maszyny od której odebrano pocztę (ostatniej w łańcuchu przed Twoim serwerem).
Jeżeli SPAM został wysłany z rosji, a adres nadawcy sfałszowany to jaki sens ma powiadamianie postmastera integral-tech.pl?[/quote]
Żeby chłoptyś sobie poprawił rekord SPF mnóstwo wielce natychmiast bo jak mu domena na spamlistę trafi to taniej będzie nową kupić niż tę wyciągać.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » [SOLVED] Analiza nagłówka SPAMU
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00010 | SET NAMES latin2 |
| 0.00183 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.29.145' WHERE u.id=1 |
| 0.00097 | UPDATE punbb_online SET logged=1714909865 WHERE ident='3.141.29.145' |
| 0.00060 | SELECT * FROM punbb_online WHERE logged<1714909565 |
| 0.00070 | DELETE FROM punbb_online WHERE ident='47.128.28.178' |
| 0.00112 | SELECT topic_id FROM punbb_posts WHERE id=287033 |
| 0.00141 | SELECT id FROM punbb_posts WHERE topic_id=27384 ORDER BY posted |
| 0.00060 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27384 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00125 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27384 ORDER BY p.id LIMIT 0,25 |
| 0.00078 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27384 |
| Total query time: 0.00954 s | |