jest to rozwiniecie tematu poprzedniej wiadomości Takie małe podsumowanie pomysły usprawnienia i poprawki.
A może sprawdzać temat tylko?
Jak zauważył kolega Lemat w komentarzu można sprawdzać sam temat i nadawcę czy jest o zablokowaniu konta. czyli reguła wygląda tak:
header __ZABOJCASPAMU_ALLEGO_SUBJECT_1 From=~/allegro\.pl/ header __ZABOJCASPAMU_ALLEGO_SUBJECT_2 Subject =~ /(skrzynka|konto).*(zawieszon|zablokowan)/i meta ZABOJCASPAMU_ALLEGO_SUBJECT __ZABOJCASPAMU_ALLEGO_SUBJECT_1 && __ZABOJCASPAMU_ALLEGO_SUBJECT_2 describe ZABOJCASPAMU_ALLEGO_SUBJECT Blokowanie z allegro o zablokowaniu konta score ZABOJCASPAMU_ALLEGO_SUBJECT 10
Jeśli wiadomość idzie z allegro.pl i ma informacje o zablokowaniu konta pójdzie do spamu. Można samą regułę uzyć bez sprawdzania czy jest z allegro. Wtedy do spamu będzie trafiac wszystko co ma informacje o zablokowaniu konta(każdy mail). Nie jest to chyba dobry pomysl:) ale może ktoś chce:)
Wykorzystanie wbudowanego mechanizmu SPF
Można też sprawdzać SPF nie nagłówkami maila ale wbudowanym mechanizmem SPFa w SA. Tylko jak zawsze uwaga: serwer musi obsługiwać sprawdzanie SPFa. Inaczej dobre wiadomości będa trafiać do spamu. I następna uwaga. SPF wiadomo jakie ma wady i nie można go używać do ubijania spamu jako samodzielny test.(dlatego ma niską punktację). Ale uznajemy ze serwis Allegro nie forwardujej maili i ma wszystko dobrze skonfigurowane.
header __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM From=~/allegro\.pl/ meta ZABOJCASPAMU_ALLEGO_SPF_INBUILD __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM && (SPF_FAIL || !SPF_PASS) describe ZABOJCASPAMU_ALLEGO_SPF_INBUILD Wbudowana reguła SPFa score ZABOJCASPAMU_ALLEGO_SPF_INBUILD 10
A może wykorzystać pole Received.
Tutaj też można poszaleć. W polu Received pojawiają się nazwy serwerów przez które przechodzi mail. Więc może to sprawdzać? Da się. Robimy sami pseudo SPFa:). Ważna jest spacja na koncu w drugiej regule aby ktos nie założyl serwera allegro.plfake.pl
header __ZABOJCASPAMU_ALLEGO_RECEIVED_1 From=~/allegro\.pl/ header __ZABOJCASPAMU_ALLEGO_RECEIVED_2 Received=~/allegro\.pl / meta ZABOJCASPAMU_ALLEGO_RECEIVED __ZABOJCASPAMU_ALLEGO_RECEIVED_1 && !__ZABOJCASPAMU_ALLEGO_RECEIVED_2 describe ZABOJCASPAMU_ALLEGO_RECEIVED Sprawdzanei Allegro przez Received score ZABOJCASPAMU_ALLEGO_RECEIVED 10
I rzeźbimy w SPFie ręcznie
To jako ciekawostkę można podać. Znamy ustawienia SPFa allegro.
v=spf1 include:_spf.google.com include:spf.mandrillapp.com ip4:193.23.48.0/24 ip4:193.203.222.0/23 ip4:194.0.251.0/24 ip4:178.21.152.0/21 ip4:5.134.208.0/21 ip4:91.194.188.0/23 ip4:91.207.14.0/23 -all
Możemy ręcznie w polu Received sprawdzać IP czy jest jedną z wymienionych. Wadą tego rozwiązania jest oczywiście to, że zmiana we wpisie SPFa będzie powodować konieczność zmiany reguły. Odradzam uzywanie tej reguły ale można ją podać jako ciekawostkę. Nie ma wpisanych wszystkich IP ja ktoś chce używać musi dopisać pozostałe IP i dac punktacje powyżej 0
header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1 From=~/allegro\.pl/ header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2 Received=~/\[(193\.23\.48\.\d+|194\.0\.251\.\d+\]/ meta ZABOJCASPAMU_ALLEGO_RECEIVEDIP __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1& !__ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2 describe ZABOJCASPAMU_ALLEGO_RECEIVEDIP Sprawdzanei Allegro przez Received score ZABOJCASPAMU_ALLEGO_RECEIVEDIP 0
Tym oto sposobem chyba wszystkie możliwe sposoby sprawdzania maili czy idą z dobrego serwera. Można je wykorzystać do tworzenia własnych reguł do innych serwisów.
Tutaj więcej kilka uwag o podszywaniu się .
„SPF wiadomo jakie ma wady…”
Można prosić o jakieś informacje jakie to są te wady?
Wady SPFa np http://docplayer.pl/2593800-Uwierzytelnianie-nadawcy-bezpieczenstwo-czy-zagrozenie.html
tylko w przypadku Allegro nie ma mozliwości forwardowania. Co innego darmowe konta ale… desperacja w ubijaniu spamu jest duza:)
header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1 From=~/allegro\.pl/
header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2 Received=~/\[(193\.23\.48\.\d+|194\.0\.251\.\d+\]/
meta ZABOJCASPAMU_ALLEGO_RECEIVEDIP __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1& !__ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2
describe ZABOJCASPAMU_ALLEGO_RECEIVEDIP Sprawdzanei Allegro przez Received
score ZABOJCASPAMU_ALLEGO_RECEIVEDIP 0
takie watpliwosci
badanie ip > bez spf ?
score 0 ? to sorki – ale to jakas sztuka dla sztuki ?
W tekscie jest napsiane o tym. Przeczytaj, ze to właśnie sztuka dla sztuki
__ZABOJCASPAMU_ALLEGO_SPF_INBUILD
ubija prawidlowe maile z powiadomien – nie uzywac 🙂 w obecnej postaci
mysle ze za duzo chciano zbadac, dziala w postaci ponizszej
======================
header __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM From=~/allegro\.pl/
meta ZABOJCASPAMU_ALLEGO_SPF_INBUILD __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM && SPF_FAIL
describe ZABOJCASPAMU_ALLEGO_SPF_INBUILD Wbudowana reguła SPFa
score ZABOJCASPAMU_ALLEGO_SPF_INBUILD 10
znodyfikowalem i przestestowalem pod katem ze nie blokuje prawidlowych maili
proponuje regule dla systemow aukcyjnych (te ktore znam i maja wpisy w dns)
=====================================================================
# Serwisy aukcyjne SPF
header __ZABOJCASPAMU_AUKCJE_SPF From=~/(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/
meta ZABOJCASPAMU_AUKCJE_SPF __ZABOJCASPAMU_AUKCJE && SPF_FAIL
describe ZABOJCASPAMU_AUKCJE_SPF Blad reguły SPF – prawdopodobnie phishing serwisu aukcyjnego
score ZABOJCASPAMU_AUKCJE_SPF 4
# Serwisy aukcyjne DKIM
header __ZABOJCASPAMU_AUKCJE_DKIM From=~/(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/
header __ZABOJCASPAMU_AUKCJE_EXISTS_D DKIM-Signature=~/d=(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/m
meta ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS __ZABOJCASPAMU_AUKCJE_DKIM && ! __ZABOJCASPAMU_AUKCJE_DKIM_EXISTS_D
describe ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS Brak podpisu DKIM w serwisie aukcyjnym
score ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS 4
========
Ja u siebie dodalem do tego rowniez paypala, ale mozna by utworzyc osobny zestaw dla systemow platnosci – payu paypal itp
Zaiste nie wiem czemu miałaby nie działać ta reguła we wpisie.Jest ok. Chyba ze komus zawsze wyskakuje SPF_PASS pozywtynie.
moze dlatego, ze polecenie SPF_PASS jest nie zawsze realne, o czym przekonalem sie na wlasnej skorze, bo zamiast tego potrafi wyskoczyc T_SPF_TEMPERROR i masa dobrych maili wyladowala mi oznaczonych jako spam (dobrze ze nie do /dev/null – przed czym zreszta juz przestrzegalem)
Przestrzegam wiec przed uzyciem – zwlaszcza ze punktacja bardzo wysoka !
============
Moja powyzej propozycja na regex , tez nie jest niestety dobra, ale
zamieszcze za chwile swoja nowa regule w tym temacie
========
Z tego samego powodu – ostrzegam ze zamieszczona w regulach procedury dla poczty polskiej i kilka innych z spf_pass – BEDZIE w pewnych warunkach uwalac poprawne maile wiec nie powinno sie ich uzywac, a jesli juz to z jakas punktacja okolo 1 pkt ! – na pewno nie 10
Przykro mi, ze zapewne sadzisz, ze wywalam Twoja prace do gory nogami i neguje zatwierdzone juz regex – ale sadze, ze moze byc szereg osob ktore nie testuja tego tak jak ja ostatnio i stosuja bezkrytycznie
Po to zreszta jest forum – aby sie poprawiac wzajemnie – dazac do nieosiagalnej doskonalosci
🙂
Problem SPF u temerror to temat rzeka. Podobnie z DKIMem. pisalem o tym w kilku zdaniach ale chyba czas rowinac temat.
Coz… DNS jest jaki jest i lepszy nie bedzie. Ale dzieki za zwrócenie uwagi i za czujnosć:)
To moja wersja sprawdzania SPF, uwzgledniajaca zauwazone bledy w dzialaniu wszystkich dotychczasowych rozwiazan na tej stronie z regulami dla SPF w allegro itp
Nie powinna nieprawidlowo oznaczac poprawnych maili – ale – uwagi zawsze mile widziane
Regula jest uniwersalna i mozna rozbudowywac o wlasne serwisy poza allegro, jednoczesnie moim zdaniem smialo moze zastapic wszystkie dotychczasowe o dhl, poczta polska, paczkomaty, czy tez allegro o blokadzie konta
Oczywiscie zawsze mozna ja rozbudowac o cos tam.
==================================================
# Znane serwisy SPF
header __ZABOJCASPAMU_SPF_S From:addr =~ m{/(allegro\.pl|ebay\.(com|pl|co\.uk|de|au)|aliexpress\.com)/$}mi
header __ZABOJCASPAMU_SPF_P From:addr =~ m{/(paypal\.(com|pl|co\.uk|de|au)|payu\.pl|alipay\.com|olx\.pl|gratka\.pl)/$}mi
header __ZABOJCASPAMU_SPF_F From:addr =~ m{/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/$}mi
meta __ZABOJCASPAMU_SPF_ALL __ZABOJCASPAMU_SPF_S || __ZABOJCASPAMU_SPF_P || __ZABOJCASPAMU_SPF_F
meta __ZABOJCASPAMU_SPF_SPF (T_SPF_TEMPERROR && T_SPF_HELO_TEMPERROR && !SPF_PASS) || SPF_FAIL
meta ZABOJCASPAMU_AUKCJE __ZABOJCASPAMU_SPF_SPF && __ZABOJCASPAMU_SPF_ALL
describe ZABOJCASPAMU_AUKCJE Brak podpisu SPF w serwisie
score ZABOJCASPAMU_AUKCJE 4.1
===============================================================
Jezeli admin nie bedzie mial nic przeciw – to proponuje przepisac ja do watku – bo w okienku z mailami formatowanie jest nie za ciekawe
Pozwolilem sobie na drobne modyfikacje: uednolicenie nazw, punktacji i dodanie serwisu dpd
===========================
# Znane serwisy SPF
header __ZABOJCASPAMU_SPF_S From:addr =~ m{/(allegro\.pl|ebay\.(com|pl|co\.uk|de|au)|aliexpress\.com)/$}mi
header __ZABOJCASPAMU_SPF_P From:addr =~ m{/(paypal\.(com|pl|co\.uk|de|au)|payu\.pl|alipay\.com|olx\.pl|gratka\.pl)/$}mi
header __ZABOJCASPAMU_SPF_F From:addr =~ m{/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl|kurierdpd\.com\.pl|dpd/.com/.pl)/$}mi
meta __ZABOJCASPAMU_SPF_ALL __ZABOJCASPAMU_SPF_S || __ZABOJCASPAMU_SPF_P || __ZABOJCASPAMU_SPF_F
meta __ZABOJCASPAMU_SPF_SPF (T_SPF_TEMPERROR && T_SPF_HELO_TEMPERROR && !SPF_PASS) || SPF_FAIL
meta ZABOJCASPAMU_SPF __ZABOJCASPAMU_SPF_SPF && __ZABOJCASPAMU_SPF_ALL
describe ZABOJCASPAMU_SPF Brak podpisu SPF w serwisie
score ZABOJCASPAMU_SPF 5.0
===========================
powinno byc
…… kurierdpd\.com\.pl|dpd\.com\.pl
🙂