Sziasztok!
Egy rejtélyes levelet szeretnék megfejteni.
Ma reggel jött egy kamu banki mail ilyen kezdettel:
"Fiók ellenőrzés szükséges
Tisztelt Ügyfelünk,
Rendszerünk észlelte, hogy K&H Bank fiókja ellenőrzésre szorul a felfüggesztés elkerülése érdekében."
A feladó info@kh.hu
A levél fejléce:
Return-Path: <bounces+32934010-8d23-user=xxx.hu@sendgrid.net>
Delivered-To: user@xxx.hu
X-Virus-Scanned: Clamav at mail.xxx.hu
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=168.245.115.227; helo=o168245115x227.outbound-mail.sendgrid.net; envelope-from=bounces+32934010-8d23-user=xxx.hu@sendgrid.net; receiver=<UNKNOWN>
Received: from o168245115x227.outbound-mail.sendgrid.net (o168245115x227.outbound-mail.sendgrid.net [168.245.115.227])
(using TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits)
key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
(No client certificate requested)
by mail.xxx.hu (Postfix) with ESMTPS id DB43D120479
for <user@xxx.hu>; Tue, 28 Oct 2025 09:40:52 +0100 (CET)
A levélben szereplő "Fiók ellenőrzése" gomb ide mutatott: https://u32934010.ct.sendgrid.net/ls/click?upn=u001.C7GiZ-2FSmbwgP-2BHb…
Rákattintva ma már not found belső hibaoldalra visz.
Egyértelműen kamu az egész, viszont a kh.hu domain tényleg a k&h bankhoz tartozik, 2000 óta beregisztrálva.
Az SPF szűrőm elvileg jól működik egy kontra teszt szerint. SPF FAIL hibával visszadobja a TXT rekordban nem engedélyezett smtp IP-ről érkező leveleket.
Ez a levél még is átjött SPF PASS eredménnyel.
Ezen az oldalon teszteltem a 168.245.115.227 IP címet és a kh.hu domaint. Szerinte FAIL.
Vajon időközben kivették a kh.hu domain SPF rekordjából ezt az IP-t vagy az én szűrőm csinált egy téves PASS-t?
Köszi, ha segítetek kibogozni.
- 1253 megtekintés
Hozzászólások
Amit én látok most:
- Vagy nagyon ritkán változik a kh.hu domain SOA rekordjában a serial vagy szimplán nem követik az ajánlásokat, szokásokat.
- Az összes kh.hu-s MX a 193.245.73.x zónában van.
A sendgridet általában tömeges levélküldésre szokták használni.
Biztos, hogy kh.hu a domain? Nem véletlenül ĸh.hu (U+0138) vagy ƙh.hu(U+0199) vagy κh.hu (U+03BA)?
- A hozzászóláshoz be kell jelentkezni
Én is kaptam ilyet. (Illetve pár nappal ezelőtt egy MBH-sat is ugyanígy sendgriddel.) Az első ötlet nálam is az volt, hogy homoglyph, de nem. Látszólag normál ASCII karakterekből áll a domain. A legszebb az, hogy a Reply-To és a List-Unsubscribe header is szépen ki van töltve.
- A hozzászóláshoz be kell jelentkezni
A SOA serial vizsgálata jó ötlet, köszi. Máskor alkalmazom. E szerint 2012-ben változott utoljára, ha követik a normát.
Biztos, hogy a kh.hu domain volt. Kimásolva és kézzel begépelve is ugyanazokat a dns és tulajdonosi rekordokat kaptam vissza
- A hozzászóláshoz be kell jelentkezni
> E szerint 2012-ben változott utoljára
marmint azt a szamot irtak oda? mert az egy sima 32 bites integer, egy verzioszam, azt irsz oda amit akarsz, csak a za lenyeg nagyobb legyen a szam mint a modositas elott. oke van egy olyan konvencio, hogy sokan a datumot es utana meg 1 vagy 2 szamjegyet irnak oda, de ezt semmi nem irja elo es nem is keri szamon. es termeszetesen barmilyen datumot is odairhatsz.
- A hozzászóláshoz be kell jelentkezni
"ha követik a normát."
- A hozzászóláshoz be kell jelentkezni
Nem követik :) A norma szerint dátum van benne, de ilyen dátum nincs. A legvalószínűbb, hogy régen követték, aztán áttértek egy olyan rendszerre (esetleg DNS serverre), amely automatikusan inkrementálja a számot.
- A hozzászóláshoz be kell jelentkezni
A 193.254.x.x az nem belső hálós cím? Mit keres ilyen címmel internetes MX rekord?
- A hozzászóláshoz be kell jelentkezni
ez miert lenne belso cim? amugy meg nem 254 hanem 245
- A hozzászóláshoz be kell jelentkezni
Á, rosszul olvastam. Bocs, vakegér vagyok. :-)
- A hozzászóláshoz be kell jelentkezni
A mail szervered a From vagy az Envelope-From címet nézi? Mert alapból szerintem az envelope-from címet, az meg pass-olhatja az IP-t. (sendgrid.net pl. enged egy elég nagy tartományt: 168.245.0.0/17)
A Received-SPF fejlécedben benne is van, hogy envelope-from. DMARC-ban SPF alignmenttel lehetne /megkövetelni/, hogy a MailFrom és From domainnek azonosnak kell lenni.
- A hozzászóláshoz be kell jelentkezni
Köszönöm, valóban ez itt a gond. Úgy olvasom, hogy RFC szerint az SPF ennyiről szól és ez egy rés a pajzson.
Kliens oldalon az OpenDMARC segítségével lehet áthidalni ezt a problémát?
- A hozzászóláshoz be kell jelentkezni
Ajánlom a dmarc támogatást. Ha OpenDMARC-ot beteszed milternek, akkor hozzátesz egy fejlécet (Authentication-Results) aztán azzal már csinálhatsz tetszés szerint bármit pl. fail-t akár el is lehet utasítani, quarantine-t spambe tenni, pass-t meg továbbengedni.
- A hozzászóláshoz be kell jelentkezni
hat valojaban a @sendergrid.net domain ment at az SPF-en ahogy latszik:
envelope-from=bounces+32934010-8d23-user=xxx.hu@sendgrid.net
- A hozzászóláshoz be kell jelentkezni
Basszus, nem láttam a fától az erdőt. Köszönöm. Itt van a trükk. A postfix-policyd-spf-python nem a from mezőt ellenőrzi.
Köszönöm!
- A hozzászóláshoz be kell jelentkezni
Az a From: amit a levelezőben látsz, az egy teljesen sima szöveg, a levél tartalma. Az összes ellenőrzés az envelope alapján megy. Nem hiszem, hogy bármelyik levelező belenézne a tartalomba (spamfilter persze kivétel)
- A hozzászóláshoz be kell jelentkezni
Sok-sok eve nem hasznaltam sendgridet, de akkor ellenoriztek, hogy a sendgrid user hozzafer-e az adott domainhez. Ez idokozben megszunt, vagy egyszeruen elloptak a kh sendgrid accountjat es a legitim accounttal kuldenek spamet?
- A hozzászóláshoz be kell jelentkezni
Most is ellenőrizik.
Én itt tennék egy próbát elsőre, nyomozzák ki ők, hogy mi történt: https://sendgrid.com/en-us/report-spam
- A hozzászóláshoz be kell jelentkezni
Ja csak a fenének nincs kedve minden nap kitölteni. ;)
Úgyhogy remek az "ellenőrzés" , ha kétnaponta lenne mit reportolni én náluk meguntam, hamarosan mennek a /dev/null-ba
- A hozzászóláshoz be kell jelentkezni
Nem tudok róla, hogy a kh-nak bármi köze lenne a sendgridhez.
- A hozzászóláshoz be kell jelentkezni
De, simán lehet. Ez egy SaaS tömeges email küldő alkalmazás, kb mint a MailChimp és még ezer társa. Olcsóbb ezt fizetni, mint egy rendes email küldő infrát üzemeltetni.
És nem is biztos, hogy scam email, ugyanis az ilyen tömeges email küldő alkalmazások lecserélik a linkeket a levélben az úgynevezett engagement mérés miatt. Tehát az, hogy egy kh.hu -s levélben a linkek többsége az ilyen sendgrid.net/x/xyz formájú linkek, az csak egy click-through cucc, mögötte ott van a rendes link (curl -ksv -vel ha megküldöd a linket, akkor egy valamilyen redirect lesz a tényleges linkre).
Viszont, amennyire tudom, idén elég sokmindent alakított a KH a honlapján, lehet, hogy ezek a linkek azért nem élnek, mert a levél összeállítója balfasz volt, és egy régebbi sablont töltött fel a SendGrid-be, amin még olyan linkek vannak, amik 404-ek.
- A hozzászóláshoz be kell jelentkezni
Ezt a levelet en is megkaptam, de nem vagyok kh ugyfel. akkor meg is neztem, hogy SPF pass es sendgrid, de jobban nem is foglalkoztam vele, mert eleve a spam folderben landolt. Nem is kattintottam ra, igy nem is tudom hova visz/vitt/vinne a link benne. De akinek megvan meg a level, az igazan reportolhatna a sendgirdhez, mert nem kene ilyennek erkeznie szerintem.
- A hozzászóláshoz be kell jelentkezni
A SZÉP kártyád se tőlük van? Én mindig elfelejtem, hogy OTP ügyfél vagyok, mert alapvetően nem náluk bankolok, csak az Erstének nincs SZÉP kártya megoldása.
- A hozzászóláshoz be kell jelentkezni
Nincs szep kartyam, semmi kapcsolatom nincs a KH-val.
- A hozzászóláshoz be kell jelentkezni
Írásodból az sejlik ki, szerinted valós a levél. Nekem ezek a sorok miatt inkább kamunak tűnik. A tipikus adathalász levelek írnak ilyen badarságot:
Fontos tudnivalók:
• Az ellenőrzés elmulasztása esetén fiókját ideiglenesen felfüggesztjük
• A folyamat biztonságos és néhány percet vesz igénybe
• Kérjük, 48 órán belül végezze el az ellenőrzést
- A hozzászóláshoz be kell jelentkezni
Jaja, tipikus scammer siettetős levél. Sose keresett még a bankom 25 év alatt 1x sem semmiért ami az én érdekemet szolgálta volna, csak ha ők akartak átbaszni valami frenetikusan "jó" ajánlattal (nem, nem nekem lett volna jó, hanem csak nekik).
- A hozzászóláshoz be kell jelentkezni
Admin panel:
https://clinicafatima.com/eon/panel/settings.php
Ha csak fizetni akarsz:
https://clinicafatima.com/eon/
Ez is sendgrid ;)
Tegnap repoltoltam a website ownernek ma is ott figyel , akkor minek
- A hozzászóláshoz be kell jelentkezni
A SpamAssassinnak van külön szűrője arra, ha a from és a Return-Path eltér.
score HEADER_FROM_DIFFERENT_DOMAINS 4.0
Ez a sendgrid és társaira jó, de sajnos nem tökéletes
Return-Path: <SRS0=d1cc=53=em7877.tm.openai.com=bounces+20216706-yyy-xxx=bpcontentoptimizer.com@bpcontentoptimizer.com>
From: noreply@tm.openai.com
Megkapta a 4 bünti pontot, meg összeszedett még pár apróságot és már is spamben landolt a jelszó resetes levél.
Mi lenne az elegánsabb megoldás?
A sendgridet egyébként fixen spambe dobom ezzel:
header SUSPICIOUS_DOMAINS X-Envelope-From =~ /@(sendgrid\.net|xyz\.com)/i
describe SUSPICIOUS_DOMAINS Gyanus domainrol erkezett level (X-Envelope-From)
score SUSPICIOUS_DOMAINS 10.0
- A hozzászóláshoz be kell jelentkezni
Hát a cégek egyre kevésbé akarnak levélküldő infrát fenntartani, pont emiatt válik problémássá, ha a sendgrid, mailchimp és társait spambe teszed. Mármint, privát levelezésnél mindegy, mert a sajátoddal vered a csalánt, én melóhelyen nem merném csak a sendgrid miatt leminősíteni.
- A hozzászóláshoz be kell jelentkezni
pedig nem olyan bonyolult sendgridben sem ugyanolyan business domaint beállítani a from addressnek és a return-pathnak. máris egyezni fog
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni