Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Hejka!
Przychodzą ostatnio do mnie (i nie tylko) piękne inforrmacje, że mam zapłacić ileśtam bitcoinów bo jak nie to opublikują film jak się brzydko bawię pod kołderką :)
Maile mają jedną rzecz wspólną, czyli:
From: <username@domena.tld> To: username@domena.tld
no i oczywiście reszta całkiem pięknie prawidłowa, envelope sender się zgadza z spf-em i w ogóle miód bajka.
Poprzednio było po prostu:
From: username@domena.tld
i wyłapywałem to przez:
condition = ${if and {\ {eq {$rh_from:}{$rh_to:}}\ {!match{$rh_from:}{$sender_address}}\ }{yes}{no}}
Pytanko: jakto zrobić w przypadku dodania znaczków <> ?
Offline
Spamssasin, demon spamd, userpref w mysql:
MariaDB [spamd]> insert into userpref (`id`,`username`,`preference`,`value`,`descript`,`added`,`added_by`,`modified`) value ('','$GLOBAL','blacklist_from','*conversionlabs.org.pl','',CURRENT_TIMESTAMP(),'',CURRENT_TIMESTAMP());
Do tego dla blacklist_from +100pkt w punktacji i dziękuję za uwagę.
Poza tym mając pola Received nie musisz się bawić z lamerstwem w postaci nagłówka From, który można dosyć łatwo sfałszować korzystając z faktu, że w mailu może być ich kilka, a MUA bierze albo pierwszy, albo ostatni, niekoniecznie ten autentyczny, bo tego ani Outlook ani TB odróżnić nie potrafią, podobnie jak inne programy.
Przykłady nagłówków Received:
Received: from poczta.interia.pl [217.74.64.236]
Received: from m237-69.mailgun.net (m237-69.mailgun.net [159.135.237.69])
Received: from post.fortum.pl (post.fortum.pl [91.200.34.165])
Nagłówek Received zawiera dużo więcej pożytecznych informacji:
Received: from [b]poczta.martessport.com.pl[/b] (poczta.martessport.com.pl [212.244.242.170])
(using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by [b]fmx13.pf.interia.pl[/b] (Postfix) with ESMTPS[/quote]
Gdzie [b]from[/b] to serwer nadawcy, natomiast [b]by[/b] to serwer przyjmujący maila.
Pierwszy nagłówek od góry (przeważnie, zależy to od konfiguracji serwera SMTP), wypełnia twój serwer SMTP, w treści maila takiego nagłówka sfałszować się nie da.
Poza tym jak na jednym serwerze ustawiłem kiedyś w Postfixie:Kod:
smtpd_tls_security_level = encryptto ilość spamu spadła o około 40% (to było kilka lat temu).
Ostatnio edytowany przez Jacekalex (2019-02-20 12:54:45)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Jacekalex - ja Cię naprawdę lubię ale Twój podręczmik blokowania nie ma nic wspólnego z moim pytaniem.
spamassassin to ładnie wyłapuje, ale ja potrzebuję tego zanim wlezie do spamassassina. pozza tym zależy mi dokładnie na takim spospbie wykrywania (envelope sender + nagłówki from i to).
wiesz jak to zrobić to pomóż
nie wiesz... to nie snuj teorii spiskowych.
Offline
Exim nie czegoś w typie konfigu badmailfrom czy wbudowanego RBLa?
Bo Postfix może stosować praktycznie dowolne filtry w sesji SMTP.
Może pokaż oryginalne nagłówki takiego spamu.
I przy okazji czy nadawca i odbiorca w tym mailu są z tej samej domeny? (nie zajmujemy się tym, czy nagłówki są prawdziwe czy fałszywe).
Offline
Ma wszystko co trzeba, tyle że mail jest jak najbardziej prawidłowy (łącznie z tym, że nie ma żadnych fałszywych nagłówków, jest to wysyłane z zombiaków działających na autentycznych kontach Bogu ducha winnych nadawców). Jedyną wspólną cechą jest ten sam adres w polach "From" i "To" nie zgadzający się z rzeczywistym nadawcą (envelope sender).
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne - niestety od pewnego czasu nie są, w "To" siedzi sam adres a w "From" adres ujęty w nawiasy kątowe. I teraz wystarczyłaby mi regułka sprawdzająca [b]adresy[/b] w polach "From" i "To" a nie po prostu ich zawartość.
Ot, i cała filozofia :(
Offline
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne[/quote]
W Postfixie:Kod:
cat /etc/postfix/sender_checks_my domena.tld 554 Prosze wlaczyc SMTP AUTHKod:
grep sender_checks_my /etc/postfix/main.cf check_sender_access hash:/etc/postfix/sender_checks_my,I za podobny spam bardzo serdecznie dziękujemy na poziomie sesji SMTP,
czyli autoryzacja SMTP albo wypad.
Rozwiązanie pochodzi stąd:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90Kilka słów o podszywaniu się
...[/quote]
SOA#1
W Eximie pewnie też się da, czyli pozwalamy z naszej obsługiwanej domeny tylko i wyłącznie z autoryzacją, taki numer jest do zrobienia w każdym serwerze SMTP.
W Eximie z resztą masz np:Kod:
auth_advertise_hosts = ! 10.9.8.0/24[url]https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html[/url]
Wtedy bez autoryzacji (u mnie) tylko i wyłącznie polecenie systemowe sendmail może coś wysłać.Ostatnio edytowany przez Jacekalex (2019-02-21 13:45:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
ech...
Ja mam Exima a nie Postfixa, znam go raczej nieźle (dopieszczam tę konfigurację już siedem lat) tylko mam problem z jednym wyrażeniem (wyciągnięcie adresu e-mail z $rh_to i $rh_from).
Jeszcze raz wytłumaczę (już nie Tobie bo się chyba uodporniłeś ale ktoś to może przeczytać): poczta jest z innej domeny, całkiem prawidłowa z dokładniością do rekordu SPF, nie mam podstaw aby ją odrzucać na podstawie nagłówków, chodzi tylko o wyłapanie sytuacji fałszywki w polu "from" i wysłanie gościa na drzewo.
Wyobraź sobie że ze swojej domeny do Ciebie wysyłam maila, wszystko jest pięknie ładnie, nie masz powoduy aby go odrzucić tyle że w polu "from" wpisuję sobie "jacekalex@gdzieśtam" zamiast "ethanak@zupełniegdzieindziej". Teoretycznie jest to dopuszczalne, ale ja sobie takich maili nie życzę i życzę sobie odrzucić to jeszcze przed wejściem do spamassassina z odpowiednią informacją. Tyle. Nic więcej.
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00092 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.136.210' WHERE u.id=1 |
0.00087 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.136.210', 1733248498) |
0.00060 | SELECT * FROM punbb_online WHERE logged<1733248198 |
0.00091 | DELETE FROM punbb_online WHERE ident='3.15.218.234' |
0.00077 | DELETE FROM punbb_online WHERE ident='52.15.78.119' |
0.00069 | SELECT topic_id FROM punbb_posts WHERE id=323048 |
0.00047 | SELECT id FROM punbb_posts WHERE topic_id=30844 ORDER BY posted |
0.00052 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30844 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00073 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30844 ORDER BY p.id LIMIT 0,25 |
0.00070 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30844 |
Total query time: 0.00742 s |