Spam, Adathalászat

Belefutottam egy erdekes spam problemaba ami szerintem a Spamcop oldalarol netto kocsogseg, erdekelne masok velemenye is.

Hatterinfo: a felado mailszerver egy kb. 400 domaines (2k postafiok + aliasok) mailszerver.

Esemeny:
A mailszerverunk spamlistara kerult Spamcop-nal (sehol mashol, mxtoolboxon az osszes tobbi listan tisztak voltunk), amit sajnos ugylatom nagyon sokan hasznalnak mert egybol elkezdodott a siras hogy nem mennek ki a levelek.
Szerver gyors atnezese utan megallapitottam hogy itt semmifele spam kuldes nem zajlik es nem is zajlott (vannak aktiv figyeloscriptjeink a mailqueue-ra es a maillogra, mert regebben volt gondunk feltort fiokokbol kimeno spammal havi/kethavi rendszeresseggel, de egy szigorubb fail2ban bevezetese ota ez gyakorlatilag teljes egeszeben megszunt).
Leszedettem magunkat kezzel a Spamcop weboldalan, de masnap reggelre ujra visszakerultunk, es ilyekor mar nem lehet leszedetni, automatikus delisting pedig 30 ora.
Spamcop weboldala szerint spamtrap email cimre kuldunk levelet, reszeleteket nem osztanak meg.

Mivel teljes egeszeben meg voltam gyozodve arrol hogy semmifele spamot nem kuldtunk igy nyitottam egy siros/konyorgos ticketet a supportnal hogy valami reszletet ugyan osszanak mar meg mert anelkul teljesen tehetetlen vagyok, az userek meg leszedik a fejunket.
Legnagyobb meglepetesemre par oran belul valaszoltak, kaptam egy kicenzurazott header-t amiben benne volt a subject, a felado, meg egy orara beazonosithato datum (perc, masodperc is cenzurazva volt).
Ebbol azonnal megallapitottam hogy szo nincs semmifele spamrol, ugyanis a subject tartalmazott egy altalunk generalt egyedi azonositot (egy rendeles allapot update emailrol volt szo amit probaltunk kikuldeni a vevonek), a vevo elirta az email cimet.

A gondjaim a kovetkezok, es ezt egy eleg reszletes es felhaborodott emailben ki is fejtettem a supportnak, termeszetesen semmilyen valaszt nem kaptam.

- a cimzett email cime a kovetkezo volt (nevet megvaltoztattam): katinka84kovacs @ gimail.hu
Innentol kezdve a Spamcop allitasa miszerint spamtrap email cimre kuldtem levelet netto hazugsag, ugyanis az egeszen kurvara biztos hogy ilyen email cim naluk nem letezik, magyarul az egesz domaint *-al trappelik, nincsennek specifikus email cimeik (tehat ha kuldesz egy levelet a lofaszaseggetekbe @ gimail.hu-ra akkor sikeresen atveszik es azonnal listazva vagy, teszteltem).

- mennyire nevezheto korrekt dolognak a gmail.hu domain elirasat (gimail.hu) ami egy legitim levelezo rendszer, vagy egyaltalan barmilyen gmail elirast wildcard spamtrapkent uzemeltetni, mert szerintem kibaszottul semennyire.

Mas talalkozott mar ennyire inkorrekt spamlista viselkedessel? Hogy lehet ellene vedekezni?
En annyit tudtam tenni hogy megkertem a vezetoseget hogy mostantol minden site-ban legyen duplan bekert email cim a regisztracional/rendelesnel, illetve legyen verify email funkcio is, bar ez utobbi nem segit mert ha elirja a vevo az email cimet akkor mar a kikuldott verify email miatt repulunk a feketelistara. Ezen kivul minden smtp porton blokkoltam a kommunikaciot a gimail.hu IP cimere, de ez ugye nem nevezheto megoldasnak tobb okbol sem.

Sziasztok!

Mit írjak át? Ez egy mezei linux VPS a resolv.conf-ban megadott DNS szerverekkel.

"1. Add the TXT to the DNS configuration for éndomainem.izé
TXT record:
google-site-verification=e8bzNnrIv1222BKffu3Yix2goKtxxxP6WfmiSlD5FUlo"

Amiért ebbe a kategóriába tettem az, hogy ez egyik user felhnév-jelszó párosa kikerült a netre, és fail2ban-t kitapasztalva különböző IP-kről megküldték a világhálót szerverről SPAM-ekkel.
Relatíve hamar észrevettük, egyik spammer adatbázisba sem került bele a gép IP-je, viszont a Google nyafog, neki kell a fenti feltételnek megfelelni.

Előre is köszönöm a segítséget.

Sziasztok,
mostanában elkezdett jönni jó pár (vírusos) spam olyan formában, hogy a feladó Gipsz Jakab - gipsz.jakab@tenylegvanilyen.hu,nincsilyencím@spamakarmi.com

tehát fog egy valós címet és másolatba vagy címzettnek berakja a kamu címet. Ha megnézem, hogy milyen ipről jött akkor általában
valami thaiföldi/kínai/stb címekről jön, tehát tuti nem pl az a személy küldte, akié a cím.
Hogy lehet ez ellen védekezni?

Sziasztok!

Az 576KB hírleveléről nem lehet leiratkozni. Több hónapja küldik a szart. Az csak hab a tortán, hogy fel sem iratkoztam.
Innen jött a ganyé:
576kb.hu@mail18.suw13.rsgsv.net

2018-ban megengedheti magának egy - ráadásul régi, ismert - cég, hogy ilyen primitív módon tolakodjon?

Sziasztok!

Spammelők feljelentésére használjátok ezt?

https://e-nmhh.nmhh.hu/e-nhh/4/urlapok/esf00101/

Mik a tapasztalatok? Ugyanolyan hatékonyságú, mint az abuse@ címek használata?
Azt szeretném megtudni, van-e értelme időt szánni a bejelentésekre Magyarországon.

Köszönöm.

Üdv!
Van egy C6x VPS szerver postfix+amavis+postgrey+www működik rajta (egy domaint kezel, 3 postafiókkal).
A postfix a publikus és 127.0.0.1-en engedi a kapcsolódást (mynetworks opció).

Ilyen üzeneteket kap a root pl.:
-----------------------------------------------------------
If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

: host mx002.vodafonemail.xion.oxcs.net[157.97.76.175]
refused to talk to me: 421 4.2.1 HELO fqdn needs a public DNS record OX_202

vagy:

: host mx-eu.mail.am0.yahoodns.net[212.82.101.46] said:
421 4.7.0 [TSS04] Messages from 84.21.7.117 temporarily deferred due to
user complaints - 4.16.55.1; see
https://help.yahoo.com/kb/postmaster/SLN3434.html (in reply to MAIL FROM
command)
------------------------------------------------------------

Ezek most a "domain" nevében küldenek (pl. info @ domain.hu) és a hibaüzenetet kapja meg a C6 szerver?

Milyen opció beállítása lenne még praktikus?

A main.cf:

# postfix config file


# uncomment for debugging if needed
#soft_bounce=yes

# postfix main
mail_owner = postfix
setgid_group = postdrop
delay_warning_time = 4

# postfix paths
html_directory = no
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
queue_directory = /var/spool/postfix
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man

# network settings
inet_interfaces = all
mydomain = domain.hu
myhostname = domain.hu
mynetworks = $config_directory/mynetworks
mydestination = $myhostname, localhost.$mydomain, localhost
relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains_maps.cf

# mail delivery
recipient_delimiter = +

# mappings
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
transport_maps = hash:/etc/postfix/transport
#local_recipient_maps =

# virtual setup
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf,
regexp:/etc/postfix/virtual_regexp
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_minimum_uid = 101
virtual_uid_maps = static:101
virtual_gid_maps = static:12
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# debugging
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

# authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
# Change mail.example.com.* to your host name
smtpd_tls_key_file = /etc/pki/tls/private/domain.hu.key
smtpd_tls_cert_file = /etc/pki/tls/certs/domain.hu.crt
# smtpd_tls_CAfile = /etc/pki/tls/root.crt

# rules restrictions
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
# black and whitelist
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
smtpd_recipient_restrictions = permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/sender_rbl_black_and_white_list,
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_policy_service unix:postgrey/socket,
# uncomment for realtime black list checks
# ,reject_rbl_client zen.spamhaus.org
# ,reject_rbl_client bl.spamcop.net
# ,reject_rbl_client dnsbl.sorbs.net
permit

smtpd_helo_required = yes
unknown_local_recipient_reject_code = 550
disable_vrfy_command = yes
smtpd_data_restrictions = reject_unauth_pipelining

# Other options
# email size limit ~20Meg
message_size_limit = 20480000
mailbox_size_limit = 104800000
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
sample_directory = /usr/share/doc/postfix-2.6.6/samples
data_directory = /var/lib/postfix

# 2017.08.19:
# header_checks: default -> empty
# /regex_pattern/ ACTION
#
header_checks = regexp:/etc/postfix/header_checks

par napja karantenba kuldi a spamszuronk az osszes ingatlanos mailt, ma volt idom ranezni a miertjere, hat eleg vicces header van a levelukben:

Content-Disposition: inline; filename="' + filename + '"

a programozojuk elszamolhatta az idozojeleket :)))

Vagy 2 napja olvastam az indexen, hogy ujfajta zsarolo scam-ek jelentek meg, ami azzal fenyeget/kamuzik, hogy elkuldi az osszes haveromnak, hogy a pron vid-ek nezese kozben.

Ez amugy engem is erdekelt volna. Marmint, hogy az asztalon levo notebook kameraja megis hogyan lat az asztal ala? Persze ezt nem mondta meg, ugyhogy lehet, hogy megkerdezem tole.

Szegenykem amugy fulop-szigeteki, annyira szegeny, hogy egy orosz cimrol tolta a cuccot, es a From: mezobe egy kinai-szeru nevet irt be. De legalabb pofatlan, mert 780 EUR-t ker a 14JQVxuR9SXiw2QVcdoy6RWrgw2BDEzfpM cimre btc-ben. Morcos is vagyok ra, hogy eddig vart a levelevel, mire csucsokat dontoget a forint az EUR ellen.

A reszletek: https://pastebin.com/DJY1nFei

----------- SCAN REPORT -----------
TimeStamp: Sat, 23 Jun 2018 06:03:05 +0200
(/usr/sbin/cxs --nobayes --clamdsock /var/clamd --dbreport --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 35000 --noforce --html --ignore /etc/cxs/cxs.ignore --MD5 --options MSGchnZDv --qoptions Mv --quiet --report /var/log/cxscron.relaxch.log --script /etc/cxs/htaccessdisable.pl --sizemax 1000000 --ssl --summary --nosversionscan --timemax 30 --nounofficial --user relaxch --virusscan --voptions mhexT --xtra /etc/cxs/cxs.xtra)

Scanning /home/relaxch:

'/home/relaxch/.trash/ssend.php' # SUID permission set (md5sum:ba76616a57e52cc63a09ca876c334268) # GUID permission set

----------- SCAN SUMMARY -----------
Scanned directories: 979
Scanned files: 7185
Ignored items: 19
Suspicious matches: 2
Viruses found: 0
Fingerprint matches: 0
Data scanned: 220.14 MB
Scan time/item: 0.015 sec
Scan time: 126.159 sec

Üdv,

https://www.ers.trendmicro.com/reputations/

a fentivel találkozott már valaki ?

Mert én most igen, küldtek egy emailt, hogy DUL listába kerültem, ez ISPk általi "dinamikus lista" elvileg.

De egy darab email szerverrel nem találkoztam eddig, akik ezt a listát használták volna.

Egészen a mai napig :)

Bár tény, ISP mögött (nem, T*, nem D* nem U*, nem ilyen gagyi XYvarosNET* , megnevezni nem akarom, de olyan isp aki ugyan szolgáltat többé kevésbé lakossági netet is, de inkább a vállalati szféra a profil) üzemelő komplett mail rendszerről van szó, de ez a cím fixen ki lett osztva.

Gondolom előzőleg kerülhetett be valahogy a rendszerükbe ez a fixen kiosztott IP.

Bár végülis hivatalos remove request után gyakorlatilag ~4 óra elteltével már ki is szedték ezt az adott IP-t az RBL+ / DUL listából.
mxtoolbox check szerint (direkt le lett ellenőrizve többször is) ez a fixIP 103 *BL listából 0 találatot produkált. És a mai napig 0 találat van rá.

Fura, mert ezzel a szolgáltatóval már több helyen került kiépítésre levelező szerver és sehol nem futottam még bele ebbe a TrendMicros* RBL listába.

Csak most pont egy olyan helyre kellett volna mailt küldeni ahol ezt a TrendMicros RBL listát használják.

Hm. végülis csak self-note, de azért érdekelnek a tapasztalatok :)