Ömlik a spam bounce

Web, mail, IRC, IM, hálózatok

Sziasztok!

Valaki elkezdett az én e-mail címemmel spam-et küldeni. Bár be van állítva az SPF (méghozzá nem soft failes), és DKIM is van, ennek ellenére mégis valaki az én címemet használja spammelésre. Folyamatosan kapom az "Undelivered Mail Returned to Sender" leveleket azoktól a címzettektől, akiknek megszűnt a fiókja vagy betelt a postaládája stb.

Elég nagy gyökér lehet ez a spammer hogy SPF + DKIM-mel védett feladóval próbál meg küldeni. El sem tudom képzelni hogy ez neki miért jó, de mégis ezt teszi. (Ha csak az nem hogy velem kitoljon.)

Ez ellen hogy lehet védekezni?

  • 2065 megtekintés

( sj | 2018. 08. 25., szo – 13:04 )

Elég nagy gyökér lehet ez a spammer hogy SPF + DKIM-mel védett feladóval próbál meg küldeni.

hadd tegyem neked kontextusba a dolgot. Sem az spf, sem a dkim nem a spammeles ellen lett kitalalva. Hanem a domain hamisitas ellen. Tehat te beallitod a dkim-hez tartozo txt rekordot a domainedben, ill. alairsz minden kimeno levelet. Eddig fasza.

Namost idealis esetben a fogado fel latja, hogy neked van dkim beallitasod, ala is van irva a leveled, nosza ellenorzi azt a dns rekordban levo publikus kulcsod alapjan, az eredmeny zold, gyorsan tovabbitja is a leveled. Ha meg spammer sanyi kuld levelet, nyilvan nem tudja alairni, igy az eredmeny piros, es a fogado fel eldobja a nyilvanvaloan hamisitott levelet.

Csakhogy ez nem egy idealis vilag. Eloszor is az mx szerverek 98+%-a szarik ra, hogy te hasznalsz vagy dkim-et, a maradek <2%-nal meg a default(?) soft fail vagja agyon az egeszet.

De a te problemad nem spammer sanyi (akit amugy sem tudsz megallitani, hogy a te domained spoof-olja), hanem azok a futyi fogado mail szerverek, amelyek atveszik a nyilvanvaloan hamisitott spamet, majd utana radobbennek, hogy de hat ez spam, es az atvetel utan bounce-olnak (na ezert jarna a lapattal agyonveres), es te ezt kapod meg.

A megoldas elsosorban nem a te kezedben van, hanem azon balfaszok kezeben, akik nem smtp idoben nezik meg, hogy letezik-e a cimzett / betelt-e a kvota / whatever. Viszont mivel neked faj a dolog, ezert neked kell tenni ellene valamit.

Egy hirtelen otlet lehetne az "Undelivered Mail Returned to Sender" levelek eldobalasa az mx-eden, de igy a 'legitim' bounce-ok is aldozatul esnenek.

Egy masik otlet, hogy az smtp relay szervered tegyen minden kimeno levelbe egy spec. header-t, pl. 'x-dont-spoof-me: a greenSite international zrt egy kocsog spammer'. Aztan ha az mx-eden bounce levelet latsz, amiben nincs benne az x-dont-spoof-me: a greenSite international zrt egy kocsog spammer fejlec, akkor azt a levelet nem te kuldted, azaz eldobhato. (Note: vannak olyan elbaszott appliance-ok / mikroszoft(?) szarok, amelyek nem teszik bele a teljes fejlecet a bounce-ba. Mondtam mar, hogy ez nem egy idealis vilag?)

Harmadik otlet: mivel ezek a bounce levelek spam-ek (bar azt nem mondtad, hogy csak a fejlec jon vissza neked vagy a teljes level), fogd meg ezeket egy spamszurovel...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Szia! Tisztában vagyok azzal, hogyan működik az SPF és a DKIM. Azt is tudom, hogy a fogadó mail szerverek vannak rosszul konfigurálva, mert el sem kellene fogadniuk a bejövőt az SFP fail miatt (ami az én esetemben hard fail).

Nem azért írtam hogy gyökér mert hogy pont engem nézett ki, hanem mert spammer létére lehetne annyi esze, hogy nem olyan feladó címet választ ami SPF hard fail-os. Mivel így nem csak velem tol ki hanem saját magával is.

Én is úgy látom hogy a megoldás nem az én kezemben van, és mivel nem jöttem rá hogyan védekezzek ellene, ezért kérdeztem meg itt a fórumon. Hátha valaki már találkozott ilyennel. Ez az X-DONT-SPOOF-ME tényleg jó megoldás lehet legalább a beérkező bounce-ok felére megfogná. Spam szűrővel megfogni elég nehéz lesz, ezek normális mailer daemon levelek, a feladó és a címzett IP címe is változik, meg az üzenet tartalma is változik. A visszajövő e-mailek egy részében benne van az üzenet törzse, de nem mindegyikben. (Ez is attól függ, hogy a visszapattintó mail szerver hogyan lett (félre) konfigurálva.) Ami fixnek tűnik benne az az én e-mail címem, de az alapján nem jó ötlet spam-nek minősíteni. :-)

a fogadó mail szerverek vannak rosszul konfigurálva, mert el sem kellene fogadniuk a bejövőt az SFP fail miatt (ami az én esetemben hard fail).

pusztan ettol meg nincsenek rosszul konfiguralva: nincs olyan rfc, whatever, ami eloirna, hogy spf ellenorzest kell vegezni a fogado oldalon.

mert spammer létére lehetne annyi esze, hogy nem olyan feladó címet választ ami SPF hard fail-os. Mivel így nem csak velem tol ki hanem saját magával is.

ha nem csak azt tudod, hogy mukodik az spf, hanem azt is, hogy az mx-ek >98%-a nem vegez ilyen ellenorzest, akkor a spammer egyaltalan nem tolt ki onmagaval. Csak veled...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol


a fogadó mail szerverek vannak rosszul konfigurálva, mert el sem kellene fogadniuk a bejövőt az SFP fail miatt (ami az én esetemben hard fail). pusztan ettol meg nincsenek rosszul konfiguralva: nincs olyan rfc, whatever, ami eloirna, hogy spf ellenorzest kell vegezni a fogado oldalon.

Igen, végülis az sincs előírva hogy használjunk spam szűrőt meg content filtert, szóval ha így nézem akkor igazad van.


mert spammer létére lehetne annyi esze, hogy nem olyan feladó címet választ ami SPF hard fail-os. Mivel így nem csak velem tol ki hanem saját magával is. ha nem csak azt tudod, hogy mukodik az spf, hanem azt is, hogy az mx-ek >98%-a nem vegez ilyen ellenorzest, akkor a spammer egyaltalan nem tolt ki onmagaval. Csak veled...

Ez a szám egyébként honnan van?

Igen, végülis az sincs előírva hogy használjunk spam szűrőt meg content filtert, szóval ha így nézem akkor igazad van.

valoban nincs eloirva, de rosszul nezed: az spf egy megoldas a From: cim hamisitasanak detektalasara, tehat szigoruan veve nem is a spamek ellen ved. Arrol nem is beszelve, hogy lehetnek vele problemak, ld. http://david.woodhou.se/why-not-spf.html

Btw. csak mellekes adalek: erdekes modon pont a spammerek volt azok, akik korrekt spf rekordokat allitottak be a kuldo domainjeik szamara, abban bizva, hogy a spam score-t csokkenti a valid spf beallitas...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

( h3m | 2018. 08. 27., h – 15:42 )

Azt lehet tudni hogyan és honnan mennek a spam-ek?
(Azaz kizárható, hogy a te ügyfeleid, vagy szervereid küldik?)

--
Professional IT Services - Informatikai tanácsadás és outsourcing
www.professional-it-services.hu