Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2019-02-20 11:11:06
ethanak - 
Użytkownik
[exim]Jak się pozbyć syfu?
Hejka!
Przychodzą ostatnio do mnie (i nie tylko) piękne inforrmacje, że mam zapłacić ileśtam bitcoinów bo jak nie to opublikują film jak się brzydko bawię pod kołderką :)
Maile mają jedną rzecz wspólną, czyli:
Kod:
From: <username@domena.tld> To: username@domena.tld
no i oczywiście reszta całkiem pięknie prawidłowa, envelope sender się zgadza z spf-em i w ogóle miód bajka.
Poprzednio było po prostu:
Kod:
From: username@domena.tld
i wyłapywałem to przez:
Kod:
condition = ${if and {\
{eq {$rh_from:}{$rh_to:}}\
{!match{$rh_from:}{$sender_address}}\
}{yes}{no}}Pytanko: jakto zrobić w przypadku dodania znaczków <> ?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#2 2019-02-20 12:29:20
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Spamssasin, demon spamd, userpref w mysql:
Kod:
MariaDB [spamd]> insert into userpref (`id`,`username`,`preference`,`value`,`descript`,`added`,`added_by`,`modified`) value ('','$GLOBAL','blacklist_from','*conversionlabs.org.pl','',CURRENT_TIMESTAMP(),'',CURRENT_TIMESTAMP());Do tego dla blacklist_from +100pkt w punktacji i dziękuję za uwagę.
Poza tym mając pola Received nie musisz się bawić z lamerstwem w postaci nagłówka From, który można dosyć łatwo sfałszować korzystając z faktu, że w mailu może być ich kilka, a MUA bierze albo pierwszy, albo ostatni, niekoniecznie ten autentyczny, bo tego ani Outlook ani TB odróżnić nie potrafią, podobnie jak inne programy.
Przykłady nagłówków Received:
Kod:
Received: from poczta.interia.pl [217.74.64.236]
Kod:
Received: from m237-69.mailgun.net (m237-69.mailgun.net [159.135.237.69])
Kod:
Received: from post.fortum.pl (post.fortum.pl [91.200.34.165])
Nagłówek Received zawiera dużo więcej pożytecznych informacji:
Received: from [b]poczta.martessport.com.pl[/b] (poczta.martessport.com.pl [212.244.242.170])
(using TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by [b]fmx13.pf.interia.pl[/b] (Postfix) with ESMTPS[/quote]
Gdzie [b]from[/b] to serwer nadawcy, natomiast [b]by[/b] to serwer przyjmujący maila.
Pierwszy nagłówek od góry (przeważnie, zależy to od konfiguracji serwera SMTP), wypełnia twój serwer SMTP, w treści maila takiego nagłówka sfałszować się nie da.
Poza tym jak na jednym serwerze ustawiłem kiedyś w Postfixie:Kod:
smtpd_tls_security_level = encryptto ilość spamu spadła o około 40% (to było kilka lat temu).
Ostatnio edytowany przez Jacekalex (2019-02-20 12:54:45)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2019-02-20 13:50:26
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
Jacekalex - ja Cię naprawdę lubię ale Twój podręczmik blokowania nie ma nic wspólnego z moim pytaniem.
spamassassin to ładnie wyłapuje, ale ja potrzebuję tego zanim wlezie do spamassassina. pozza tym zależy mi dokładnie na takim spospbie wykrywania (envelope sender + nagłówki from i to).
wiesz jak to zrobić to pomóż
nie wiesz... to nie snuj teorii spiskowych.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#4 2019-02-21 04:25:31
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Exim nie czegoś w typie konfigu badmailfrom czy wbudowanego RBLa?
Bo Postfix może stosować praktycznie dowolne filtry w sesji SMTP.
Może pokaż oryginalne nagłówki takiego spamu.
I przy okazji czy nadawca i odbiorca w tym mailu są z tej samej domeny? (nie zajmujemy się tym, czy nagłówki są prawdziwe czy fałszywe).
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2019-02-21 07:33:54
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
Ma wszystko co trzeba, tyle że mail jest jak najbardziej prawidłowy (łącznie z tym, że nie ma żadnych fałszywych nagłówków, jest to wysyłane z zombiaków działających na autentycznych kontach Bogu ducha winnych nadawców). Jedyną wspólną cechą jest ten sam adres w polach "From" i "To" nie zgadzający się z rzeczywistym nadawcą (envelope sender).
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne - niestety od pewnego czasu nie są, w "To" siedzi sam adres a w "From" adres ujęty w nawiasy kątowe. I teraz wystarczyłaby mi regułka sprawdzająca [b]adresy[/b] w polach "From" i "To" a nie po prostu ich zawartość.
Ot, i cała filozofia :(
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
#6 2019-02-21 13:29:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: [exim]Jak się pozbyć syfu?
Regułka którą podałem bardzo ładnie sprawdza czy pola "From" i "To" są identyczne[/quote]
W Postfixie:Kod:
cat /etc/postfix/sender_checks_my domena.tld 554 Prosze wlaczyc SMTP AUTHKod:
grep sender_checks_my /etc/postfix/main.cf check_sender_access hash:/etc/postfix/sender_checks_my,I za podobny spam bardzo serdecznie dziękujemy na poziomie sesji SMTP,
czyli autoryzacja SMTP albo wypad.
Rozwiązanie pochodzi stąd:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90Kilka słów o podszywaniu się
...[/quote]
SOA#1
W Eximie pewnie też się da, czyli pozwalamy z naszej obsługiwanej domeny tylko i wyłącznie z autoryzacją, taki numer jest do zrobienia w każdym serwerze SMTP.
W Eximie z resztą masz np:Kod:
auth_advertise_hosts = ! 10.9.8.0/24[url]https://www.exim.org/exim-html-current/doc/html/spec_html/ch-smtp_authentication.html[/url]
Wtedy bez autoryzacji (u mnie) tylko i wyłącznie polecenie systemowe sendmail może coś wysłać.Ostatnio edytowany przez Jacekalex (2019-02-21 13:45:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#7 2019-02-21 17:23:20
ethanak - Użytkownik
Re: [exim]Jak się pozbyć syfu?
ech...
Ja mam Exima a nie Postfixa, znam go raczej nieźle (dopieszczam tę konfigurację już siedem lat) tylko mam problem z jednym wyrażeniem (wyciągnięcie adresu e-mail z $rh_to i $rh_from).
Jeszcze raz wytłumaczę (już nie Tobie bo się chyba uodporniłeś ale ktoś to może przeczytać): poczta jest z innej domeny, całkiem prawidłowa z dokładniością do rekordu SPF, nie mam podstaw aby ją odrzucać na podstawie nagłówków, chodzi tylko o wyłapanie sytuacji fałszywki w polu "from" i wysłanie gościa na drzewo.
Wyobraź sobie że ze swojej domeny do Ciebie wysyłam maila, wszystko jest pięknie ładnie, nie masz powoduy aby go odrzucić tyle że w polu "from" wpisuję sobie "jacekalex@gdzieśtam" zamiast "ethanak@zupełniegdzieindziej". Teoretycznie jest to dopuszczalne, ale ja sobie takich maili nie życzę i życzę sobie odrzucić to jeszcze przed wejściem do spamassassina z odpowiednią informacją. Tyle. Nic więcej.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00015 | SET CHARSET latin2 |
| 0.00008 | SET NAMES latin2 |
| 0.00170 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.30.113' WHERE u.id=1 |
| 0.00707 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.30.113', 1732182466) |
| 0.00115 | SELECT * FROM punbb_online WHERE logged<1732182166 |
| 0.00467 | DELETE FROM punbb_online WHERE ident='3.144.92.165' |
| 0.00130 | DELETE FROM punbb_online WHERE ident='3.15.143.18' |
| 0.00168 | SELECT topic_id FROM punbb_posts WHERE id=323051 |
| 0.00129 | SELECT id FROM punbb_posts WHERE topic_id=30844 ORDER BY posted |
| 0.00106 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30844 AND t.moved_to IS NULL |
| 0.00011 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00241 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30844 ORDER BY p.id LIMIT 0,25 |
| 0.01053 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30844 |
| Total query time: 0.0332 s | |