Spam, Adathalászat

SPAM a Magyar Posta nevében, átverési kisérlet

( pepo | 2020. 04. 17., p – 11:18 )
Spam, Adathalászat

Sziasztok!

Én jót nevettem, de vannak emberek, akik nem veszik észre, hogy valakik gonoszkodnak.

https://i.imgur.com/hhFCmSm.png https://i.imgur.com/HT0E3Es.png

A html forrása itt: https://pastebin.com/Swskh39p

A levél fogadó első szerver itt:

 

Received: from node18.hitdirector.com ([72.26.111.6]:52274)
	by ns1.secdns.eu with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.92)
	(envelope-from <admin@suppdomain.de>)
	id 1jPDUJ-0005nU-HV

Először láttam ilyet, a Magyar Postának is elküldtem.

Kb. nem sok esélyt látok arra, hogy bárki is bedőlne neki, de egy ember is sok.

Érthetetlen spam (?)

( _Franko_ | 2020. 02. 24., h – 21:17 )
Spam, Adathalászat

Ez mi a lófasz lehet? Napok óta változatos IP címekről és email címekről próbál beömleni pont ezekre az email címekre a szar:

Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <explain@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<explain@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <them@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<them@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <logical@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<logical@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <replace@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<replace@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <consequence@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<consequence@domain.name> proto=ESMTP
helo=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <initially@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<initially@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <salary@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<salary@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <hungry@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<hungry@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <varied@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<varied@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <complaint@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<complaint@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:15:57 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <half@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<half@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>
Feb 23 09:15:58 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <outdoors@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<outdoors@domain.name> proto=ESMTP helo=
<[185.143.223.163]>
Feb 23 09:15:59 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <avoid@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<avoid@domain.name> proto=ESMTP helo=<[185.
143.223.163]>
Feb 23 09:16:00 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <wallet@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<wallet@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:01 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <station@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<station@domain.name> proto=ESMTP helo=<[
185.143.223.163]>
Feb 23 09:16:02 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <insist@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<insist@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:03 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <extensive@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<extensive@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:16:04 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <programme@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<programme@domain.name> proto=ESMTP hel
o=<[185.143.223.163]>
Feb 23 09:16:05 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <nephew@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<nephew@domain.name> proto=ESMTP helo=<[18
5.143.223.163]>
Feb 23 09:16:06 portal postfix/smtpd[21590]: NOQUEUE: reject: RCPT from unknown[185.143.223.97]: 550 5.1.1 <drag@domain.name>: Recipient address rejected: User unknown in local recipient table; from=<npiaz31vdx3b@aminetwork.ru> to=<drag@domain.name> proto=ESMTP helo=<[185.14
3.223.163]>

Hello IP alapján szűrés postfixben hol működik hol nem

( MGy | 2019. 12. 02., h – 14:17 )
Spam, Adathalászat

A probléma a fenti. Van egy építgetett listám a notorius spamelőkről akiknek az IP tartománya feketelistára kerül.
Ez a lista a /etc/postfix/helo_a_access.cidr fájlban lakik. (a /etc/postfix/helo_access hashelt domain nevek)

A tapasztalat az, hogy időnként mégis átvesz innen leveleket a postfix. Én nem látok benne hibát, de hátha ti észreveszitek.

Ime a releváns fájlok:

Postfix main.cf releváns sor:
   smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access, check_helo_a_access cidr:/etc/postfix/helo_a_access.cidr, reject_invalid_hostname

A helo_a_access.cidr releváns sora:
  69.94.136.0/24     REJECT Spam from your IP range 69.94.136.0/24

Amikor jól működik:
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32666]: connect from prepare.kwyali.com[69.94.136.238]
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32394]: NOQUEUE: reject: RCPT from prepare.kwyali.com[69.94.136.238]: 554 5.7.1 <prepare.kgnths.com>: Helo command rejected: Spam from your IP range 69.94.136.0/24; from=<baloghmznwrwtmarietta@kgnths.com> to=<victim1@ceg.hu> proto=ESMTP helo=<prepare.kgnths.com>
  Dec  1 05:02:20 spamfilter3 postfix/smtpd[32394]: disconnect from prepare.kwyali.com[69.94.136.238] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5

Amikor nem működik jól:
  Dec  2 09:37:04 spamfilter3 postfix/smtpd[13885]: connect from develop.kwyali.com[69.94.136.247]
  Dec  2 09:37:05 spamfilter3 postfix/smtpd[13885]: 41C63101427: client=develop.kwyali.com[69.94.136.247]
  Dec  2 09:37:05 spamfilter3 postfix/cleanup[22006]: 41C63101427: hold: header Received: from develop.anketd.com (develop.kwyali.com [69.94.136.247])??by spamfilter3.ceg.hu (Postfix) with ESMTP id 41C63101427??for <victim@ceg.hu>; Mon,  2 Dec 2019 09:37:05 +0100 (CET) from develop.kwyali.com[69.94.136.247]; from=<bettinaznjdwqc@anketd.com> to=<victim@ceg.hu> proto=ESMTP helo=<develop.anketd.com>
  Dec  2 09:37:05 spamfilter3 postfix/cleanup[22006]: 41C63101427: message-id=<fowneakdfyrujjgvqaayxwgzxugasunmxau@gp.anketd.com>
  Dec  2 09:37:05 spamfilter3 postfix/smtpd[13885]: disconnect from develop.kwyali.com[69.94.136.247] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: New Batch: Scanning 1 messages, 4800 bytes
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: Virus and Content Scanning: Starting
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: <A> tag found in message 41C63101427.A9AEE from bettinaznjdwqc@anketd.com
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: HTML Img tag found in message 41C63101427.A9AEE from bettinaznjdwqc@anketd.com
  Dec  2 09:37:07 spamfilter3 MailScanner[4401]: Spam Checks: Starting
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Message 41C63101427.A9AEE from 69.94.136.247 (bettinaznjdwqc@anketd.com) to ceg.hu is spam, SpamAssassin (not cached, pont=7.119, szukseges 4, BAYES_50 0.80, DCC_CHECK 1.10, DKIM_SIGNED 0.10, DKIM_VALID -0.10, DKIM_VALID_AU -0.10, FROM_FMBLA_NEWDOM28 0.80, FROM_LOCAL_NOVOWEL 0.50, HK_RANDOM_ENVFROM 0.00, HK_RANDOM_FROM 1.00, HTML_IMAGE_ONLY_16 1.09, HTML_MESSAGE 0.00, HTML_SHORT_LINK_IMG_2 0.00, SPF_HELO_NONE 0.00, SPF_SOFTFAIL 0.67, T_REMOTE_IMAGE 0.01, URIBL_ABUSE_SURBL 1.25)
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Spam Checks: Found 1 spam messages
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Spam Actions: message 41C63101427.A9AEE actions are store
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: Deleted 1 messages from processing-database
  Dec  2 09:37:08 spamfilter3 MailScanner[4401]: MailWatch: Logging message 41C63101427.A9AEE to SQL

DeepSpam v0.3 release - uj tokenizalo, uj dataset/model

( arpi_esp | 2019. 09. 28., szo – 20:32 )
Spam, Adathalászat

Elkeszult az FSF.hu altal tamogatott neuralis halos spamszurom uj verzioja...

uj model: http://thot.banki.hu/deepspam/model_big_v3/

sokkal tobb, tobbszorosen ellenorzott mintabol epitve:
36172 mail.neg
45139 mail.pos
81311 total

uj milter: http://thot.banki.hu/deepspam/milter-v0.3/
vagy online teszteleshez postfix/main.cf-be: smtpd_milters = inet:193.224.38.187:1080

Changelog v0.3:
================
- html parser atirva, jobban kezeli az extrem eseteket
- kodlap kezeles javitasok, pl. hibas utf8...
- tokenizalas modositva, anonimizalja a cimeket (email/url), szamokat
emiatt javasolt az uj model (v3) hasznalata, mert az mar az uj parserrel keszult!
- mar nincs python 2.x support, de ha van ra igeny megnezem majd, viszont foleg a kodlap kezeles tok maskepp megy 3.x alatt...

A'rpi

Your iPhoneX is ready for Pickup

( radzeer | 2019. 09. 05., cs – 14:03 )
Spam, Adathalászat

Sziasztok!

Random megjelent egy bejegyzés a naptáramban (google), a fenti címmel.
A kövekező oldalon kéne kitöltenem egy formot hozzá: https://iphone.webcheckfacts.com.
Hogy lehet ezt jelenteni a google felé? Hogy lehet megtudni miképp került ez be ide (és tiltani). Azért vicces,
mert alapvetően 2FA be van kapcsolva, JS-t alapvetően tiltok, még ha sok helyen egy jó részét engedélyezni is kell. Igaz régebbi gépemen a böngésző tárolja a sütit, így ott már rég léptem be, lehet azon keresztül találta be valami.

Antispam appliance

( MGy | 2019. 07. 29., h – 16:26 )
Spam, Adathalászat

Keresek egy jól összerakott spamfilter megoldást.
Most az EFA-t (mailscanner és sokan mások)használom amivel végülis elégedett vagyok, de úgy tűnik, hogy megrekedt a fejlesztése.

Szempontok:
Valamilyen Linux disztribución fusson
Külön virtuális gépen lehessen futtatni (triviális)
Szépen össze legyen rakva és ne álljon fejre egy upgradetől
Legyen webes felülete a mindennapos használathoz - nem csak én fogom használni

Más kérdés hátha van valakinek ötlete:
Az EFA (a Mailscanner része) elkezdte azt csinálni, hogy a levélre kattintva nem hozza fel a headert csak három paramétert, mikor jött, melyik szervere, milyen IP-ről. A maillog táblában benne van a mail a karantén nonspam directotijában benne van a file a megfelelő ID-vel mint filenévvel.

ReturnPath.net - ismeri-e valaki?

( tbs | 2019. 07. 29., h – 15:01 )
Spam, Adathalászat

https://returnpath.net

Alapdolgok erdekelnenek: hogyan mukodhet..? Mik a tapasztalatok vele, ha valaki hasznalja? Mit kell lassak vele/nelkule?

A site-on nem jott szembe egyertelmu info sajnos... :(

(A problemam vele az, hogy orokoltem egyet, de fogalmam sincs, hogy van a rendszerbe varrva - a szukseges dokumentacio pedig "hianyos". Es kellenek valaszok a koltsegoldalra. Mert nemolcso. :DDD )

Barmilyen info johet roluk, ha van. Koszi.

Feliratkozás a következőre: Spam, Adathalászat