Phising Allegro – uzupełnienie i poprawki.

jest to rozwiniecie tematu poprzedniej wiadomości  Takie małe podsumowanie pomysły usprawnienia i poprawki.

A może sprawdzać temat tylko?

Jak zauważył kolega Lemat w komentarzu można sprawdzać sam temat i nadawcę czy jest o zablokowaniu konta. czyli reguła wygląda tak:

header __ZABOJCASPAMU_ALLEGO_SUBJECT_1 From=~/allegro\.pl/
header __ZABOJCASPAMU_ALLEGO_SUBJECT_2 Subject =~ /(skrzynka|konto).*(zawieszon|zablokowan)/i
meta    ZABOJCASPAMU_ALLEGO_SUBJECT __ZABOJCASPAMU_ALLEGO_SUBJECT_1 && __ZABOJCASPAMU_ALLEGO_SUBJECT_2
describe ZABOJCASPAMU_ALLEGO_SUBJECT Blokowanie z allegro o zablokowaniu konta
score       ZABOJCASPAMU_ALLEGO_SUBJECT 10

Jeśli wiadomość idzie z allegro.pl i ma informacje o zablokowaniu konta pójdzie do spamu. Można samą regułę uzyć bez sprawdzania czy jest z allegro. Wtedy do spamu będzie trafiac wszystko co ma informacje o zablokowaniu konta(każdy mail). Nie jest to chyba dobry pomysl:) ale może ktoś chce:)

Wykorzystanie wbudowanego mechanizmu SPF

Można też sprawdzać SPF nie nagłówkami maila ale wbudowanym mechanizmem SPFa w SA. Tylko jak zawsze uwaga: serwer musi obsługiwać sprawdzanie SPFa. Inaczej dobre wiadomości będa trafiać do spamu. I następna uwaga. SPF wiadomo jakie ma wady i nie można go używać do ubijania spamu jako samodzielny test.(dlatego ma niską punktację). Ale uznajemy ze serwis Allegro nie forwardujej maili i ma wszystko dobrze skonfigurowane.

header __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM From=~/allegro\.pl/
meta    ZABOJCASPAMU_ALLEGO_SPF_INBUILD __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM && (SPF_FAIL || !SPF_PASS)
describe  ZABOJCASPAMU_ALLEGO_SPF_INBUILD Wbudowana reguła SPFa
score       ZABOJCASPAMU_ALLEGO_SPF_INBUILD 10

A może wykorzystać pole Received.

Tutaj też można poszaleć. W polu Received pojawiają się nazwy serwerów przez które przechodzi mail. Więc może to sprawdzać? Da się. Robimy sami pseudo SPFa:). Ważna jest spacja na koncu w drugiej regule aby ktos nie założyl serwera allegro.plfake.pl

header __ZABOJCASPAMU_ALLEGO_RECEIVED_1 From=~/allegro\.pl/
header __ZABOJCASPAMU_ALLEGO_RECEIVED_2 Received=~/allegro\.pl /
meta    ZABOJCASPAMU_ALLEGO_RECEIVED  __ZABOJCASPAMU_ALLEGO_RECEIVED_1 && !__ZABOJCASPAMU_ALLEGO_RECEIVED_2
describe   ZABOJCASPAMU_ALLEGO_RECEIVED Sprawdzanei Allegro przez  Received
score       ZABOJCASPAMU_ALLEGO_RECEIVED 10

I rzeźbimy w SPFie ręcznie

To jako ciekawostkę można podać. Znamy ustawienia SPFa allegro.

v=spf1 include:_spf.google.com include:spf.mandrillapp.com ip4:193.23.48.0/24 ip4:193.203.222.0/23 ip4:194.0.251.0/24 ip4:178.21.152.0/21 ip4:5.134.208.0/21 ip4:91.194.188.0/23 ip4:91.207.14.0/23  -all

Możemy ręcznie w polu Received sprawdzać IP czy jest jedną z wymienionych. Wadą tego rozwiązania jest oczywiście to, że zmiana we wpisie SPFa będzie powodować konieczność zmiany reguły. Odradzam uzywanie tej reguły ale można ją podać jako ciekawostkę. Nie ma wpisanych wszystkich IP ja ktoś chce używać musi dopisać pozostałe IP i dac punktacje powyżej 0

header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1 From=~/allegro\.pl/
header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2 Received=~/\[(193\.23\.48\.\d+|194\.0\.251\.\d+\]/
meta    ZABOJCASPAMU_ALLEGO_RECEIVEDIP  __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1& !__ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2
describe   ZABOJCASPAMU_ALLEGO_RECEIVEDIP Sprawdzanei Allegro przez  Received
score       ZABOJCASPAMU_ALLEGO_RECEIVEDIP  0

 

Tym oto sposobem chyba wszystkie możliwe sposoby sprawdzania maili czy idą z dobrego serwera. Można je wykorzystać do tworzenia własnych reguł do innych serwisów.

Tutaj więcej kilka uwag o podszywaniu się .

 

 

 

 

12 thoughts on “Phising Allegro – uzupełnienie i poprawki.

  1. header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1 From=~/allegro\.pl/
    header __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2 Received=~/\[(193\.23\.48\.\d+|194\.0\.251\.\d+\]/
    meta ZABOJCASPAMU_ALLEGO_RECEIVEDIP __ZABOJCASPAMU_ALLEGO_RECEIVEDIP_1& !__ZABOJCASPAMU_ALLEGO_RECEIVEDIP_2
    describe ZABOJCASPAMU_ALLEGO_RECEIVEDIP Sprawdzanei Allegro przez Received
    score ZABOJCASPAMU_ALLEGO_RECEIVEDIP 0

    takie watpliwosci
    badanie ip > bez spf ?
    score 0 ? to sorki – ale to jakas sztuka dla sztuki ?

  2. __ZABOJCASPAMU_ALLEGO_SPF_INBUILD

    ubija prawidlowe maile z powiadomien – nie uzywac 🙂 w obecnej postaci
    mysle ze za duzo chciano zbadac, dziala w postaci ponizszej
    ======================
    header __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM From=~/allegro\.pl/
    meta ZABOJCASPAMU_ALLEGO_SPF_INBUILD __ZABOJCASPAMU_ALLEGO_SPF_INBUILD_FROM && SPF_FAIL
    describe ZABOJCASPAMU_ALLEGO_SPF_INBUILD Wbudowana reguła SPFa
    score ZABOJCASPAMU_ALLEGO_SPF_INBUILD 10

  3. znodyfikowalem i przestestowalem pod katem ze nie blokuje prawidlowych maili
    proponuje regule dla systemow aukcyjnych (te ktore znam i maja wpisy w dns)
    =====================================================================
    # Serwisy aukcyjne SPF
    header __ZABOJCASPAMU_AUKCJE_SPF From=~/(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/
    meta ZABOJCASPAMU_AUKCJE_SPF __ZABOJCASPAMU_AUKCJE && SPF_FAIL
    describe ZABOJCASPAMU_AUKCJE_SPF Blad reguły SPF – prawdopodobnie phishing serwisu aukcyjnego
    score ZABOJCASPAMU_AUKCJE_SPF 4

    # Serwisy aukcyjne DKIM
    header __ZABOJCASPAMU_AUKCJE_DKIM From=~/(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/
    header __ZABOJCASPAMU_AUKCJE_EXISTS_D DKIM-Signature=~/d=(allegro\.pl|ebay\.com|ebay\.co\.uk|ebay\.pl|aliexpress\.com)/m
    meta ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS __ZABOJCASPAMU_AUKCJE_DKIM && ! __ZABOJCASPAMU_AUKCJE_DKIM_EXISTS_D
    describe ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS Brak podpisu DKIM w serwisie aukcyjnym
    score ZABOJCASPAMU_AUKCJE_DKIM_NO_EXISTS 4
    ========
    Ja u siebie dodalem do tego rowniez paypala, ale mozna by utworzyc osobny zestaw dla systemow platnosci – payu paypal itp

    1. Zaiste nie wiem czemu miałaby nie działać ta reguła we wpisie.Jest ok. Chyba ze komus zawsze wyskakuje SPF_PASS pozywtynie.

      1. moze dlatego, ze polecenie SPF_PASS jest nie zawsze realne, o czym przekonalem sie na wlasnej skorze, bo zamiast tego potrafi wyskoczyc T_SPF_TEMPERROR i masa dobrych maili wyladowala mi oznaczonych jako spam (dobrze ze nie do /dev/null – przed czym zreszta juz przestrzegalem)
        Przestrzegam wiec przed uzyciem – zwlaszcza ze punktacja bardzo wysoka !
        ============
        Moja powyzej propozycja na regex , tez nie jest niestety dobra, ale
        zamieszcze za chwile swoja nowa regule w tym temacie
        ========
        Z tego samego powodu – ostrzegam ze zamieszczona w regulach procedury dla poczty polskiej i kilka innych z spf_pass – BEDZIE w pewnych warunkach uwalac poprawne maile wiec nie powinno sie ich uzywac, a jesli juz to z jakas punktacja okolo 1 pkt ! – na pewno nie 10
        Przykro mi, ze zapewne sadzisz, ze wywalam Twoja prace do gory nogami i neguje zatwierdzone juz regex – ale sadze, ze moze byc szereg osob ktore nie testuja tego tak jak ja ostatnio i stosuja bezkrytycznie
        Po to zreszta jest forum – aby sie poprawiac wzajemnie – dazac do nieosiagalnej doskonalosci
        🙂

        1. Problem SPF u temerror to temat rzeka. Podobnie z DKIMem. pisalem o tym w kilku zdaniach ale chyba czas rowinac temat.
          Coz… DNS jest jaki jest i lepszy nie bedzie. Ale dzieki za zwrócenie uwagi i za czujnosć:)

  4. To moja wersja sprawdzania SPF, uwzgledniajaca zauwazone bledy w dzialaniu wszystkich dotychczasowych rozwiazan na tej stronie z regulami dla SPF w allegro itp
    Nie powinna nieprawidlowo oznaczac poprawnych maili – ale – uwagi zawsze mile widziane
    Regula jest uniwersalna i mozna rozbudowywac o wlasne serwisy poza allegro, jednoczesnie moim zdaniem smialo moze zastapic wszystkie dotychczasowe o dhl, poczta polska, paczkomaty, czy tez allegro o blokadzie konta
    Oczywiscie zawsze mozna ja rozbudowac o cos tam.
    ==================================================
    # Znane serwisy SPF
    header __ZABOJCASPAMU_SPF_S From:addr =~ m{/(allegro\.pl|ebay\.(com|pl|co\.uk|de|au)|aliexpress\.com)/$}mi
    header __ZABOJCASPAMU_SPF_P From:addr =~ m{/(paypal\.(com|pl|co\.uk|de|au)|payu\.pl|alipay\.com|olx\.pl|gratka\.pl)/$}mi
    header __ZABOJCASPAMU_SPF_F From:addr =~ m{/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/$}mi

    meta __ZABOJCASPAMU_SPF_ALL __ZABOJCASPAMU_SPF_S || __ZABOJCASPAMU_SPF_P || __ZABOJCASPAMU_SPF_F

    meta __ZABOJCASPAMU_SPF_SPF (T_SPF_TEMPERROR && T_SPF_HELO_TEMPERROR && !SPF_PASS) || SPF_FAIL
    meta ZABOJCASPAMU_AUKCJE __ZABOJCASPAMU_SPF_SPF && __ZABOJCASPAMU_SPF_ALL
    describe ZABOJCASPAMU_AUKCJE Brak podpisu SPF w serwisie
    score ZABOJCASPAMU_AUKCJE 4.1
    ===============================================================
    Jezeli admin nie bedzie mial nic przeciw – to proponuje przepisac ja do watku – bo w okienku z mailami formatowanie jest nie za ciekawe

  5. Pozwolilem sobie na drobne modyfikacje: uednolicenie nazw, punktacji i dodanie serwisu dpd
    ===========================
    # Znane serwisy SPF
    header __ZABOJCASPAMU_SPF_S From:addr =~ m{/(allegro\.pl|ebay\.(com|pl|co\.uk|de|au)|aliexpress\.com)/$}mi
    header __ZABOJCASPAMU_SPF_P From:addr =~ m{/(paypal\.(com|pl|co\.uk|de|au)|payu\.pl|alipay\.com|olx\.pl|gratka\.pl)/$}mi
    header __ZABOJCASPAMU_SPF_F From:addr =~ m{/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl|kurierdpd\.com\.pl|dpd/.com/.pl)/$}mi

    meta __ZABOJCASPAMU_SPF_ALL __ZABOJCASPAMU_SPF_S || __ZABOJCASPAMU_SPF_P || __ZABOJCASPAMU_SPF_F
    meta __ZABOJCASPAMU_SPF_SPF (T_SPF_TEMPERROR && T_SPF_HELO_TEMPERROR && !SPF_PASS) || SPF_FAIL
    meta ZABOJCASPAMU_SPF __ZABOJCASPAMU_SPF_SPF && __ZABOJCASPAMU_SPF_ALL
    describe ZABOJCASPAMU_SPF Brak podpisu SPF w serwisie
    score ZABOJCASPAMU_SPF 5.0
    ===========================

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *