Spam, Adathalászat

Sziasztok!

Biztonsági szoftvert kellene finomhangolnom, és tesztelnem. Tud-e valaki olyan megoldást, hogy egy ransomware-t, lehessen futtatni, viszonylag "ellenőrzött" körülmények között (egyetlen gép azon a hálózaton, nincs átjárás a másik hálózatra, olyan dolgok vannak rajta, amik mehetnek a levesbe, hogy ha letitkosítja..stb), egyáltalán hogy lehet hozzájutni tudatosan egy ilyen fertőzéshez? :) Az adott program a Spora ransomware-t nem detektálta, míg a szoftver mérnökei szerint képes rá, hogy ha megfelelően van beállítva. Lehetőleg azt próbálnám beszerezni (egy cseh mozdonygyártó oldalát fertőzték meg vele, ahova később visszalátogatva, már ki is javították a hibát), ami nem biztos, hogy egyszerű feladat.

A sandbox nem jöhet szóba, mert sok kártevő érzékeli, hogy sandboxban fut és nem fog működni.

KKV-s környezetben dolgozom, így a nagyipari megoldások itt nem játszanak.

Köszi :)

Adva van egy viszonylag jól működő spamassassin, amely bizonyos üzeneteknél nagyon lelassul.
Ez számomra azért kritikus mert az üzeneteket on-the-fly scannelem a DATA befejezése után, és ha megbukik akkor át sem veszem kézbesítésre, ami értelemszerűen azt okozza hogy bizonyos emailek feladásakor a kliensek timeout-olnak (Thunderbird default timeoutja pl. 100 másodperc), magyarán el se tudják küldeni az emailt az ügyfeleink (az authentikált kapcsolaton keresztül feladott leveket is szűröm, nem csak a külső beérkezőket).
Hardware probléma nincs, erős szerver, elég ram, elég worker, stb.
A spamassassin kb. 8000 levelet vizsgál át naponta és ebből a kérdéses probléma gyakorisága 0-20 között van.

Jelen pillanatban egy gyakorlatilag üres emaillel tudom reprodukálni a hibát amihez egy 3.5MB-os apache logfile van csatolva (5MB-ig scannelek mindent).
Erre az üzenetre stabil 175-178 másodperc a scan time :(

Az üzenet mérete önmagában nem lehet probléma mert sok hasonló méretű levelet látok a logban amire 2.5 másodperc körüli scan time-ok vannak loggolva.
A log alapján (amely listázza a triggerelt check-eket) nincs check ami aktiválódna és pontozna, az üzenet clean-t kap:
spamd: clean message (-1.0/5.0) for spamd:58 in 175.2 seconds, 4990400 bytes.
spamd: result: . -1 - ALL_TRUSTED scantime=175.2,size=4990400

Felraktam a HitFreqsRuleTiming plugint amit a spamassassin doksija javasolt és ráfuttattam kézzel az üzenetre, utána pedig megnéztem a timing.log-ot amiben a következőt találtam:
T __FILL_THIS_FORM_SHORT2 20.5237 20.5237 1
T __FILL_THIS_FORM_LONG2 20.4367 20.4367 1
T __FILL_THIS_FORM_FRAUD_PHISH1 8.2502 8.2502 1
T __FILL_THIS_FORM_SHORT1 6.4717 6.4717 1
T __FILL_THIS_FORM_LONG1 6.4522 6.4522 1
T __FILL_THIS_FORM_LOAN1 6.0268 6.0268 1

Sajnos nemtudom pontosa mit művelnek ezek a check-ek, a spamassassin doksijában semmit nem találok rá, a google szintén nem dob semmi értékelhetőt.
Ha bezippelem a csatolmányt akkor probléma nélkül kimegy az email.

Bárkinek van bármilyen ötlete hogyan tudnék továbblépni?
Köszönöm.

main.cf -ben a smtpd_recipient_restrictions érték kapott egy ilyet: check_client_access hash:/etc/postfix/rbl_whitelist,
rbl_whitelist tartalma (egyenlőre):

cat /etc/postfix/rbl_whitelist
gmail.com OK
google.com OK

RBL listákat használok, amire (nem tudom hogy miért,) de felkerül néha a gmail némelyik smtp szervere. Egy komplett whitelistát szeretnék csinálni, de egyenlőre technikailag az a gondom, hogy ha tiltólistás gmailről jön a mail nem jön át.
VISZONT a hiba nem a configban van elvileg. A küldő: Received: from mail-ua0-f181.google.com (unknown [209.85.217.181])
Viszont ha az ip címet teszem be a whitelistbe tehát:
209.85.217.181 OK

Akkor az emailek átjönnek :S

Próbáltam már megadni iptartományt is és subnetet is de nem müködik és mindenhol azt írják hogy egy sor egy ip. De pl a gmail is olyan nagy tartománnyal rendelkezik, hogy ökörség lenne soronként megadni.....

Valakinek 5lete?

Sziasztok.

Görögországból próbálok levelet küldeni egy magyar cégnek, de folyamatosan azt mondják, hogy nem kaptak semmit. A gmail-ről kel küldenem, mert ez itt az univerzális.
Sajnos ezen a szutykon nem látom,hol lehet tértivevényt beállítani, szerver semmi információt nem dob vissza arról, hogy téves a cím, vagy hogy spamszűrőn vagyok-e.

Kérdésem:
gmailes címről indított levé sorsáról hogyan tudhatok meg információkat?
Vagy törődjek bele, hogy a cég "remek" informatikai tudással rendelkező emberei a képembe hazudnak?

Az alábbi e-mail kaptam ma reggel yahoo.com fiókomba:

iAppIe.lD
Today at 3:27 AM

To xxxxxx

Message body
Paypal Customer Care Departement :

We are sorry to inform you that your account is ON HOLD.

Your subscription with our company has been expired-with all additional services includes Send and Revcive money or shoping ..
Please you need to click the link below to resolve your account problem.

Date-of-expiration: 01/12/2016
Account-status: On hold,Waiting for renewal

Renew Here

Érdekes, hogy a Yahoo befogad olyan e-mailt, aminek a feladója localhost.com, az hogy nekem soha semmi közöm nem volt a Paypalhoz az külön öröm. A "Renew Here" linkre persze nem kattintottam...

Gratulálok....

Sziasztok

Használnám, mert jónak tűnik, de órák óta szívok vele.
Beállítottam egy Postfix-Dovecot alapú MX-en, talán jónak tűnik.
Beállítottam egy másik szerveren, ami csak SMTP, szintén Postfix-Dovecot alapú.

unverified_sender_reject_code = 550
unverified_sender_reject_reason = Address verification failed
address_verify_sender = "postmaster@domainem.hu"

smtpd_sender_restrictions    = reject_non_fqdn_sender,
#check_sender_access hash:/etc/postfix/access3_sender,
                               reject_unknown_sender_domain,
                               warn_if_reject reject_unverified_sender,
#                               reject_sender_login_mismatch,
                               permit_mynetworks,
                               permit_sasl_authenticated

Ha smtp auth után levelet küldök, ezt kapom: Sender address rejected: undeliverable address: Address verification failed;
war_if_reject miatt csak warningba, ha kiveszem azt, akkor a küldő kliens azonnal visszadobja.
Hol lehet a baj? Miért nem tudja leellenőrizni a címet? a címzett szerver is nálam, a logban nem látok csatlakozásnak nyomát.
A levél elmegy. Ha nincs benne a warn_if_reject reject_unverified_sender sor, akkor warning nélkül szintén elmegy.

Köszönöm!

Olyan szolgaltatot keresek, aki megoldja helyettem a spamszurest.
Gyakorlati tapasztalatok erdekelnek.

10x
t

Azt hiszem itt az ideje egy olyan topicnak amiben érdemben körbejárjuk hogyan is lenne érdemes 2016-ban megoldani a SPAM szűrést.

Sajnos azt tapasztaljuk hogy az idáig bevált megoldásokon kezdenek kifogni a tömeges levélküldő barátaink, nem nagyon, de már éppen annyira hogy kapjuk a leveleket ügyfelektől hogy ma is kaptunk 2-10 SPAM-et, és ehhez nem vagyunk hozzá szokva.

Fontos hogy itt én most a dolog technikai oldalát szeretném körbe járni, tudom hogy lehet vásárolni X-Y terméket, dobozt, HW megoldást, etc, de ez nagyon sok helyen nem játszik.

A használni kívánt megoldás OS független, vagyis lehet Debian, Centos, OpenBSD …, a szükséges komponensek általában elérhetőek minden OS-ban.

Maga az SMTP is másodlagos, mi jellemzően Exim-et és ritkábban Postfix-et használunk.
SMTP szinten a következőkkel szűrjük a SPAM-et:

• SMTP banner késleltetés
• SMTP connection limitek
• HELO check
• hostnév, IP nem lehet u.a. mint fogadó SMTP
• RBL listák
• feladó email cím validálás
• ahol van lehetőség recipient email ellenőrzés
• ip reverse check

Ezek a bejövő levelek 70-80%-át már dobják is, ebből 99,9999%-ban nincsen hibásan eldobott levél.

Kiegészítő script exim-ben ami ZIP|ARJ|RAR …-okat kibontja, és ha JS, és hasonlók vannak benne akkor azokat eldobjuk.

Általában SMTP szinten használt RBL listák:

• sbl-xbl.spamhaus.org
• zen.spamhaus.org
• b.barracudacentral.org (regisztrációval)
• bl.spamcop.net

Következő lépés Vírus keresés, ezt jellemzően ClamAV-val.
Extra DB források:

• sanesecurity.com
• malwarepatrol.net (fizetős)

SPAM szűrést spamassassin-el:

• bayes alapú szűrés, közel 500e+ HAM, és 1millió+ SPAM tanítva
• RBL itt is:
  dnsbl-X.uceprotect.net
  ips.backscatterer.org
  cidr.bl.mcafee.com
  truncate.gbudb.net
• senderbase (cisco)
• URL szűrés , uribl.com
• SA channelek:
  sought.rules.yerp.org
  updates.spamassassin.org
  spamassassin.heinlein-support.de

Vegyük ezeket technikai alapoknak, ezek mellett sajnos szaporodnak a panaszok hogy nem jó a szűrés.

Arra lennék kíváncsi ki hogyan csinálja technikailag, és azt mennyire érzi hatékonynak.
Milyen külső forrásokat (akár fizetős) használ tanításra (bayes), vírusszűrésre, levél-ben lévő URL-ek ellenőrzésére, etc …

Vagyis hogy mivel lehet hatékonyabbá tenni ezt a szélmalom harcot ! :)

update #1.
RBL ellenőrzéshez megfelelő DNS-ek!
Ellenőrízd kézzel lefut-e rendben RBL DNS kérés, google DNS nem jó!

update #2.
DKIM, SPF-et jobb nem lepontozni, false erdményt ad, már sok a valid SPF, DKIM -el küldőtt SPAM!

Sziasztok!

A http://pastebin.com/NjrT9tkL linken lathato a postfix es az amavis rendszerek spam filterre vonatkozo konfigom. A spamszuro tokeletesen mukodik, viszont azt a hibat tapasztalom, hogy a kimeno leveleket is szuri, pedig azokat nem szeretnem :(

Valakinek tapasztalata ez ugyben?