Spam z polem From bez domeny.Dziś szczere zaskoczeni na mym licu. Zaczął przechodzić spam z polem Return-Path: <> i polem From bez domeny, czyli From: costamjest@. Szczere zaskoczenie czemu przechodzi skoro ma ja byk reject_non_fqdn_sender i nawet reject_unknown_sender_domain i jest dobrze skonfigurowany. Zagadka do rozwiązania w komentarzach:) Kto pierwszy udzieli prawidłowej odpowiedzi to udzieli prawidłowej odpowiedzi:)
Cechy charakterystyczne to:
- w treści jest mail do domeny @mail.com (ostatnia fraza w mailu), za każdym razem inny
- tematy o możliwym zarobku: Ulepszycie wasza materialnasytuacje,Mozliwosc zatrudnienia,Zacznijcie wasza kariere,wasz dodatkowy zarobek itd (nie ma w nich polskich znakow)
- Message-ID z domeny odbiorcy
A oto reguła bez sprawdzania Message-ID (jak ktoś chce może dodać warunek)
header __ZABOJCASPAMU_FROM_NO_DOMAIN1 Return-Path=~/<>/ header __ZABOJCASPAMU_FROM_NO_DOMAIN2 From:addr=~/\@\s*$/ meta ZABOJCASPAMU_FROM_NO_DOMAIN __ZABOJCASPAMU_FROM_NO_DOMAIN1 && __ZABOJCASPAMU_FROM_NO_DOMAIN2 describe ZABOJCASPAMU_FROM_NO_DOMAIN Pole Return-Path <> a From:addr bez domeny score ZABOJCASPAMU_FROM_NO_DOMAIN 10
A oto przykładowy spam:
No to iście ciekawostka 😉 stawiam na babola w konfie lub w kolejności jakiejś reguły ;P
sprawdzilem pobieznie i nie. Wczesniej to sie nie dzialo, inna jest prawdopodbna odp:)
bo „From:” to jest nagłówek, a reject_non_fqdn_sender i reject_unknown_sender_domain działają w sesji zanim zostanie przesłana treść listu wraz z z nagłówkami. Aby sprawdzić „From: ” trzeba by albo header_checks albo jakiegoś content-filtra typu amavis+spamassassin.
Ponadto pusty sesyjny nadawca „mail from:” oznacza (oznaczało pierwotnie) zwrotkę o niedostarczeniu wiadomości i dlatego wszelkie checki na sendera nie działają – inaczej: pusty sender nie pasuje do żadnego wzorca.
Na Lemata zawsze można liczyc:) Jak sam to zauważylem to sie zdziwiłem, ze nikt nie próbował takie spamu wysyłać. Obejdzie parę reguł i może dośc do adresata. O ile wcześnie nie zatrzyma go SA
Ano właśnie 😉 Nawet nie brałem tego pod uwagę bo uznałem za „oczywistą oczywistość”, że takowe sprawdzanie headerów też masz ;-P.
Dziś trafiła do mnie taka wiadomość:
Return-Path:
From: „Admin”
Received: from server21.websiteplex.com (unknown [66.23.237.186])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
Received: from [41.138.178.34] (port=51618)
by server21.websiteplex.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.85)
id 1ZEWVs-000B9Z-Vw
Subject: Re: Your e-mail account limit alert !!
Dear *,
1969MB 2000MB
We noticed your e-mail account has almost exceed it’s limit. And you may =
not be able to send or receive messages any moment from now, Click Here to =
renew your account. NOTICE: failure to renew your e-mail account. It w=
ill be permanently disabled. Thanks, Account Service
Istnieje jakiś sposób jej wyłapania poza tematem czy treścią maila ?
W Return-Patch: i za „Admin” były nawiasy ostre
Średnio. trzeba szukać częsci wspólnych a te maja tylko często temat. Może jakis RBL dodac? Tylko pole From mi przychodzi do głowy ze slowem Admin może podbić lekko punktacje
Dodałem wyłapywanie po treści i RBL barracudacentral który miał IP nadawcy na liście. Dzięki.