Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Spam od siebie samego - help!
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW
View previous topic :: View next topic  
Author Message
Xywa
l33t
l33t


Joined: 23 Jul 2005
Posts: 821
Location: /mnt/Gentoo/

PostPosted: Wed Sep 26, 2012 9:11 am    Post subject: Spam od siebie samego - help! Reply with quote

Witam,

Mam nastepujacy problem. Zalozmy ze mam domene kazio.pl i w tej domenie mam kilka adresow email - np. admin@kazio.pl

Od jakiegos czasu dostaje notoryczny spam od... adresu admin@kazio.pl (ktory jest prawdziwy i ktorego na co dzien uzywam) czy tez np. od jasio@kazio.pl (ktorego w ogole nie posiadam).

Czy jest jakis sposob, zeby po pierwsze ktos nie wysylal spamu podszywajac sie pod moj email, a pod rugie zeby sprawe raz na zawsze wyjasnic.

Z gory wielkie dzieki za pomoc.
Back to top
View user's profile Send private message
SlashBeast
Moderator
Moderator


Joined: 23 May 2006
Posts: 2831

PostPosted: Wed Sep 26, 2012 9:57 am    Post subject: Reply with quote

Ustaw rekord SPF na swojej domenie wpisujac, jakie serwery smtp moga wysylac z tej domeny maile i przekonfiguruj sobie smtp ktorym odbierasz poczte by sprawdzal, czy spf istnieje i czy jest poprawny - powinno to wyeliminowac znaczna czesc spamu jaki otrzymujesz.
_________________
BitBucket -- better-initramfs
Back to top
View user's profile Send private message
Jacekalex
Guru
Guru


Joined: 17 Sep 2009
Posts: 493

PostPosted: Tue Oct 02, 2012 7:24 am    Post subject: Reply with quote

SPF może pomóc, ale jest jeszcze druga sprawa:
Radziłbym zobaczyć, czy te spamy nie mają 2 nagłówków from.

Ja miałem taki numer na Gmailu, też dostawałem reklamy od siebie samego, a Gmail ma dosć mocne filtry.
Potem okazało się, że każdy mail miał dodany nagłówek From: <pacjent>@gmail.com, w rezultacie w mailu były dwa, pierwszy dodany przez serwer Gmaila przy odbieraniu maila, i drugi w treści maila.
Dziwnym trafem zarówno Thunderbird jak i webmail Gmaila wyświetlał tylko drugi nagłówek FROM, doklejany w wiadomości.

Zgłosiłem SPAM i się skończyło, ale identyczny numer niedawno zrobili oszuści podszywający się pod powiadomienia@allegro.pl.

Serwer SMTP nie wyłapie takich kfiatków, za to łatwo takie maile łapać filtrując wszystko, co ma 2 różne nagłówki From w wiadomości.
Domyślnie w protokole SMTP zawsze jest jeden nadawca.
Tylko trzeba z głową się za to zabrać, żeby nie wywalać maili, które mają odpowiedź wraz z cytatem oryginalnej wiadomości, bo wtedy filtr zacznie łapać więcej, niż powinien.

Pozdrawiam
8)
Back to top
View user's profile Send private message
canis_lupus
l33t
l33t


Joined: 22 Dec 2005
Posts: 746
Location: Kraków

PostPosted: Wed Oct 03, 2012 4:44 pm    Post subject: Reply with quote

SPF ma jedna bardzo poważną wadę: psuje forwardy. Spróbujcie np forwadowac maila na onet.

Np. domena drukarniaonline.pl ma rekord SPF o tresci "a mx
ip4:176.31.232.140 ~all", czyli wysylanie poczty jest dozwolone z adresu
ktory jest rekordem A i rekordem MX dla tej domeny (obydwa to ten sam
adres 178.32.201.210) oraz z adresu 176.31.232.140. Wpis "all" dotyczacy
wszystkich pozostalych adresow IP jest poprzedzony znakiem "~" czyli ma
dla niego byc zglaszany softfail - i tak sie dzieje, bo poczta
przychodzi z naszych adresow IP, ktore nie sa zadnym z tych dwoch.

Co jest bez sensu to to, ze onet utrzymuje taki softfail w
nieskonczonosc, bo w zasadzie jest zalecane, aby taki softfail dzialal
na zasadzie greylistingu - czyli za pierwszym razem odrzucic, za
nastepnym dopuscic. Inaczej taki softfail nie bardzo ma sens, bo przy
ponownych probach wyslania maila przeciez nic sie nie zmieni... Skoro
onet i tak stosuje greylisting (ale dopiero po pozytywnym przejsciu
maila przez SPF i inne blokady), to mogliby to tak wlasnie
skonfigurowac. No ale niestety tak nie zrobili.
_________________
"I love you cię" Różyczko...
Fotografia ślubna
Back to top
View user's profile Send private message
Jacekalex
Guru
Guru


Joined: 17 Sep 2009
Posts: 493

PostPosted: Wed Oct 03, 2012 11:47 pm    Post subject: Reply with quote

SPF zależy od ustawień, można go skonfigurować, żeby wpuszczał softfail a odbijał hardfail.
Przy hardfail serwer zwraca błąd 5xx i masz po kłopocie.

W dodatku na podstawie SPFa można zrobić punktację w Spamassassinie, robiąc reguły złożone z kilku warunków.
Także jak administrator ustawi, tak to działa.
Samo odbijanie hardfaili daje bardzo dobry rezultat. :twisted:
W dodatku jeszcze nie widziałem filtru, który nie miałby wad, każda metoda łapania spamu ma jakiś margines błędu, i czasem łapie, co nie powinna.
SPF jest najlepszą metodą na spam ze sfałszowanych adresów, jak ktoś narzeka, ze psuje forwardy, to niech spróbuje łapać taki spam z lipnych adresów sprawdzając podpis DKIM. :twisted:

Edyta:
drukarnia online też może na kilka sposobów załatwić problem, albo dodając pozostałe IP do rekordu, albo (jeśli ma dynamiczne IP) ustawić dodatkowego MX-a na hosta dynamicznego np drukarniaonline.dyndns.org a w rekordzie spf dać tylko
Code:
"v=spf1 a mx -all"

I problem softfaila rozwiązany.
Albo spamować za pośrednictwem smarthosta ze stałym IP.
Da się?

Pozdrawiam
8)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) Polish OTW All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum