Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-02-20 11:11:06

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

[exim]Jak się pozbyć syfu?

Hejka!

Przychodzą ostatnio do mnie (i nie tylko) piękne inforrmacje, że mam zapłacić ileśtam bitcoinów bo jak nie to opublikują film jak się brzydko bawię pod kołderką :)
Maile mają jedną rzecz wspólną, czyli:

Kod:

From: <username@domena.tld>
To: username@domena.tld

no i oczywiście reszta całkiem pięknie prawidłowa, envelope sender się zgadza z spf-em i w ogóle miód bajka.

Poprzednio było po prostu:

Kod:

From: username@domena.tld

i wyłapywałem to przez:

Kod:

condition = ${if and {\
        {eq {$rh_from:}{$rh_to:}}\
        {!match{$rh_from:}{$sender_address}}\
        }{yes}{no}}

Pytanko: jakto zrobić w przypadku dodania znaczków <> ?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#2  2019-02-20 12:29:20

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Spamssasin, demon spamd, userpref w mysql:

Kod:

MariaDB [spamd]> insert into userpref (`id`,`username`,`preference`,`value`,`descript`,`added`,`added_by`,`modified`) value ('','$GLOBAL','blacklist_from','*conversionlabs.org.pl','',CURRENT_TIMESTAMP(),'',CURRENT_TIMESTAMP());

Do tego dla blacklist_from +100pkt w punktacji i dziękuję za uwagę.

Poza tym mając pola Received  nie musisz się bawić z lamerstwem w postaci nagłówka From, który można dosyć łatwo sfałszować korzystając z faktu, że w mailu może być ich kilka, a MUA bierze  albo pierwszy, albo ostatni, niekoniecznie ten autentyczny, bo tego ani Outlook ani TB odróżnić nie potrafią, podobnie jak inne programy.

Przykłady nagłówków Received:

Kod:

Received: from poczta.interia.pl [217.74.64.236]

Kod:

Received: from m237-69.mailgun.net (m237-69.mailgun.net [159.135.237.69])

Kod:

Received: from post.fortum.pl (post.fortum.pl [91.200.34.165])

Nagłówek Received zawiera dużo więcej pożytecznych informacji:

Received: from [b]poczta.martessport.com.pl[/b] (poczta.martessport.com.pl [212.244.242.170])
    (using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by [b]fmx13.pf.interia.pl[/b] (Postfix) with ESMTPS[/quote]
Gdzie [b]from[/b] to serwer nadawcy, natomiast [b]by[/b] to serwer przyjmujący maila.

Pierwszy nagłówek od góry (przeważnie, zależy to od konfiguracji serwera SMTP), wypełnia twój serwer SMTP, w treści maila takiego nagłówka sfałszować się nie da.

Poza tym jak na jednym serwerze ustawiłem kiedyś w Postfixie:

Kod:

smtpd_tls_security_level = encrypt

to ilość spamu spadła o około 40% (to było kilka lat temu).

Ostatnio edytowany przez Jacekalex (2019-02-20 12:54:45)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2019-02-20 13:50:26

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

Jacekalex - ja Cię naprawdę lubię ale Twój podręczmik blokowania nie ma nic wspólnego z moim pytaniem.
spamassassin to ładnie wyłapuje, ale ja potrzebuję tego zanim wlezie do spamassassina. pozza tym zależy mi dokładnie na takim spospbie wykrywania (envelope sender + nagłówki from i to).
wiesz jak to zrobić to pomóż
nie wiesz... to nie snuj teorii spiskowych.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#4  2019-02-21 04:25:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Exim nie czegoś w typie konfigu badmailfrom czy wbudowanego RBLa?

Bo Postfix może stosować praktycznie dowolne filtry w sesji SMTP.

Może pokaż oryginalne  nagłówki takiego spamu.

I przy okazji czy nadawca i odbiorca w tym mailu są z tej samej domeny? (nie zajmujemy się tym, czy nagłówki są prawdziwe czy fałszywe).


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2019-02-21 07:33:54

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

Ma wszystko co trzeba, tyle że mail jest jak najbardziej prawidłowy (łącznie z tym, że nie ma żadnych fałszywych nagłówków, jest to wysyłane z zombiaków działających na autentycznych kontach Bogu ducha winnych nadawców). Jedyną wspólną cechą jest ten sam adres w polach "From" i "To" nie zgadzający się z rzeczywistym nadawcą (envelope sender).
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne - niestety od pewnego czasu nie są, w "To" siedzi sam adres a w "From" adres ujęty w nawiasy kątowe. I teraz wystarczyłaby mi regułka sprawdzająca [b]adresy[/b] w polach "From" i "To" a nie po prostu ich zawartość.
Ot, i cała filozofia :(


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#6  2019-02-21 13:29:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [exim]Jak się pozbyć syfu?

Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne[/quote]
W Postfixie:

Kod:

cat /etc/postfix/sender_checks_my
domena.tld       554 Prosze wlaczyc SMTP AUTH

Kod:

grep sender_checks_my /etc/postfix/main.cf 
                                check_sender_access hash:/etc/postfix/sender_checks_my,

I za podobny spam bardzo serdecznie dziękujemy na poziomie sesji SMTP,
czyli autoryzacja SMTP albo wypad.

Rozwiązanie pochodzi stąd:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90

Kilka słów o podszywaniu się
...[/quote]
SOA#1

W Eximie pewnie też się da, czyli pozwalamy z naszej obsługiwanej domeny tylko i wyłącznie z autoryzacją, taki numer jest do zrobienia w każdym serwerze SMTP.

W Eximie z resztą masz np:

Kod:

auth_advertise_hosts = ! 10.9.8.0/24

[url]https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html[/url]

Wtedy bez autoryzacji  (u mnie) tylko i wyłącznie polecenie systemowe sendmail może coś wysłać.

Ostatnio edytowany przez Jacekalex (2019-02-21 13:45:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2019-02-21 17:23:20

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: [exim]Jak się pozbyć syfu?

ech...
Ja mam Exima a nie Postfixa, znam go raczej nieźle (dopieszczam tę konfigurację już siedem lat) tylko mam problem z jednym wyrażeniem (wyciągnięcie adresu e-mail z $rh_to i $rh_from).
Jeszcze raz wytłumaczę (już nie Tobie bo się chyba uodporniłeś ale ktoś to może przeczytać): poczta jest z innej domeny, całkiem prawidłowa z dokładniością do rekordu SPF, nie mam podstaw aby ją odrzucać na podstawie nagłówków, chodzi tylko o wyłapanie sytuacji fałszywki w polu "from" i wysłanie gościa na drzewo.
Wyobraź sobie że ze swojej domeny do Ciebie wysyłam maila, wszystko jest pięknie ładnie, nie masz powoduy aby go odrzucić tyle że w polu "from" wpisuję sobie "jacekalex@gdzieśtam" zamiast "ethanak@zupełniegdzieindziej". Teoretycznie jest to dopuszczalne, ale ja sobie takich maili nie życzę i życzę sobie odrzucić to jeszcze przed wejściem do spamassassina z odpowiednią informacją. Tyle. Nic więcej.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00092 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.136.210' WHERE u.id=1
0.00087 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.136.210', 1733248498)
0.00060 SELECT * FROM punbb_online WHERE logged<1733248198
0.00091 DELETE FROM punbb_online WHERE ident='3.15.218.234'
0.00077 DELETE FROM punbb_online WHERE ident='52.15.78.119'
0.00069 SELECT topic_id FROM punbb_posts WHERE id=323048
0.00047 SELECT id FROM punbb_posts WHERE topic_id=30844 ORDER BY posted
0.00052 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30844 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00073 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30844 ORDER BY p.id LIMIT 0,25
0.00070 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30844
Total query time: 0.00742 s