Przykład z życia wzięty. Pewnego dnia firma w której pracuje dostaje maila, że pracownik złożył zamówienie przy pomocy maila (lub potwierdził je) i „proszę zapłacić”. I faktycznie taki człowiek u nas pracuje ale na pewno by nie złożył takiego zamówienie, Powód? Była to rzecz całkowicie niepotrzebna, usługa w jakimś rejestrze. Sprawa śmierdzi na odległość.
Pierwsze pytanie: proszę wysłać mail z zamówienie i tu Pani po drugiej stronie „Ze nie może całych nagłówków” ale część. I tu ciekawostka druga imię nazwisko nadawcy się zgadzało ale adres IP już nie końca. Firma się przenosiła i zmieniała numery IP. Data nadania była z nowej siedziby a adresy IP ze starej. Czyli nagłówki spreparowane i próba wymuszenie kasy tak naprawdę. Firma badziew próbowała zrobić ta akcję kilka miesięcy po rzekomym zamówieniu licząc na brak logów zapewne.
Wniosków jest kilka: czasem dobrze mieć szczęście:) A poważnie to łatwo i bez problemów można spreparować nagłówki i treść maila. Jeśli się ma jednego maila z firmy (np autoresponder) nie ma problemów z takim wygenerowaniem fałszywki.nagłówki i treść. Wyjątek stanowi właśnie podpis cyfrowym DKIM. Jego nie da się podrobić.
Takie przemyślenia i zachęcam do wdrożenie podpisu który opisałem już na blogu
Mnie kiedyś pkt tak przerobiła (Polskie książki telefoniczne), stąd polecam trzymać się i od nich z dala. Różnica była taka, że zadzwonili do mnie i zapytali, czy jesteśmy (firma) chętni na wpis do ich katalogu, powiedziałem, że zastanowię się, a oni wysłali od razu fv do zapłaty. Dzwoniłem z wyjaśnieniem i odpowiedzieli mi, że było złożone zamówienie telefoniczne, a nagranych rozmów nikomu nie udostępniają (rozmowy nagrywają bo takie info słychać prze połączeniem). Jak ustrzec się prze takim ku…wem? kiedy żadna sprawa sadowa praktycznie nie ma racji powodzenia, bo powiedzą że rozmowa się nie nagrała, wcięło plik z nagraniem itp. Koszt opłaty natomiast za ten wpis (około 700zł) jest zbyt mały, aby sądowi i Państwu opłaciło się zlecać analizę rozmów w firmie teklefonicznej – niska szkodliwość.
A nie jest tak, ze oni muszą udowodnić, ze złożone było zamówienie? Bo chyba tak powinno byc ale trzeba by prawnika pytac
Polecam poszukać informacji o anonser.pl (i przy okazji trzymać się od nich jak najdalej, chociaż i to nie zawsze pomaga). Tam to działa trochę inaczej – przysyłają e-mail o niby-darmowej aktualizacji danych (które, jak mówią różne plotki, mają właśnie z PKT). Na pierwszy rzut oka wszystko się może zgadzać, a za pół roku/rok/dwa dostajesz z e-sądu nakaz zapłaty na kwoty od 100-kilkunastu do prawie 2k zł (różne wersje). U nas „zamówienie” na ich „usługi” było „niby” w lutym, a fakturę wystawili… w październiku. Z sieci szybko znikają wszelkie nieprzychylne im komentarze.
a faktycznie można znależć o nich w sieci. Niezbyt przyjemne działanie.
No właśnie nie wiem, czy muszą udowodnić ale szli na pewniaka, więc może nie koniecznie.
Kolejna sprawa to odnośnie samego DKIM, to da się to jakoś sprawdzać dla każdego możliwego maila, czy ma DKIM i czy przechodzi ta weryfikację, aby odfiltrować fake z każdego możliwego maila?
Całkiem mozliwe, ze ich pójscie na pewniaka cie zmylilo:) ale chamowa straszna.
Dobre pytanie…Można plugin DKIM i on (chyba) wtedy sprawdza, ALe z DKIM jest kilka problemów. Co sie stanie jak niby jest DKIM w nagłówku a DNS nie odpowiada poprawnym polem (bo ktos grzebnąl i przestało działać). Albo jest wpis w DNSie a nie ma w mailu? Może lepiej zebrać najpopularnijsze serwery co uzywaja podpisu i je sprawdzać.
Prawde mówiąc nie wgryzałem sie w ten temat: sprawdzać wszystko.
Takie pytanie. Zarejestrowałem ostatnio konto na elektroda.pl i mail aktywacyjny od nich trafił do spamu. Wtyczka w thunderbirdzie pokazała brak prawidłowej sygnatury DKIM (DKIM świecił na czerwono). do maila dołączone było w nagłówku:
X-Spam-Flag: YES
X-Spam-Score: 5.412
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.412 tagged_above=1 required=4.5
tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
FUZZY_CREDIT=1.413, LOCAL_X_PHP_Originating=4, SPF_HELO_PASS=-0.001,
SPF_PASS=-0.001, URIBL_BLOCKED=0.001,
ZABOJCASPAMU_X_PHP_Originating=0.1] autolearn=no autolearn_force=no
Kolejne maile od nich już były ok i DKIM świecił się na zielono, czyli Sygnatura była ok. Jak mi napisali winne temu są jak to określili szalone reguły:
DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
FUZZY_CREDIT=1.413, LOCAL_X_PHP_Originating=4, SPF_HELO_PASS=-0.001,
SPF_PASS=-0.001, URIBL_BLOCKED=0.001,
ZABOJCASPAMU_X_PHP_Originating=0.1
Czy to możliwe, że dzięki nim mail trafił do spamu, a plugin Thunderbirda stwierdził Invalid (Signature wrong) ?
A moze trafil do spamu bo TB sie uczy i tak sie nauczył i ten zaklasyfikowal jako spam.
Punktacja 5.4 pokazuje ze nie powinno byc ubite(jesli masz standardową). DKIM w SA pokazuje ze VALID. Ciezko powiedziec tak bo nie zakladalem konta tam
Poprzez TB rozumiesz Thunder Birda? 🙂 Jeśli tak, to nieprawdopodobne, aby za spam go uznał klient pocztowy, bo to sam SA oflagował go jako spam, więc to coś samemu Spamassassinowi musiało się w nim nie spodobać mimo wysokiej punktacji (ustawienia punktacji mam standardowe).
Thunderbird nie dokleja treści do tematu wiadomości, w tym wypadku ***SPAM**, a oznacza go takim płomieniem jako wiadomość potencjalnie nie pożądaną. Ten jednak został oznaczony przez Spamassassina ***SPAM***. Nic założę kolejnego maila i założę raz jeszcze tam konto i zobaczę, czy da ten sam efekt, może administrator wkleił nieprawidłowy klucz i poprawił dopiero po mojej interwencji zrzucając winę na filtry SA?. Taka opcja także istnieje.
Właśnie założyłem kolejnego maila w tej samej domenie i założyłem u nich konto, tym razem email przyszedł już prawidłowo, nie otagowało go jako ***SPAM*** DKIM się zweryfikował. Przypadek? 🙂
Nie sądze:) naprawiłeś im serwer:)