Túl sok(?) spam hirtelen

Web, mail, IRC, IM, hálózatok

Reggel óta kb. 8000 spamot dobáltam el, szemben az amúgy szokásos mondjuk napi 1-2 ezerrel. Igaz ezek kb. 200 hostról jöttek, szóval nem biztos, hogy bármi szokatlan van mögötte, csak feltűnt kicsit.

Más is tapasztalt ilyet?

  • 8482 megtekintés

( freeoli v | 2012. 12. 20., cs – 13:40 )

Igen, kb duplázódott az elmúlt 3 hónapban, de elfér mind a /dev/null -ban :D

( FBK | 2012. 12. 20., cs – 13:41 )

ugylaccik beindult a gonoszoknal a karacsonyi szezon, ugyanezt tapasztalom...

--
FBK

( Elbandi v | 2012. 12. 20., cs – 13:46 )

nalam mostanaban valami allashirdetes spam jelent meg...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Így van, nekem a saját Freemailes címemet bombázzák ezzel, ma pl. erre az egy címre 18 spam landolt a spam könyvtárban.

Bár ma már leginkább nem ezek jöttek (amúgy a "link kódja" mindig más), hanem szövegszerkesztő beosztásra toboroznak embert úgy, hogy akár n+1 Freemailes címet is csapnak a To mezőbe. Ja és ezek még freemail.c3.hu-ra jönnek.

(Amúgy sokadlagos e-mail címem, történeti okból hagytam meg. :)

Gmailre alig jön, pedig a saját spam-szűrőjüket is kikapcsoltam.

Valószínűleg ők is használnak (sőt, az se kizárt hogy saját) rbl listát, listákat, amik alapján azonnal lelökik az adott IP-t. A tartalom alapú szűrés csak ez után jön. Illetve én úgy csinálni, hogy ami ordítóan spam (talán 8-10 felett, nem rémlik pontosan), az el se jut az userekhez, csak az, ami különösen szerencsétlen esetben akár spamnak is tűnhet, ám mégse az.

Persze, ez jogos... itt azokat a leveleket küldöm inbox-ba, amik amúgy a spam-könyvtárban landolnának, mert azért ezek között is van néhány levél, ami fontos lehet. A webes felületre pedig utálok belépni.

Olyannyira, hogy most tűnt fel, a "circles" rész alatt látom az adott felhasználótól érkező leveleket...
...no, ez mondjuk nem tetszik.
Normál esetben az inboxom is üres, a törölt levelek pedig elvileg 90 (?) nap után törlődnek onnan (...vagy mi lesz velük, ugye...).

( arpi_esp v | 2012. 12. 20., cs – 16:57 )

karacsony (ill mas nemzetkozi unnepek) elott mindig megszaporodnak, akar 10x-esere no a napi mennyiseg, de ez nem uj dolog

A'rpi

( hokuszpk | 2012. 12. 20., cs – 18:08 )

jaja, jon az allashirdetes ezerrel, de a harmadik utan dobaltam parat az assp errors/spam mappajaba, azota nyugi van.

( vl v | 2012. 12. 20., cs – 23:56 )

Nekem az tűnt fel, hogy a legtöbb ilyen levél 4.69-es Eximekből jön. Gondolom lehetett valami luk bennük, és valami féreg szépen végigfertőzte őket...

Hmm, érdekes. Megnéztem a mai termést, eddig 6 darab.
Itt pl. The Bat! (v3.71.04) Home levelezőt ír. Az átvevő szerver valóban Exim 4.69, de ő csak második a láncban.

Másik levélnél The Bat! (v3.80.03) Professional és CommuniGate Pro SMTP 5.2.3 a második a láncban.

Harmadiknál X-Mailer: oviicdfbmq (ez jó...) ...és Received: from 127.0.0.1 (HELO fmx10.freemail.hu) (177.180.76.151) by localhost with SMTP; 21 Dec 2012 02:45:09 +0100 - ez a második a láncban. Hmm.

Negyedik kb. az előzőre hajaz.

Ötödik The Bat! (v3.5.30) Home és CommuniGate Pro SMTP 5.2.3 a második gép.

Hatodik The Bat! (v2.10.03) Business és Exim 4.69 a második gép.

A többi SPAM-nél kb. hasonló a helyzet.

Persze be lehet hazudni X-Mailernek mást is, mégis gyanúsan a The Bat! levelező egy-egy régi verziója áll ott, az Eximet nem látom ebben bűnösnek.
A The Bat! jelenlegi verziója egyébként v5.3.4, szerintem ez inkább az emberek hanyagságára vezethető vissza (minek frissíteni, ha működik)...

Mondjuk azt, hogy a Freemail vajon mit csinál... azt nem kommentálnám.

Igen, ezt jeleztem fent is.

Melyik legfelső sorra gondolsz?
Elvileg a levél fejléce alulról felfelé bővül a kézbesítés során, tehát elméletben a legalsó Received sor lesz az, ami érdekes.
Ott időnként Exim van, máskor pedig nem - de az is látszik, hogy ez már egy másik IP-től vette át, elvileg az lesz a küldő gépe.

Persze ha magát a szervert variálták meg (pl. Exim), akkor azt ír a levélbe, amit nem szégyell... de mivel nem csak Exim vett át ilyen leveleket, azért nem biztos, hogy arra gyanakodnék... bár az is igaz, akkor már Exim helyett is írhat éppen mást.

Ha viszont valóban egy levelező program sebezhetőségét használják ki, a saját X-Mailer sora bent maradhat.
Persze, nem arra kell adni, ez ok... de attól még mindig második gép lesz az Exim vagy akár a CommuniGate Pro SMTP...

Elvileg a levél fejléce alulról felfelé bővül a kézbesítés során, tehát elméletben a legalsó Received sor lesz az, ami érdekes.

Hát nem. Fentről lefelé csökken a Received sorok megbízhatósága. A tetején olyan szerverek vannak, akiket te irányítasz - naná, hogy bennük megbízhatsz. Aztán jön az első olyan szerver, akinek te már csak az ip címében lehetsz biztos (hiszen ezt még a te szervered loggolta). Ez az a szerver, akinek az üzenete még talán megbízható - akkor, ha az egy open-relay szerver volt. Ami ezen túl van, az már tuti nem megbízható. Szóval a legalsó olyan sor, ami a te szervered által lett oda biggyesztve, meg az eggyel alatta levő, csak ezt a kettőt érdemes nézni.

Azt a sorok tartalma alapján általában ki lehet találni, hogy a te szervered alatti első sor tartalmában mennyire lehet megbízni (azaz aki hozzád beküldte a levelet, az még egy valódi szerver volt, akin átpaszírozták a küldeményt, vagy a spammer kódja futott ott, és mindenféle hülyeséget hazudozott magáról).

Persze, de a legfelső sor mindig az én szerverem. :)

Való igaz, hogy a megbízhatóság csökken, ahhoz egy gép is elég a folyamatban, ha valamit át akar írni.

A fenti levelek jó része így megy:
- Beérkezett az én gépemre, freemailtől.
- Freemailnél 127.0.0.1 (HELO fmx01.freemail.hu) /Más esetben is ez látszik./
- Kérdéses gép

Alapvetően azt feltételezem, hogy a szolgáltató által használt szerverben - elméletileg - meg lehet bízni.

Az már érdekesebb, amikor látszólag közvetlenül a Freemailtől kapom a SPAM-et, mintha legalábbis a webes felületén küldték volna.

( quash | 2012. 12. 21., p – 11:24 )

Próbálkozzatok ezzel:

body NAGYONSPAM /\@1hungary-job.com/i
score NAGYONSPAM 10.0

A most futó szar 90%-ban benne van fenti email cím (levéltörzsben)