Spammer?

[quote:2cd48d2cb6="Darkfish"]Valaki néhány napja 10 másodpercenként folyamatosan kamu cimzettekkel bombázza a szerverem. Az IP címe 3-4 óránként változik, de mind t-online-os. Mi a túrót lehet vele csinálni?

Írni az abuse@t-online.hu címre. Ha nem reagálnak, akkor beállítani, hogy az összes ilyen levél elmenjen erre a címre, hozzáfűzve, hogy "Sajnos megint kaptam egy ilyen levelet".
Kisebb szolgáltatók készséggel szoktak ilyen esetben segíteni, a t-online nem igazán segítőkész.

Mi a túrót lehet vele csinálni?

Ellenőrizni a mail szervered beállításait, hogy nem vagy-e véletlenül "open relay".

Sajnos nem köztudomású, de pl. minden alapértelmezett sendmail telepítés "open relay" abból a szempontból, hogy alapból visszaküldi a kamu címzettnek küldött TELJES levelet a kamu feladónak. (Az a gyanúm, hogy a helyzet más mta-kal hasonló lehet.).

Gondoskodj arról, hogy a mail szervered max. a fejlécet küldje vissza, különben éppen ezzel a trükkel vírusok, vagy spam terjesztésére fogják felhasználni.

Bulis: a tényleges feladó ilyenkor a háttérben marad; a teljes levelet közvetlenül a te mail szervered küldi a kamu feladónak (aki tulajdonképpen a tényleges címzett).
A te mail szervered látszólag nem tesz mást, minthogy a nem létező címzettnek érkező levelet visszaküldi a feladónak, de ezzel egyúttal tökéletes "open relay"-ként viselkedik a spam-ekre ill. vírusos levelekre. Egy ilyen rosszul beállított mail szerver könnyen feketelistán találhatja magát.

Sajnos gyakori az ilyen rosszul beállított mail szerver; de igazán azoktól kapok hülyét, akik nem csak hogy nem értenek a mail szerverükhöz, de még arrogánsak is: pl. kapod a levelet tőlük, gondosan hozzáfűzve a "küldöm vissza neked a tőled kapott vírusos levelet" szöveg - és valóban: a vírus is (ess hasra tőle; a fickó mail szervere olyan sirály, hogy megtalálta) - de az ilyen idiótának arról persze fogalma sincs, hogy a szóbanforgó levelet a vírussal éppenséggel nem annak küldi akitől kapta, hanem egy kamu feladónak, vagyis ártatlan harmadik félnek - azaz az arroganciájával tulajdonképpen nem mást tett, mint vírust terjesztett. Ilyenkor bizony kinyílik a bicska a zsebemben.

Bocs, hogy ilyen hosszú eszmefuttatásra ragadtattam magamat - de a témád jó ürügyet nyújtott arra, hogy elmondjam ami a bögyemet nyomja, még akkor is, ha a te mail szervered (ahogy remélem) nem ilyen.

[quote:d02f247609="Darkfish"]Valaki néhány napja 10 másodpercenként folyamatosan kamu cimzettekkel bombázza a szerverem. Az IP címe 3-4 óránként változik, de mind t-online-os. Mi a túrót lehet vele csinálni?

Nem lehet, hogy siman virusos a szerencsetlen? Mostanaban nalam is hasonlo van, egy szerencsetlennek valahol Zafi.B-je van, izombol tolja magat mindenfele cimekre.

Zafi.B-je van, izombol tolja magat mindenfele cimekre

A Zafi.B címjegyzékből kiszedett, létező címekre "tolja magát".

Amire ő gondol, nyilván az az eset, amikor végigpróbálják a mail szervereden az oxford enciklopédia, vagy a "nagy szuahéli utónévkönyv" címszavait.

Ennek két haszna lehet a tényleges feladó számára:

A) esetleg talál egy létező címet; de ez nagyon kevéssé hatékony módszer, úgyhogy az is hülye aki így próbál e-mail címet szerezni. (A spammerek viszont okosak).

B) a másik, és ez a tulajdonképpeni értelme a bepróbálkozásnak: mit tesz a mail szervered a kamu címre (és persze kamu feladótól) érkezett levéllel?

[quote:9b2d6a0c4d="YanChi"][quote:9b2d6a0c4d="Darkfish"]...Mi a túrót lehet vele csinálni?

Írni az abuse@t-online.hu címre. ...

:lol: :lol: :lol:

[quote:dc500020d6="j_szucs"]

Zafi.B-je van, izombol tolja magat mindenfele cimekre

A Zafi.B címjegyzékből kiszedett, létező címekre "tolja magát".

Tuti igazad van, de akkor miert van, hogy rengeteg proba van egy adott IP-rol, es kozben ugyanonnan neha beesik egy virnyak is. Persze veletlen is lehet.

Amire ő gondol, nyilván az az eset, amikor végigpróbálják a mail szervereden az oxford enciklopédia, vagy a "nagy szuahéli utónévkönyv" címszavait.

Ennek két haszna lehet a tényleges feladó számára:

A) esetleg talál egy létező címet; de ez nagyon kevéssé hatékony módszer, úgyhogy az is hülye aki így próbál e-mail címet szerezni. (A spammerek viszont okosak).

Szerintem is hulye, aki igy gyujt cimeket. Viszont egy virusnak siman beleferhet a szabad idejebe, hogy veletlen cimekre kuldessel foglalatoskodjon, ha mar esetleg mas nincs.

B) a másik, és ez a tulajdonképpeni értelme a bepróbálkozásnak: mit tesz a mail szervered a kamu címre (és persze kamu feladótól) érkezett levéllel?

Reject-el siman. De akkor miert probalja ezerszer, egy proba nem eleg neki, hogy megtudja mi van?

Persze veletlen is lehet.

Az.

Reject-el siman.

És olyankor mi történik?

Elárulom: ha a tényleges feladó úgy akarja, és te nem tiltottad le (sendmail: nobodyreturn flag), akkor a te mail szervered bizony visszaküldi egy (esetleg) kamu címre a teljes levelet. :-(

Egy idézet:
"nobodyreturn
The nobodyreturn flag tells sendmail not to return the original message body when it bounces a message, even if the return is specifically requested with the RET=FULL DSN extension on the MAIL From: SMTP command."

Vagyis nagyon úgy tűnik, hogy a "Mail From:" smtp parancs részeként a feladó kérheti vissza a teljes levelet az értesítésben (és ez még a REJECT esetére is érvényes), sőt, a levél fejlécében még azt is megmondhatja, hogy ki kapja az értesítést ("ReturnReceipt-To:").

Azaz minden adva van a feladónak ahhoz, hogy tetszőleges levelet átrelézzen rajtad, ha nem tiltottad le a levél törzsének a visszaküldését, vagy nem állítottad be a "RrtImpliesDsn" opciót, mely utóbbi esetben nem a "ReturnReceipt-To:" fejléc mezőben megadott (esetleg kamu) cím, hanem az "envelope sender" kapja vissza a levelet.

A fenti opciók viszont pl. sendmail-nél 8.11 verzióig alapértelmezésben megengedőek, azaz neked kell őket szigorítani. Nem tudom, hogy újabb sendmail verzióknál ill. más mta-knál mi a helyzet, de gyanítom, hogy ugyanez.

Még csak nem is sendmailem vam.

És akkor te már biztos hogy nem vagy érintve?
Mert ha kifejezetten nem tiltottad meg az mta-dnak a mail body küldését, akkor igen! A "RET=FULL" kérés akceptálása ugyanis tulajdonképpen egy "smtp szolgáltatás", amit az mta-d alapból teljesít, hacsak nem tiltod meg neki. És ebből a szempontból tökmindegy lehet hogy sendmail vagy postfix vagy microsoft exchange.

Ráadásul mind egy adott email címről érkezik, tehát a jelzés is oda megy vissza.

Látom te se olvasol csak írsz, úgyhogy megismétlem:
A kézbesíthetetlenségről szóló értesítések (REJECT, stb.) alapból NEM A KÜLDŐ E-MAIL CÍMÉRE MENNEK vissza, hanem a levél fejlécében a "ReturnReceipt-To:" mezőben megadott címre.
A feladó szíve joga eldönteni, hogy a kettő azonos cím-e.

Ha a feladó eltérő címet ír a "ReturnReceipt-To:" fejlécmezőbe, a levelező szervered máris "open relay"-ként viselkedik minden egyes REJECT-el "visszaküldött" levélre.

Azaz: lehet, hogy 100 levél mind 1 címről jön, de a te mail szervered már 100 különböző címre küldi a REJECT-elt teljes leveleket, ha minden egyes levél "ReturnReceipt-To:" fejlécmezőjében más cím van. És ez alapból így megy, ha nem teszel ellene.

[quote:1b1532ed4e="j_szucs"]

Persze veletlen is lehet.

Az.

Legyen, bar eros veletlen a sok egybeses. De kar ezen vitazni.

Reject-el siman.

És olyankor mi történik?

Elárulom: ha a tényleges feladó úgy akarja, és te nem tiltottad le (sendmail: nobodyreturn flag), akkor a te mail szervered bizony visszaküldi egy (esetleg) kamu címre a teljes levelet. :-(

Ez mint Te is irod beallitas kerdese, le kell tiltani.

Elméletileg. Gyakorlatilag viszont elbtam. Javítva.

Ezen ne edd magad, mert ez a tudás valahogy "nincs benne a levegőben".

Hogy mást ne mondjak: a hálózatunkat felépítő profinak tartott személy is így telepítette a mail szerverünket.

És úgy is maradt évekig, amíg ki nem okosodtam, és egy magyar domain név regisztrátortól kapott fals levelet elemezve rá nem jöttem, hogy a mail szerverük ebből a szempontból rosszul van konfigurálva. (Vérciki).

Aztán rájöttem, hogy a miénk is rosszul van konfigolva. (Szintén ciki, de ez már a régmúlt.)