» »

SMTP Relay; delovanje boot, ki to izkoriscajo

SMTP Relay; delovanje boot, ki to izkoriscajo

Microsoft ::

Postavil sem si SMTP streznik, do pred kratkega je imel onemogocen relay. In sem gledal log, kaj se dogaja:

81.36.60.67 67.Red-81-36-60.dynamicIP.rima-tde.net HELO +67.Red-81-36-60.dynamicIP.rima-tde.net
81.36.60.67 67.Red-81-36-60.dynamicIP.rima-tde.net MAIL +FROM:+ branch@babes.net
81.36.60.67 67.Red-81-36-60.dynamicIP.rima-tde.net RCPT +TO:+miha@vvv.streznik.org
81.36.60.67 67.Red-81-36-60.dynamicIP.rima-tde.net QUIT 67.Red-81-36-60.dynamicIP.rima-tde.net


Skratka, poveze se gor, in do RCPT komande gre vse normalno. Ker pa server ni (bil) Relay, so ocitno tile booti tolko pametni, da to znajo prebrat (kar ti tudi izpise, cer gres recimo z telnetom gor), je njegov korak prerosto QUIT komanda in se tako poslovi.

Ker pa bi rad ulovil nekaj teh bootov, sem omogocil Relay. Amapk, ker nocem postati cisto pravi Relay, sem spremnil pravice na Queue folderju, tako da mail tam obtici. Problem pa nastane, ker bo to sporocilo dobil tudi boot:
554 Server said: 452 4.3.1 Out of memory

Zdej me pa zanima, ce so ti booti tolko pametni, da znajo tole prebrat in jih bo takle sporocilo odvrnil od nadaljnega spamanja?

Ker ideja je ta, da bi postavil neke vrste fake SMTP Relay in zbiral te streznike. Nekaj jih ze imam zbranih v Smtp.txt datoteki, samo rad bi stvr peljal se naprej.
Poleg tega delam nek program, ki bi bil sposoben tele IPje peljat cez Reverse DNS, da bi dobil se domeno. To je zlo pomembno, ker nekateri booti se predstavljajo kot "localhost", namesto kot kak recimo "BSN-12-34-567.dsl.siol.net". No in potem, ko bi imel IPje in domene, bi to avtomasko uvozil v SMTP block listo na serverju.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

64202 ::

> Ker ideja je ta, da bi postavil neke vrste fake SMTP Relay in zbiral te streznike. Nekaj jih ze imam zbranih v Smtp.txt datoteki, samo rad bi stvr peljal se naprej. Poleg tega delam nek program, ki bi bil sposoben tele IPje peljat cez Reverse DNS, da bi dobil se domeno.

Hehe, to bo se en flamewar o enovrsticni bash skripti :D

> To je zlo pomembno, ker nekateri booti se predstavljajo kot "localhost", namesto kot kak recimo "BSN-12-34-567.dsl.siol.net". No in potem, ko bi imel IPje in domene, bi to avtomasko uvozil v SMTP block listo na serverju.

Pusti reverse dns, ker ti nic ne koristi, pa daj IP za 24 ur v firewall, da ti rejecta vse od tam. Ce ze hoces nekaj narest. Pa pazi da te ne bo server ven zaprl, ce kaj testiras :D
I am NaN, I am a free man!

Microsoft ::

Zakaj reverse DNS naj ene bi nic koristil? A ni tako, da ce jst blokiram domeno "tra.la" in potem za vsako povezavo dobim ta DNS in ce se ujema, zavrne povezavo?:\

On obash. Ma dober, jst rad programiram, skipte nimam tolko rad.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

64202 ::

Boti so vecinoma na zombi masinah, ti pa nimajo kaj prida uporaben reverse dns. Itak ga v 50% admini sploh ne nastavjo ali ga pa celo nastavjo na kako neumnost. Obcasno naletis se na kak taprav mail server, ki nima porihtan rdns.
I am NaN, I am a free man!

OmegaBlue ::

Sej je fletno da se trudiš ampak zakaj?


Kaj je narobe že z obstoječimi listami?
Never attribute to malice that which can be adequately explained by stupidity.

Bakunin ::

omega -

nekatere RBL so malo prevec "agilne".
Jaz uporabljam samo tiste, ki imajo preprost sistem odjave (e-posta ali splet), ker sicer je v listi prevec "false positives" - ljudje, ki se ne znajo/ne morejo odjaviti, ker so pravila odjave butasta.


uporabljam pa:

reject_rhsbl_sender bogusmx.rfc-ignorant.org

s tem se resim vseh, ki imajo za MX vpisane localhost, ., 127.0.0.1, 192.168.* ipd....

RBL, ki so zelo konzervativni:

reject_rbl_client relays.ordb.org
reject_rbl_client list.dsbl.org

namesto dsn.rfc-ignorant pa raje uporabim tole:

smtpd_data_restrictions =
reject_multi_recipient_bounce
reject_unauth_pipelining
permit

kar pa se reverse IP (PTR) tice - je pa se kako uporaben, ko vrli dialup/dsl/catv Janezi Novaki dobijo virus/spam/trojanca in ga (nevede) sirijo dalje:

check_client_access hash:/etc/postfix/client_access

client_access:
#good guy
BSN-77-158-111.dsl.siol.net OK
#viroze
dsl.siol.net 554 Uporabite streznik smtpl.siol.net za odhodno posto ali si uredite 'povratni naslov' za vas IP.
dial-up.volja.net 554 Uporabite streznik smtp.volja.net za odhodno posto.
dial-up.arnes.si 554 Uporabite streznik mail.arnes.si za odhodno posto.
....

64202 ::

> kar pa se reverse IP (PTR) tice - je pa se kako uporaben, ko vrli dialup/dsl/catv Janezi Novaki dobijo virus/spam/trojanca in ga (nevede) sirijo dalje:

> check_client_access hash:/etc/postfix/client_access

> client_access:
> #good guy
> BSN-77-158-111.dsl.siol.net OK
> #viroze
> dsl.siol.net 554 Uporabite streznik smtpl.siol.net za odhodno posto ali si uredite 'povratni naslov' za vas IP.
> dial-up.volja.net 554 Uporabite streznik smtp.volja.net za odhodno posto.
> dial-up.arnes.si 554 Uporabite streznik mail.arnes.si za odhodno posto.

Kolikor sem razumel, MS hoce avtomatizirat grajenje takih pravil, rdns je pa prevec nezanesljiv za kaj takega.
I am NaN, I am a free man!

Microsoft ::

Ja jst bi tko zgradil listo IPjev, ki bi bili ocitno spam. Namrec, jst nimam nekega mejla na tem serverju, tko da je dokaj sigurno, da kdor je prisel gor in posilja maile naokrog, je boot, ki poskusa preko tega serverja relay-at.
Poleg IPjev bi naredil se tisto PTR listo, s katero bi si verjetno lahko tudi kaj pomagal. Namrec, kot sem ze zgoraj napisal, se nekateri predstavljajo kot "localhost", ceprav to itak da niso. Ali pa kot smtp externi IP. No, z listo PRT in preizkusom vsakega IPja bi se te lahko resil. Recimo, blokiras celo omrezje z RPT "dsl.siol.net" in "dial-up.siol.net". Od tam nima kaj prihajat mail.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Bakunin ::

boot ? verjetno mislis (ro)bot.
RPT ? PTR

>preko tega serverja relay-at.

ali pa kar nanj.

> predstavljajo kot "localhost", ceprav to itak da niso.

Ti ocitno nisi se videl smeti, ki jih posiljajo outlook e-postni odjemalci (MUA).
outlook pobere ime racunalnika in tisto uporabi pri HELO/EHLO pozdravu.
HELO ali EHLO ne rabi nujno imeti FQDN ime. Precej zato, ker so v intranet omrezju in res nimajo Internet IP/hostname.

Microsoft - priporocam ti da preberes rfc2821/2822 in zvedel bos kako sploh poteka komunikacija na smtp.

postfix (THE MTA) ima to lepo strukturirano:

client restrictions
helo ...
sender ...
receiver..
data..

Po RFC ne smes zavrniti komunikacije pred receiver (RCPT TO...), ker je "nevljudno". Po drugi strani pa so taksni hosti (clienti) nevljudni - "so piss off".

vec info tukaj.
honeypot si pa lahko preprosto naredis - izklopis vsa preverjanja, vse prenose (lokalno in relay) pa das v NUL:.

Zgodovina sprememb…

  • spremenil: Bakunin ()

Bakunin ::

64202
...
>> dial-up.arnes.si 554 Uporabite streznik mail.arnes.si za odhodno posto.
>Kolikor sem razumel, MS hoce avtomatizirat grajenje takih pravil, rdns je pa prevec nezanesljiv za kaj takega.

Ne vem zakaj bi moral za nekaj, kar je ze iz PTR razvidno, da ni nek "resen" streznik/host, ampak dialup/dsl/catv, sploh delati posebaj pravila za blokado. V tem primeru je PTR zapis se kako dober. Preverjeno v praksi (ISP). >:D

64202 ::

Sem ze videl tudi resne[tm] serverje s fuc ptrjem
I am NaN, I am a free man!

Bakunin ::

jaz se nisem zasledil nic resnega kar bi imeli dialup/dsl/catv ipd. v PTR zapisu.
Sploh pa v Sloveniji, kjer je dovolj (za siol) eno sporocilo na dns@siol.net.

tako locis pleve od semena....

64202 ::

Mislil sem na neobstojec ptr
I am NaN, I am a free man!

Bakunin ::

Zgodovina sprememb…

  • spremenil: Bakunin ()

BigWhale ::

Miha,

Zakaj pises o skornjih?

BigWhale ::

Hm, postfix moras pokvarit, ce hoces, da bo delal z Outlookom.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

[Ubuntu server] mail poslan iz serverja zazna kot vsiljeno pošto (strani: 1 2 )

Oddelek: Omrežja in internet
798511 (7481) shorvat
»

Postfix MX lookup

Oddelek: Omrežja in internet
252191 (1790) Bakunin
»

Filtriranje spama čez blackliste (RBL), (spamcop, sorbs, ...)

Oddelek: Omrežja in internet
61921 (1749) Bakunin
»

Zaščita proti spamu: blokirajmo cel kontinent

Oddelek: Novice / Varnost
334349 (2966) Ziga Dolhar
»

blacklisted: list.dsbl.org

Oddelek: Omrežja in internet
152203 (2002) Bakunin

Več podobnih tem