DKIM kulccsal rendelkező, random feladó / domaintől érkező spammer blokkolása Postfixben

 ( gedg87 | 2019. január 27., vasárnap - 14:26 )

Sziasztok!

Körülbelül 2-3 napja az egyik felhasználó napi szinten kap 20-25 "spam" hírlevél jellegű levelet, amely levélnek minden esetben más a feladója, illetve a feladó szerver domain neve.

A domain minden esetben .icu végződésű, a feladó pedig úgy tűnik mintha valós ember lenne, pl.: Kovács Péter, vagy Nagy Áron, stb...

A küldő szerver ip címe minden esetben ugyanaz, viszont rendelkezik DKIM kulccsal, így a spam szűrőn átmegy a levél.
Postfixben betettem a sender_checks fileba a küldő szerver ip címét, a /etc/postfix/main.cf-ben, pedig a smtpd_recipient_restrictions = check_sender_access cidr:/etc/postfix/sender_checks , első helyen áll, ami google találatok szerint lehetővé teszi, hogy a levelet feladó esetében , a fileban definiált ip címek tiltva legyenek.

A postmap /etc/postfix/sender_checks , illetve a /etc/init.d/postfix reload megvolt , de így is beengedi a "legálisnak" tűnő hírleveleket.
Ha a leiratkozásra klikkel a felhasználó, akkor kidobja a rendszer, hogy sikeres leiratkozás, de másnap dupla annyi levelet kap.
Írni nem tudunk kinek, mivel mindig más domainre mutat egy adott levélben taláható hivatkozás.

A levél fejlécében az alábbi adatok találhatóak:

https://pastebin.com/gHNtCZS2

A levélben ugyan semmilyen csatolmány nincs, de idegesítő, hogy napi 20-25 ilyen levelet küldenek.

Lehet, hogy rosszul próbálom a tiltást / szűrést eszközölni, de google találatok is a fent felvázolt megoldásra hivatkoznak.

Regex alkalmazásával próbáltam blokkolni a .icu domainről érkező leveleket, de nem tudja kezelni , mert invalid sytanx-ra hivatkozva mellőzi azt a sort a fileban, ahol a
regex szerepel.

Kliensen lefuttattam malware / spyware / antivírus szoftvert, egyik sem talált semmit, fake beépülők / bővitmények nincsenek, keresőmotor sincs átállítva, semmilyen toolbar nincs telepítve, így nagy eséllyel valamilyen weboldalon futott bele egy kamu linkbe, ahol bekerült egy spam adatbázisba.

Milyen módszerrel lehetne ezt a "legálisnak" tűnő hírlevélküldőt blokkolni?

A válaszokat és a segítségeteket előre is köszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szia!

Neked check_client_access kell. A check_sender_access a MAIL FROM szakaszban megadottakat vizsgálja, ott nem valószínű, hogy IP cím van.

Azt is próbáltam már, de több fórumon írták, hogy ott azt az ip címet vizsgálja a postfix, hogy milyen ip címről csatlakozhatnak a szerverre, ezért módosítottam check_sender_access-re.

fogd meg HELOnal....

en ket helyen titom. egyik:
$ cat rejected_domains
/\.icu$/ REJECT Sorry

es main.cfban: smtpd_sender_restrictions = reject_unknown_sender_domain, pcre:/etc/postfix/data/rejected_domains
masik:
$ cat header_checks
/^List-Unsubscribe:.*icu/ REJECT Message rejected
/^List-Unsubscribe:.*ub.php/ REJECT Message rejected

es a main.cfben:
header_checks = regexp:/etc/postfix/data/header_checks

mivel icu domain vegzodes (ha jol kerestem ) akkor nem letezo, igy ez csak spam lehet, valid cim nem.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Köszönöm, ez kiválóan működik! :)

"mivel icu domain vegzodes (ha jol kerestem ) akkor nem letezo"

ez nem igaz, különben a DKIM se lenne sikeres (ami meg tudtommal DNS-re épül)

Amúgy pedig ott van az:

https://en.m.wikipedia.org/wiki/List_of_Internet_top-level_domains

ICANN-era generic top-level domains -> i betű

.icu - entrepreneurs and business owners - ShortDot SA

Míg ezt nem olvastam meg se néztem, hogy azok a spamek amiket kapok mostanság milyen tld-vel jönnek. Olyan sok nem jött hogy zavarjon, de így tiltottam.

Én ezt a spamet egy milterrel szűröm. Ez a spammer százával jegyzi be a domain neveket de jellemzően mindegyik névnek ugyanaz a névszervere. pl. nooracompany.icu SOA -> ns1.reg.ru. Ezek alapján minden "ns1.reg.ru", "ns2.reg.ru", "dns1.registrar-servers.com", "dns2.registrar-servers.com", stb-nél hostolt FROM domain az helyből reject.

Azon a weboldalon durva szöveg van azért :D

Erre a kamudumára gondolsz?:

We send permission-based emails. You have received this email because one of our clients has identified your email address as having "opt-in" status (i.e. the holder of your email address has voluntarily shared their address for the purpose of receiving offers and information. If you wish to no longer receive emails from this subscriber please reference the "unsubscribe" information at the bottom of the email you have received and you will be removed from their mailing list within 24 hours. The sending of unsolicited commercial email is not permitted using this system.

Szia!

Ez melyik milter, vagy Te írtad?

Nem postfixet használok (még). Postfixhez lentebb a megoldás.

Ebben az esetben a saját privát levelezésemről van szó. Egyébként január közepéig ez a spam a namecheap (registrar-servers.com) nevekről jött. Én ebbe a milterbe nyúltam bele, de ha kliensen szűrsz header alapján akkor nagyon piszkálni sem kell, legfeljebb annyit hogy akkor is írjon valamit a headerbe ha nem létezik a név (pl. NXDOMAIN) hogy lehessen kliensen szűrni. http://www.snertsoft.com/doc/milter-ns/ de a lent említett rspamd is tetszik így első ránézésre, vagy megnézem azt közelebbről vagy postfixre váltok. valamikor.

Ha jól értettem a doksit, akkor a check_sender_ns_access szűrés pont ezt csinálja, és úgy látom hogy működik is.

smtpd_sender_restrictions = warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, check_sender_ns_access hash:/etc/postfix/sender_ns_access

A sender_ns_access-be ezt írtam:

reg.ru REJECT

a registrar-servers.com ns a namecheap.com-nak a dns nevei. eleg sokan regelnek ott mert olcso. persze ha csak .hu domainnel levelezel akkor tuti nem dobsz ki senkit

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

úgy érted, hogy jó ötlet arra is szűrni, vagy inkább nem?

zen.spamhaus.org már blokkolja...állíts be RBL checket...

Én is megszívtam ezzel...a hétvégén...de ma már szépen pattannak a levesbe..

postfix main.cfbe ezt told be....

smtpd_recipient_restrictions =
......
reject_rbl_client zen.spamhaus.org

De ha valaki tud jobbat, akkor én is alkalmaznám..

Jó egy hete az összes .icu domain megy a levesbe.
Lekopogom, de azóta a napi 80-150 spam áradat elmaradt.
(Tudom, hogy ez atombomba és nem a szép megoldás)

Nálam is feketelistán vannak mióta megnéztem, hogy egyetlen nem spam email nem jött tőlük viszont a spam több mint 20%-át ők küldik.

Főleg úgy nem szép megoldás, hogy legalább 2 megoldást is leírtak itt a hupon is a szűrésre.

Még nem láttam nem spam e-mailt a .icu domainről (a spamassasin más kritériumok alapján igen helyesen spamnek látta az összeset). A reg.ru nameszerverről viszont nem tudunk semmit. A neve eléggé rövid és kézenfekvő - valószínű valami nagyobb, de olcsó regisztrátoré lehet Oroszországban. Könnyen elképzelhető, hogy valamilyen orosz ügyfél domainje is ott van regisztrálva. Hasonló lehet a helyzet, mint a namecheap esetén.
Kisebbnek látom a falspozitív valószínűségét a .icu kidobásával.

Egy héttel azelőtt már beállítottam, minthogy itt az ötletek megjelentek. :)
Egyelőre nem látom okát, hogy szofisztikáltabb legyek.

ha spamassassint hasznalsz, akkor neked ez kell.

https://hup.hu/node/154794#comment-2129500

--
HUP te Zsiga !

Szia!

Köszi az ajánlást! :) Átköltöztettem a kódot egy publikus repóba, itt érhető el: https://github.com/szenti/spamassassin-from-domain-check/

Jöhetnek az issue-k és a pull requestek.

A megoldásom egy szimpla blacklist megvalósítás, SpamAssassin plugin formájában. A From: headerben található domain reverse DNS-ét IP címekre feloldva megvizsgálja, hogy benne van-e a szkriptben található blacklistben (a fenti spammer által küldött spamek 100%-a ellen jó, mert a reverse DNS-t ritkán frissíti a jómadár).

Ma kicsit refaktoroltam a kódot, és kapott egy új funkciót is: képes több feloldott IP cím vizsgálására is.

Üdv,
Szenti

köszönet a plugin-ért, hónapok óta használom. Az új verzió azonban nálam (Debian Stretch) nem működött, küldtem be egy issue-t javítási javaslattal.

Köszönöm, hogy jeleztél, már javítottam is.

Új ip: 178.128.76.93
De most valami trükközés lehet a névfeloldással, mert nem minden domain esetén kapok választ az NS-től.

Spamassassint használok, így: https://github.com/szepeviktor/debian-server-tools/tree/master/mail/spam

az aktuális IP csak egy RBL-en van fent: https://bgp.he.net/ip/104.248.39.95#_rbl

az élő RBL-em a spammer-ekről: https://github.com/szepeviktor/debian-server-tools/blob/master/mail/spammer.dnsbl/spammer.dnsbl.zone

ismert csak-támadó hálózatok élő listája: https://github.com/szepeviktor/debian-server-tools/tree/master/security/myattackers-ipsets

+1 sok spammer-nek a HELO string-hez tartozó SPF rekordja hibás

"Content Delivery Network, Boundary line team"

Ó! Hát őket úgy Hívják, hogy NOVUM IMPORT

katt https://github.com/szepeviktor/debian-server-tools/blob/master/mail/spammer.dnsbl/spammer.dnsbl.zone

és katt https://github.com/szepeviktor/debian-server-tools/blob/master/security/myattackers-ipsets/ipset/krek.ipset
itt van több módszer (shell parancsok formájában) egy-egy IP tartományból kihámozni őket

az SMTP HELO SPF hibája alapján is meg lehet ismerni őket

nekem úgy tűnik, mintha nem is lenne rendes DomainKey a feladónál, csak az üzenetet írja alá valami kamu kulccsal, de a DNS-be nincs beállítva a publikus párja (azt hiszem a t=y az a teszt mód flag, de v= rész nélkül nem is szabványos szerintem...)

_domainkey.nooracompany.icu. 86400 IN TXT "t=y; o=~;"
nooracompany.icu. 86400 IN TXT "v=spf1 a mx ip4:104.248.39.95 ~all"

Szóval, ha már a levél alá van írva domainkey -el lehet érdemes forcolni a visszaellenőrzését is.... gyanús hogy a spammer valami bugra hajaz....

Nekem egyetlen gépre 103677 db spam érkezett icus domainről 7 nap alatt.
Bele-belenézve mind digitaloceanos IP-ről. DO-nál ezt nem tudnák megfékezni valahogy?

Nekem dec 14 óta majd 10000db, exim kapott új reject filtert, majd ez is elmúlik egyszer csak,

/OFF

piroskagyulatréningel mi lehet? :D

/ON

Kb. egy éve keresett meg, hogy kéne neki VPS.
Nem kapott :D

Nálam is jelentkezett a probléma. Én úgy oldottam meg, hogy az egy ideje már halogatott dspam szűrő bevezetését megtettem. Be is tanítottam a napokban fogott icu és info végű levelekkel. Azóta jónak tűnik.

Mondjuk érdemes szemezni az itt feldobott ötletek között, mert akkor át se kell vennem a levelet.

Zavard össze a világot: mosolyogj hétfőn.

Nem mai gyerek ez a DSPAM. 2012 áprilisa óta sok idő eltelt. :)
Csak kérdezem, hogy az ASSP-t nézted esetleg?

Nem, mert nem is ismertem. Úgy hogy köszi a tippet, megnézem valamikor.
Egyébként a dspam és a bogofilter volt versenyben (mivel sa-t kifejezetten nem akartam). A dspam (noha jóval öregebb és kevésbé karban tartott) a normális démonizált működése miatt nyert.

Zavard össze a világot: mosolyogj hétfőn.

Rspamd-n kergesd at milterrel, problema megoldva.

+1 szinte mindent megfog !!!

--
Debian Linux rulez... :D
RIP Ian Murdock

viszont rendelkezik DKIM kulccsal, így a spam szűrőn átmegy a levél.

ke? Es ezt igy hogy? Mi koze egy valid dkim alairasnak ahhoz, hogy a level ham vagy spam? Semmi. Ezeket a technikakat legeloszor pont a spammerek kezdtek hasznalni, de meglep 10+ ev utan is sikert aratnak. Mar ahol persze...

--
O1G = orbanegygeci

A domain minden esetben .icu végződésű
Fel kell irni a *.club, *.download, *.website, *.party es kis baratkai utan a listara - nincs tobb problema :)

Azért elég érdekes helyen vannak tárolva e-mail címek: view-source:http://nooracompany.icu/

most, hogy a .icu -t mindenki blokkolja, lehet boviteni a listat :
.space
.fun
.host

--
HUP te Zsiga !

A .site is blokkolva, 24 óra alatt 1844 jött innen.

A reverse DNS ugyanaz, mint a .icu esetén. Mi észre se vettük.

már .com-ról küldi (reachtelugu.com), NS alla.ns.cloudflare.com; max.ns.cloudflare.com. :)

Kik nem szűrik ki ezeket a spameket 100%-ban, hogy még mindig megéri küldeni?

Ezt kérdezem én is!
És hogy lehet az, hogy más és más Digitaloceanos gépről jön? Nem tiltják ki az usert?? Vagy van 97 féle identitása?
Érthetetlen.

Egy ideje most cloudflaren hostolt .icu domainekről jön. pl. walsongroup.icu; NS 21533 bayan.ns.cloudflare.com.; NS 21533 gwen.ns.cloudflare.com. vajon miért nem jelentette fel őket még senki? vagy ez már megtörtént de nem találnak fogást rajtuk?

Egy csomó helyen nincs 100%-os, de ha csak 98-99%-os van, a simán megéri nekik... Ugye ha 2000 emailt elküldenek per nap, akkor is 20-40 átjut.

mondjuk azt en se ertettem miert kuldenek ugyanarra a fiokra napi 20-50 levelet...

most megneztem kivancsisagbol, nalunk mi fogja meg oket, mert en nem varazsolok ilyen dns lookup ip listakkal, es megse jut at egy se:

ez 29 pontot kapott, ez a legkevesebb:

X-Spam-Report:
* 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
* [159.203.80.244 listed in zen.spamhaus.org]
* 6.1 BAYES_99 BODY: Bayes spam probability is 99 to 100%
* [score: 1.0000]
* 1.5 BAYES_999 BODY: Bayes spam probability is 99.9 to 100%
* [score: 1.0000]
* 2.0 DEEPSPAM_SPAM DeepSpam probability>98%
* 1.0 DEEPSPAM_MSPAM DeepSpam probability>90%
* 2.5 URIBL_DBL_SPAM Contains a spam URL listed in the Spamhaus DBL
* blocklist
* [URIs: mysorefarmhouse.icu]
* 1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
* https://senderscore.org/blacklistlookup/
* [159.203.80.244 listed in bl.score.senderscore.com]
* 0.1 URIBL_SBL_A Contains URL's A record listed in the Spamhaus SBL
* blocklist
* [URIs: mysorefarmhouse.icu]
* 1.6 URIBL_SBL Contains an URL's NS IP listed in the Spamhaus SBL
* blocklist
* [URIs: mysorefarmhouse.icu]
* 5.0 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL
* blocklist
* [URIs: mysorefarmhouse.icu]
* 5.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
* [URIs: mysorefarmhouse.icu]
* 0.0 HTML_IMAGE_ONLY_32 BODY: HTML: images with 2800-3200 bytes of words
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.2 SARE_SUB_ENC_UTF8 Message uses character set often used in spam
X-Grey-ng: delayed 1023 seconds (suspect=4, ip=159.203.80.244) reason: truncate.gbudb.net,zen.spamhaus.org,BLACKLIST(2)

ez a 36 pontos:
X-Spam-Report:
* 5.0 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL
* blocklist
* [URIs: primesacademy.icu]
* 5.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
* [URIs: primesacademy.icu]
* 2.5 URIBL_DBL_SPAM Contains a spam URL listed in the Spamhaus DBL
* blocklist
* [URIs: primesacademy.icu]
* 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
* [134.209.120.63 listed in zen.spamhaus.org]
* 0.1 URIBL_SBL_A Contains URL's A record listed in the Spamhaus SBL
* blocklist
* [URIs: q.primesacademy.icu]
* 1.6 URIBL_SBL Contains an URL's NS IP listed in the Spamhaus SBL
* blocklist
* [URIs: q.primesacademy.icu]
* 6.1 BAYES_99 BODY: Bayes spam probability is 99 to 100%
* [score: 1.0000]
* 1.5 BAYES_999 BODY: Bayes spam probability is 99.9 to 100%
* [score: 1.0000]
* 1.0 DCC_SPAM_FUZ2 DCC check fuz2 many
* 2.0 DEEPSPAM_SPAM DeepSpam probability>98%
* 1.0 DEEPSPAM_MSPAM DeepSpam probability>90%
* 0.5 FROM_LOCAL_NOVOWEL From: localpart has series of non-vowel letters
* 1.6 DATE_IN_PAST_03_06 Date: is 3 to 6 hours before Received: date
* 2.1 HTML_IMAGE_ONLY_12 BODY: HTML: images with 800-1200 bytes of words
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.0 HTML_SHORT_LINK_IMG_2 HTML is very short with a linked image
* 0.2 SARE_SUB_ENC_UTF8 Message uses character set often used in spam
* 3.3 MIXED_ES Too many es are not es

Mostmár, de ha az IP nincs listán (akár többön), akkor könnyen átjut 1-1 belőlük. Akkora mennyiségben jön, hogy azaz 1-1 is elég sok.

A MIXED_ES-re azt vettük észre, hogy egy csomó normál email is matchel, tehát az a 3.3 pont ott kérdőjeles.

tartalom alapjan a bayes es a deepspam is jeloli mindet, az is eleg hogy megfogja. az elso par db utan a dcc is jelez ra.

Több gépen is rezetelnem kellett a bayes db-t a sok fals pozitiv miatt a napokban, szóval arra önmagában nem támaszkodnék.

en is most reseteltem (kb fel evente kell), de van eleg szep gyujtemenyem spammekbol (es ellenorzott ham-ekbol es fp-kbol) amivel rogton fel is tanitom, hogy ne 0-rol induljon.