» »

Undelivered Mail Returned to Sender

Undelivered Mail Returned to Sender

dmok ::

Ko odgovorim na sporočilo, ki sem ga dobil iz naslova info@podjetje.si (primer) dobim odgovor:

This is the mail system at host smtp-good-out-2.t-2.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

forward2office4@mail.ua: host mxs.mail.ru[94.100.180.104] said: 550 spam
message rejected.


Ampak v sporočilu na katerega odgovarjam ni nikjer naslova "forward2office4@mail.ua". Kaj bi lahko bilo narobe ?

Pravi naslovnik sporočila (info@podjetje.si) sicer dobi moj odgovor.

d.

pegasus ::

Torej naslovnik vede ali nevede forwardira prejete maile še v rusijo in ker si pošiljatelj ti, dobiš info o nedostavi.

mirator ::

Če si odgovarjal na sporočilo pod "odgovori vsem", potem so tvoj odgovor dobili samo nekateri, nekateri pa ne. Vzrok tega je, da ima tvoj direkten pošiljatelj v svojem portfelju posamezne naslove pod svojim imenom.

dmok ::

Nisem odgovoril z "Odgovori vsem". Na seznamu prejemnikov sem samo jaz. Preveril sem pošiljateljeve nastavitve na T-2 in nikjer nima vključenega posredovanja sporočil. Kaj bi še lahko preveril ?

ToniT ::

Ali imaš kje pri sebi kako nastavitev, da pošlje kopijo na ruski naslov.
Katerega klienta za pošto uporabljaš?

dmok ::

Uporabljam Thunderbird. Preizkusili smo iPhone mail, Outlook, GMail na Androidu. Kdorkoli (gre za mail podjetja) odgovori na mail iz tega naslova dobi nazaj enako sporočilo. V bistvu je več naslovov in na vseh so naenkrat enake težave.

pegasus ::

Še enkrat: naslovnik vede ali nevede forwardira prejete maile še v rusijo in ker si pošiljatelj ti, dobiš info o nedostavi.

Problem je pri naslovniku in ne pri pošiljatelju.

dmok ::

pegasus je izjavil:

Še enkrat: naslovnik vede ali nevede forwardira prejete maile še v rusijo in ker si pošiljatelj ti, dobiš info o nedostavi.
Problem je pri naslovniku in ne pri pošiljatelju.


Razumem. Poskušam pomagati naslovniku. Preverila sva nastavitve poštnega strežnika in tam je forwardiranje izključeno. Ne vem, kaj bi še lahko preveril.

d.

Zgodovina sprememb…

  • spremenil: dmok ()

pegasus ::

Trojanci, spyware etc?

dmok ::

Ampak kje ? Kako deluje ta zavrnitev, a ni vse to na nivoju poštnega strežnika ?

Gagatronix ::

.ua je ukrajinski TLD, samo toliko za info. In ja, svinjarija je na prejemnikovi strani.

jukoz ::

Kje pa je mailserver? Ga ima podjetje in ga administrirajo sami, ali ga nekje najema?

dmok ::

Domena je bila registrirana preko T2 in vse je tam. Nimajo svojega poštnega strežnika.

SeMiNeSanja ::

Pošiljatelj ima svoj mail server na T2 in prejemnik tudi?

Dobiš sporočilo o nedostavljivosti ko narediš 'replay' ali 'reply all' - ali tudi, kadar sestaviš čisto novo sporočilo?

Če le v pri reply-u, potem analiziraj headerje v prejetem mailu na katerega odgovarjaš, da ni že tam 'inficiran' z naslovom, ki ni dostavljiv.

Druga opcija je, da ima prejemnik 'inficiran' account, tako da se je nekdo na njemu dodal kot forward naslov. To se najlažje zgodi, če imaš hudo šibko geslo, ki se ga najde v različnih zbirkah gesel.
Če kaj forwardira na strežniku naj preveri v nastavitvah maila na strežniku. Če ne ve kako in kaj, naj se poveže z helpdeskom ali piše na postmaster-ja.

Tretja opcija je, da ima prejemnik okužen računalnik/odjemalec za mail, pa ta potem posreduje vso prejeto pošto naprej na 3. osebo.

Če imaš sodobno požarno pregrado, se lahko logira kdo je komu pošiljal maile in se točno vidi, kdo je ali ni pošiljal maile na *.ua. Če tega ni počel nihče, ne na strani pošiljatelja, niti na strani prejemnika, potem je problem lahko edino še na T-2 strežnikih in (verjetno) uporabnikovih nastavitvah forwardinga.

Da bi se mail 'kloniral' nekje vmes, pa praktično ni mogoče.

Če ste na obeh straneh - prejemnik in pošiljatelj podjetja, potem morda imate kakšno požarno pregrado in lahko nekoliko pobrskate po logih. V skrajni sili si kakšno sposodite za dan ali dva.

Sicer bi lahko tudi visel na mreži z wireshark-om....vendar je ta opcija precej bolj neugodna za odkrivati takšne dogodke, še toliko bolj, če gre mail preko smtps ven, noter pa preko imaps ali pop3s. Poleg tega moraš znati upravljati z Wireshark-om.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

dmok ::

SeMiNeSanja je izjavil:

Dobiš sporočilo o nedostavljivosti ko narediš 'replay' ali 'reply all' - ali tudi, kadar sestaviš čisto novo sporočilo?

Samo, ko naredim "reply". Ko pošljem novo sporočilo ne dobim ničesar nazaj.

SeMiNeSanja je izjavil:

Če le v pri reply-u, potem analiziraj headerje v prejetem mailu na katerega odgovarjaš, da ni že tam 'inficiran' z naslovom, ki ni dostavljiv.

Sem in nikjer ne vidim nič problematičnega. Na katere headerje moram biti pozoren ? Tole so vsi headerji v sporočilu, na katerega odgovarjam. Vsebino sem pobrisal, ampak nikjer se ne pojavlja noben neznan mail: 
From - Tue May 26 13:38:57 2020
X-Account-Key: 
X-UIDL: 
X-Mozilla-Status: 
X-Mozilla-Status2: 
X-Mozilla-Keys:                                                                                 
Delivered-To: 
Received: 
X-Google-Smtp-Source: 
X-Received:
ARC-Seal:
ARC-Message-Signature:
ARC-Authentication-Results:
Return-Path:
Received: 
Received-SPF: 
Authentication-Results: 
Received: 
Received: 
X-Virus-Scanned:
Received: 
Received: 
From: 
To: 
Subject: 
Date: 
Message-ID: 
MIME-Version: 
X-Mailer: 
Thread-Index: 
Content-Language:


SeMiNeSanja je izjavil:

Tretja opcija je, da ima prejemnik okužen računalnik/odjemalec za mail, pa ta potem posreduje vso prejeto pošto naprej na 3. osebo.

Prejemnikov je več na različnih koncih (stranke) in dvomim, da bi vsi naenkrat dobili enako okužbo. Bom pa še preveril.

Na T2 smo že povprašali, čakamo odgovor.

SeMiNeSanja ::

Če je reply-to: all - in je teh "All" več, potem bi bilo treba vsakega od udeležencev vzeti pod drobnogled.

Načeloma, če bi ročno poslal mail enemu po enemu od teh, na katere se mail trosi naprej (brez distribucijske liste/aliasa z več uporabniki), bi se tudi morda pokazalo, pri kateremu od njih dejansko pride do forwardiranja na neznani naslov.

Morda bi najprej preizkusili to metodo - za obe strani (enkrat nekdo na vaši strani pošlje vsakemu na drugi strani individualno sporočilo, nato pa z druge strani nekdo vsakemu na vaši strani). Če nimaš drugih logov (mail server logi bi lahko kaj izdali - a so na T-2...) si pač moraš pomagat z malo kmečke logike. je malenkost daljša pot, bi pa rvno tako morala na koncu pokazati kje tiči problem.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

dmok ::

Smo rešili. Zadeva je bila precej banalna: T2 ima možnost nastavitve filtrov za sporočila in med temi filtri se je pojavil FW na naslov forward2office4@mail.ua. Filter sem pobrisal in zdaj je vse OK. Bomo pa spremenili vsa gesla. Pa trenutna gesla niti nisi bila slaba. Hvala za vse ideje.

SeMiNeSanja ::

....a kar 'pojavil' se je?
Mene bi presneto zanimalo, od kje se je 'pojavil'.

Če bi ga kdo lastnoročno vnesel, bi se tega najbrž spomnil in nekako vedel čemu je dodal tak forward?

Kaj če se jutri na tak način 'pojavi' nek tretji forward, ki pa bo dostavljiv in ne boste opozorjeni na prepošiljanje?
Raziščite zadevo in se iz tega naučite, kako se temu v bodoče izogniti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jukoz ::

Ne bi bil rad preveč paranoičen, a tudi pri A1 so slučajno vklopili A1 Protekt vsem uporabnikom. Pa slučajno so v headerje dodajali telefonsko številko uporabnika...

Mal preveč slučajev tole...

SeMiNeSanja ::

jukoz je izjavil:

Ne bi bil rad preveč paranoičen, a tudi pri A1 so slučajno vklopili A1 Protekt vsem uporabnikom. Pa slučajno so v headerje dodajali telefonsko številko uporabnika...

Mal preveč slučajev tole...

Hja, včasih eni mislijo naresti dobro, naredijo pa ravno obratno (A1 Protekt) oz. to izpeljejo na najslabši možni način.
Dodajanje headerjev pa je 'drugo gradbišče', ga pa vidim kot čisto navadno nepooblaščeno razkrivanje osebnih podatkov in bi se moral s tem ukvarjati inf. pooblaščenec.
Čeprav sumim, da do dodajanja headerjev ni prišlo namenoma - dosti neumen bi bil tisti provider, ki bi header z telefonsko številko 'vsiljeval' tudi tistim 'odjemalcem' ki za takšno storitev niso plačali.
Tako prej sumim, da so se ukvarjali z neko rešitvijo, kateri niso bili čisto 'dorasli', pa je vse skupaj presenetilo tudi jih. Če bi kdo vedel kakšen 'inside story' bi bil prav zanimiv....

Ni pa to nobena redkost, da nekdo ni dorasel tehnologiji in zato naredi kakšno veliko neumnost, ki rezultira v odtekanju osebnih podatkov.

Pri mailu in forwardih na čudne neobstoječe naslove, pa ne vem kaj bi si mislil. Paranoja gor ali dol... ne vem zakaj bi provider to nekomu vklapljal. Če te kdo plača, da prepošlješ vse maile od nekoga, kvazi za industrijsko špionažo ali kaj podobnega, potem to na nivoju providerja (oz. upravljavca mail serverja) zagotovo lahko izvedeš z manj možnostmi za razkritje, predvsem pa boš poskrbel, da maile ne bo pošiljajo na mailbox, ki ne obstaja oz. na katerega dostava ni možna.

Lahko da je uporabnik sam kaj dodajal...čeprav je precej čudno, da bi se kdo tako zelo 'zmotil' in kasneje nič o tem vedel. V bistvu preveč špekuliranja. Jaz bi v takem primeru najprej posumil, da je nekdo 'izvohal' moje mail geslo, se namesto mene prijavil in si lepo namestil forward, če bi mu kaj zanimivega padlo v mrežo.
Mislim, da T-2 še vedno podpira navaden pop3 in/ali imap, tako da tudi v primeru da imaš močno geslo, to nič ne pomaga, če ga uporabljaš iz nekega sumljivega omrežja (razni kafiči z free WiFi, ipd.).

Prizadetemu uporabniku bi priporočil, da zamenja geslo za mail in preveri, ali uporablja imaps oz. pop3s za dostop do maila. Mogoče tudi nebi škodovalo nekoliko treninga glede uporabe nepreverjenih brezžičnih omrežij, da se uporabnike malo spomni, kaj jih lahko vse čaka na omrežju, katerega nimajo pod nadzorom.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

dmok ::

SeMiNeSanja je izjavil:

....a kar 'pojavil' se je?
Mene bi presneto zanimalo, od kje se je 'pojavil'.

Če bi ga kdo lastnoročno vnesel, bi se tega najbrž spomnil in nekako vedel čemu je dodal tak forward?

Pa isti FW naslov je bil vnesen na vsaj 3 različnih accountih (ostale bomo še preverili). In niso imeli vsi accounti enakega gesla. Dvomim, da bi kdo od uporabnikov v tem podjetju to namerno nastavil. V bistvu dvomim, da sploh to zna kdo nastavit. In kdorkoli je to naredil je verjetno moral poznati vmesnik T2 spletne pošte. Na T2 so rekli, da bodo preverili.

SeMiNeSanja ::

dmok je izjavil:

SeMiNeSanja je izjavil:

....a kar 'pojavil' se je?
Mene bi presneto zanimalo, od kje se je 'pojavil'.

Če bi ga kdo lastnoročno vnesel, bi se tega najbrž spomnil in nekako vedel čemu je dodal tak forward?

Pa isti FW naslov je bil vnesen na vsaj 3 različnih accountih (ostale bomo še preverili). In niso imeli vsi accounti enakega gesla. Dvomim, da bi kdo od uporabnikov v tem podjetju to namerno nastavil. V bistvu dvomim, da sploh to zna kdo nastavit. In kdorkoli je to naredil je verjetno moral poznati vmesnik T2 spletne pošte. Na T2 so rekli, da bodo preverili.

Naj malo preverijo, na koliko drugih accountih se je še 'pojavil' kakšen čuden forward....
Bom še jaz šel preverjat moj account :) (čeprav nanj ne prejemam mailov).

Saj ni nikjer rečeno, da ni 'ušlo' geslo nekoga, ki ima nekoliko višje privilegije in posledično lahko manipulira več accountov?
Ko se enkrat pojavijo taki indikatorji, bi jaz zadeve 3x preveril - tudi (oz. predvsem) na strani T-2.
Mislim, da njihovi admini ne uporabljajo dvostopenjske avtentikacije za upravljanje sistemov, pa si že tam, kjer se lahko prično težave. Potrebješ samo še enega admin userja, ki preko navadnega pop3 nekje kjer to nebi rabil preverja mail, pa se že lahko prično zadeve komplicirat. Če obstaja najmanjša možnost, da je na strani prviderja fail, potem je treba to temeljito raziskati, saj bi lahko bile posledice precej daljnosežne, paranoja pa vsekakor upravičena.

Po svoje nebi bilo slabo, če bi ti provider mail hostinga periodično poslal mail v katerem bi te 'spomnil' na vse forward-e, ki jih imaš nastavljene.
Po moje bi marsikdo doživel presenečenje (npr. žena dodala možu forward na svoj mailbox?).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

GupeM ::

jukoz je izjavil:

Ne bi bil rad preveč paranoičen, a tudi pri A1 so slučajno vklopili A1 Protekt vsem uporabnikom. Pa slučajno so v headerje dodajali telefonsko številko uporabnika...

Mal preveč slučajev tole...

Resno? Dobro, da sem to izključil v trenutku ko sem dobil SMS, da so mi vklopili.

jukoz ::

SeMiNeSanja je izjavil:



Pri mailu in forwardih na čudne neobstoječe naslove, pa ne vem kaj bi si mislil. Paranoja gor ali dol... ne vem zakaj bi provider to nekomu vklapljal. Če te kdo plača, da prepošlješ vse maile od nekoga, kvazi za industrijsko špionažo ali kaj podobnega, potem to na nivoju providerja (oz. upravljavca mail serverja) zagotovo lahko izvedeš z manj možnostmi za razkritje, predvsem pa boš poskrbel, da maile ne bo pošiljajo na mailbox, ki ne obstaja oz. na katerega dostava ni možna.

Lahko da je uporabnik sam kaj dodajal...čeprav je precej čudno, da bi se kdo tako zelo 'zmotil' in kasneje nič o tem vedel.


Stvari se hitro pozabijo in slučajno izbrišejo, sploh pa pri SDS oblasti. Se spomnite Gorenaka in ReplyAll?

https://www.mladina.si/106950/ali-v-sds...

Nekoga na helpdesku ni problem najt, da ti uredi preusmeritve. Veliko težje je admina mail serverja. Pa še mimogrede se naredi, s sposojenim userjem.

Mislim da bo vse organizacije, ki imajo preko SLO ISPjev vklopljen Office365 in ISPjevega admina še bolela glava.

GupeM je izjavil:

jukoz je izjavil:

Ne bi bil rad preveč paranoičen, a tudi pri A1 so slučajno vklopili A1 Protekt vsem uporabnikom. Pa slučajno so v headerje dodajali telefonsko številko uporabnika...

Mal preveč slučajev tole...

Resno? Dobro, da sem to izključil v trenutku ko sem dobil SMS, da so mi vklopili.



Več na telefonček.si - bolj zabavno je, da tudi če izklopiš ti vklopijo nazaj...

https://telefoncek.si/2020/05/18/nenava...

dmok je izjavil:


Pa isti FW naslov je bil vnesen na vsaj 3 različnih accountih (ostale bomo še preverili). In niso imeli vsi accounti enakega gesla. Dvomim, da bi kdo od uporabnikov v tem podjetju to namerno nastavil. V bistvu dvomim, da sploh to zna kdo nastavit. In kdorkoli je to naredil je verjetno moral poznati vmesnik T2 spletne pošte. Na T2 so rekli, da bodo preverili.


Nekdo je dobil dostop do admin panela. Verjetno na nivoju T-2 in ne samo pri vas.
Fun times =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Sem šel gledat moje forward nastavitve v T-2 mailu in sem jih komaj našel!
Kdor si je izmislil tisti uporabniški vmesnik, je bil tudi genij za 'uporabnost'.

Moje forwarding nastavitve so vsekakor 'čiste', nobenega ukrainskega naslova ni notri.... ;(

Samo če pomisliš, na kolki načinov lahko gredo reči narobe.....
Recimo, da nekdo ni sam znal nastaviti forwarding, pa je prosil koga na helpdesk, da to naredi zanj.
Če se helpdesk zatipka pri kodi uporabnika..... teoretično lahko nastavi forwarding za popolnoma napačno osebo/firmo!

Banalna napaka, ki ima lahko strašne posledice.

Me prav zanima, če na T-2 vodijo dnevnike takih in drugačnih sprememb, pa da bi lahko za nazaj rekli "to je pa spremenil uporabnik XY na dan dd.mm.llll" - se kar malo bojim, da tudi če imajo take loge, da jih nimajo za 10 let....? (če se ne motim, je Log retention po ISO 27001 3 leta...).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

DustWolf ::

Da ne bo kdo preveč pameten do te situacije pridemo tako, da imaš nastavljeno geslo ki ga je možno uganit, ga hekerji uganejo (ali pa dobiš virus in ne spremeniš vseh gesel) in je objavljeno na seznamu ukradenih gesel. Potem pa nekdo pride v račun in pač nekaj nastavi če ga zanima, ane?

Na spletu so seznami vlomljenih računov, naprimer:
https://haveibeenpwned.com/
...poglejte če ste noter.

Večino stvari v T-2 mailu si lahko samo uporabnik sam nastavi (oziroma pač kdor ima geslo), se spoštuje zasebnost. Helpdesk samo pomaga z navodili.

Je pa tudi vmesnik nekaj kar se postopno izboljšuje, tudi na podlagi feedbacka kakršen je ta.

P.S.: To je moje osebno mnenje.

LP,
Jure
http://www.juresah.si/

Zgodovina sprememb…

  • spremenil: DustWolf ()

SeMiNeSanja ::

DustWolf je izjavil:

Da ne bo kdo preveč pameten do te situacije pridemo tako, da imaš nastavljeno geslo ki ga je možno uganit, ga hekerji uganejo (ali pa dobiš virus in ne spremeniš vseh gesel) in je objavljeno na seznamu ukradenih gesel. Potem pa nekdo pride v račun in pač nekaj nastavi če ga zanima, ane?

Na spletu so seznami vlomljenih računov, naprimer:
https://haveibeenpwned.com/
...poglejte če ste noter.

Večino stvari v T-2 mailu si lahko samo uporabnik sam nastavi (oziroma pač kdor ima geslo), se spoštuje zasebnost. Helpdesk samo pomaga z navodili.

Je pa tudi vmesnik nekaj kar se postopno izboljšuje, tudi na podlagi feedbacka kakršen je ta.

P.S.: To je moje osebno mnenje.

LP,
Jure

To vse drži... ampak smo tako zgornji kot tudi ostale možne scenarije že navedli.

Na koncu se zadeve bolj ali manj vrtijo okoli gesel, ki lahko nekomu pobegnejo.
V primeru uporabe klasičnega pop3 ali imap protokola, pa imaš lahko še tako sveže unikatno 20+ mest dolgo geslo, pa ga bo vsak šolarček z wireshark-om izpraskal iz prometa, če se boš prijavil preko njegovega omrežja.

Če potem ni na voljo niti dvostopenjske avtentikacije, lahko tisti šolarček počne s tvojim accountom kar mu je volja.
V primeru, da bi se na tak način povezoval na mail server podjetja, kjer je geslo za mail tudi geslo za prijavo v domeno, VPN in še kaj, ima šolarček v roki ključ do vrat podjetja. Enkrat notri preko VPN pa rabi samo še nekaj malega znanja in se lahko dokoplje do generalnega ključa (administratorskega gesla).

Žal se velikokrat pozablja na 'stare' protokole, kot so pop3, imap, telnet, ftp, pa še kateri, ki gesla preko omrežja pošiljajo v nekriptirani obliki, na očeh vsakomur, ki leži na poti med našim odjemalcem in strežnikom, na katerega se prijavljamo.

V tem smislu bi pričakoval, da bi ISP-ji že dolgo nazaj izklopili klasični pop3 in imap, če že ne ponujajo tudi dvostopenjske avtentikacije.

Vse ostalo okoli težav iz pričujočega topic-a, pa bi lahko pojasnili edino kakšni logi prijav v 'Horizont' in morebitni logi sprememb nastavitev v mailu (vprašanje, če se to logira in za koliko časa, če se). Niti ne vemo, koliko dolgo je bila preusmeritev aktivna.

Na koncu ti ne preostane kaj dosti drugega, kot zamenjat gesla, preveriti nastavitve prepošiljanja in prenehat uporabljati dostop do maila iz nekih omrežij, ki jim ne moreš zaupati. Pa še tam, kjer misliš, da lahko zaupaš omrežju, ti lahko kdo podtakne tzv. Evil Twin AP in se tako dokoplje do gesel mail accountov, ki niso nujno le gesla za mail....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

DustWolf ::

SeMiNeSanja je izjavil:

V tem smislu bi pričakoval, da bi ISP-ji že dolgo nazaj izklopili klasični pop3 in imap, če že ne ponujajo tudi dvostopenjske avtentikacije.


Hja upam da se zavedaš kako neživljenjski je ta predlog. :) Če en ISP ne bo imel IMAP bodo ljudje pač šli na drugega.

T-2 ne more prisiliti ljudi k temu da skrbijo za varnost, lahko samo ponudi rešitve skladne z standardi ki varnost omogočajo.

SeMiNeSanja je izjavil:


Vse ostalo okoli težav iz pričujočega topic-a, pa bi lahko pojasnili edino kakšni logi prijav v 'Horizont' in morebitni logi sprememb nastavitev v mailu (vprašanje, če se to logira in za koliko časa, če se). Niti ne vemo, koliko dolgo je bila preusmeritev aktivna.


Zanimiva ideja. Sicer ne vem kaj to za sabo potegne glede zasebnosti -- možno da ne bi smeli tega naredit.

Vsak sistem ima loge (drugače ga ne moreš popravit če kaj neha delat), vprašanje je samo ali se stvari logirajo na tak način da je možno karkoli rekonstruirati iz tega. Sistem ponudnika moraš razumet je ogromen (več sto tisoč dogodkov na dan) in trajno hranjenje oziroma obdelovanje določenih stvari pač ni praktično. Ampak če bi se spravili k temu da se naredi konkretna rešitev bi se verjetno dalo.

LP,
Jure
http://www.juresah.si/

Zgodovina sprememb…

  • spremenil: DustWolf ()

SeMiNeSanja ::

DustWolf je izjavil:

SeMiNeSanja je izjavil:

V tem smislu bi pričakoval, da bi ISP-ji že dolgo nazaj izklopili klasični pop3 in imap, če že ne ponujajo tudi dvostopenjske avtentikacije.


Hja upam da se zavedaš kako neživljenjski je ta predlog. :) Če en ISP ne bo imel IMAP bodo ljudje pač šli na drugega.

T-2 ne more prisiliti ljudi k temu da skrbijo za varnost, lahko samo ponudi rešitve skladne z standardi ki varnost omogočajo.

Narobe si razumel - danes imamo praktično vsi odjemalce, ki prav lepo podpirajo imap in pop3 preko TLS, se pravi imaps in pop3s.

Če greš pogledat na Gmail, tam že dolgo ni več klasičnega imap ali pop3 brez enkripcije - pa jim je zato kdo kam pobegnil? Jaz nisem opazi.

Kot rečeno predvidevam, da si me narobe razumel - nisem mislil da se naj ukine imap kot tak, temveč, da se ukine zastarela ne-varna varianta imap-a in jo nadomesti z imaps, oz. pri pop3 z pop3s protokolom.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

GupeM ::

SeMiNeSanja je izjavil:

Enkrat notri preko VPN pa rabi samo še nekaj malega znanja in se lahko dokoplje do generalnega ključa (administratorskega gesla).

Uf... Tale je pa mau huda, no.

DustWolf ::

SeMiNeSanja je izjavil:


Narobe si razumel - danes imamo praktično vsi odjemalce, ki prav lepo podpirajo imap in pop3 preko TLS, se pravi imaps in pop3s.

Če greš pogledat na Gmail, tam že dolgo ni več klasičnega imap ali pop3 brez enkripcije - pa jim je zato kdo kam pobegnil? Jaz nisem opazi.

Kot rečeno predvidevam, da si me narobe razumel - nisem mislil da se naj ukine imap kot tak, temveč, da se ukine zastarela ne-varna varianta imap-a in jo nadomesti z imaps, oz. pri pop3 z pop3s protokolom.


Hja se opravičujem, čeprav tudi v tem primeru gre za isto težavo. Predstavljaj si pogovor z kakšnim starim atejem ki ima ali zelo star software ali pa nima želje se ukvarjati z nastavitvami (posebno kak Outlook zna nastavitve nastaviti brez šifriranja in nato skriti vmesnik kjer se to spremeni), biti na podpori in razlagati zakaj to več ne deluje. :)

Bolje je ponuditi vse, pa izobraziti ljudi kako skrbeti za varnost.


V splošnem sicer ni videti da se bi kraja gesel dogajala skozi prestrezanje nešifriranih povezav. V končni fazi če ravno ne greš v kanal rezat optike tudi ni neke posebne variante kako bi lahko prestrezal promet pri nas. Običajno geslo ukradejo z virusom ali z poizkušanjem, pri čemer TLS ne igra vloge.

LP,
Jure
http://www.juresah.si/

SeMiNeSanja ::

DustWolf je izjavil:

SeMiNeSanja je izjavil:


Narobe si razumel - danes imamo praktično vsi odjemalce, ki prav lepo podpirajo imap in pop3 preko TLS, se pravi imaps in pop3s.

Če greš pogledat na Gmail, tam že dolgo ni več klasičnega imap ali pop3 brez enkripcije - pa jim je zato kdo kam pobegnil? Jaz nisem opazi.

Kot rečeno predvidevam, da si me narobe razumel - nisem mislil da se naj ukine imap kot tak, temveč, da se ukine zastarela ne-varna varianta imap-a in jo nadomesti z imaps, oz. pri pop3 z pop3s protokolom.


Hja se opravičujem, čeprav tudi v tem primeru gre za isto težavo. Predstavljaj si pogovor z kakšnim starim atejem ki ima ali zelo star software ali pa nima želje se ukvarjati z nastavitvami (posebno kak Outlook zna nastavitve nastaviti brez šifriranja in nato skriti vmesnik kjer se to spremeni), biti na podpori in razlagati zakaj to več ne deluje. :)

Bolje je ponuditi vse, pa izobraziti ljudi kako skrbeti za varnost.


V splošnem sicer ni videti da se bi kraja gesel dogajala skozi prestrezanje nešifriranih povezav. V končni fazi če ravno ne greš v kanal rezat optike tudi ni neke posebne variante kako bi lahko prestrezal promet pri nas. Običajno geslo ukradejo z virusom ali z poizkušanjem, pri čemer TLS ne igra vloge.

LP,
Jure

Vedno imaš prisotno tehtnico med koristmi in težavami. Če bi se nenadoma pričelo pojavljati večje število kompromitiranih mail accountov, bi se zagotovo tudi T-2 odločil zagrizniti v tiso kislo jabolko razlaganja staremu atu, kako se vklopi TLS enkripcijo - čeprav sem prepričan, da bo temu to večinoma naredil kakšen vnuk. Bolj problematične so one 'tete', ki menijo, da bi morala mašina kar uganiti njihove želje.....

Drugače pa nihče ne cilja na optične povezave kot problematične. Tam se vštuliti vmes, je presneto zahtevna zgodba, ki se jo ne bo šel noben 'hobby-hacker'.
Toda ne pozabljajmo na brezžična omrežja!
Kolikokrat vidiš ponujen brezplačen WiFi in se brez pomisleka priključiš nanj?
Imaš ga v restavracijah, hotelih, nenazadnje tudi 'občinskega' po številnih mestih. Z 5G se bomo pričeli srečevati tudi z WiFi offload-om, o katerem le redko kdo govori (da se nebi prezasitilo draga 5G vozlišča, lahko providerji na lokacijah z predvideno visoko koncentracijo odjemalcev postavijo bistveno cenejše WiFi dostopne točke, na katere preusmerjajo 5G odjemalce).

Potem pa potrebujemo samo še nadebudnega hackerčka, ki si je za 120$ kupil Pineapple, na njemu postavil lažno kopijo legitimne dostopne točke in te zvabi, da se povežeš preko njega, namesto preko legitimnega AP. Takoj po vzpostavitvi povezave, ko bo odjemalec za mail prvič poskusil osvežiti mail, boš že ob geslo, če si uporabljal klasični imap ali pop3.

Greš v T-2 kafič, naštimaš Pineapple da oponaša T-2 guest wifi, ki ga tam ponujajo - koliko časa bi trajalo, da bi ti pričela kapljati gesla noter?
Se bojim, da ne ravno dolgo.
Še bolj pestro bi bilo z kakšno konferenčno dvorano s 100 udeleženci, ki jim gostitelj lepo izobesi SSID in geslo za brezplačni WiFi. Nihče niti opazil nebi, da se ni zares priključil na gostiteljev Wifi, temveč na porednega dvojčka v tvoji torbi.

WiFi je presneto podcenjena grožnja. Se še dobro spomnim Milana Gaborja, kako je nekoč rekel, da pri njemu doma nikoli ne bo WiFi-ja.... me prav zanima, če je že požrl besed :) Dejstvo je, da danes brez WiFi zeloooooo težko shajaš. "Varen" WiFi pa je presneto drag - predrag za povprečno domačo rabo. Tisto, kar razni Ubiquiti in podobni ponujajo kot 'varno' pa je daleč od tistega, kar bi moralo biti, da bi lahko govorili o neki kolikor tolikor učinkoviti varnosti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

GupeM ::

jukoz je izjavil:

Več na telefonček.si - bolj zabavno je, da tudi če izklopiš ti vklopijo nazaj...

https://telefoncek.si/2020/05/18/nenava...

Ne se jebat. Kje pa lahko vidiš, če imaš to vključeno? V moj A1 ne vidim, da bi zadeva bila vključena.

Glede na to, da nikoli ne dobim kakšnih takšnih obvestil, bi rekel, da zadeva ni vključena.

Sicer pa, kaj se delajo neumne? Ali so res tako neumni? So to slučajno prevzeli skupaj z Amisom? Tam so namreč imeli uporabniška gesla shranjena v plain text obliki. Ko sem zamenjal modem, so mi namreč zraven poslali še list, na katerem je bilo napisano moje uporabniško ime in geslo. Še več. Nekoč ga mi je gospod na supportu kar preko telefona povedal!!!

SeMiNeSanja ::

Jah no... pa to je 'prijaznost do uporabnika"....ti se pa pritožuješ! :P

Ampak saj so včasih vsi shranjevali gesla v plain text obliki. Šele z leti se je potem to zaostrilo, tako da danes načeloma vemo, da še celo 'navadno' hashanje gesel ni več dovolj, pa da je treba zadevo še malo začiniti s soljo in poprom.

Pa ne glede na to, kaj se 'načeloma ve'.... se tudi danes še sem pa tja najde kdo, ki ti shranjuje gesla v plain text...in ti ga celo veselo 'ponudi', če si ga pozabil :'(
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jukoz ::

SeMiNeSanja je izjavil:


Drugače pa nihče ne cilja na optične povezave kot problematične. Tam se vštuliti vmes, je presneto zahtevna zgodba, ki se jo ne bo šel noben 'hobby-hacker'.
Toda ne pozabljajmo na brezžična omrežja!
Kolikokrat vidiš ponujen brezplačen WiFi in se brez pomisleka priključiš nanj?
Imaš ga v restavracijah, hotelih, nenazadnje tudi 'občinskega' po številnih mestih. Z 5G se bomo pričeli srečevati tudi z WiFi offload-om, o katerem le redko kdo govori (da se nebi prezasitilo draga 5G vozlišča, lahko providerji na lokacijah z predvideno visoko koncentracijo odjemalcev postavijo bistveno cenejše WiFi dostopne točke, na katere preusmerjajo 5G odjemalce).

Potem pa potrebujemo samo še nadebudnega hackerčka, ki si je za 120$ kupil Pineapple, na njemu postavil lažno kopijo legitimne dostopne točke in te zvabi, da se povežeš preko njega, namesto preko legitimnega AP. Takoj po vzpostavitvi povezave, ko bo odjemalec za mail prvič poskusil osvežiti mail, boš že ob geslo, če si uporabljal klasični imap ali pop3.

Greš v T-2 kafič, naštimaš Pineapple da oponaša T-2 guest wifi, ki ga tam ponujajo - koliko časa bi trajalo, da bi ti pričela kapljati gesla noter?
Se bojim, da ne ravno dolgo.
Še bolj pestro bi bilo z kakšno konferenčno dvorano s 100 udeleženci, ki jim gostitelj lepo izobesi SSID in geslo za brezplačni WiFi. Nihče niti opazil nebi, da se ni zares priključil na gostiteljev Wifi, temveč na porednega dvojčka v tvoji torbi.

WiFi je presneto podcenjena grožnja. Se še dobro spomnim Milana Gaborja, kako je nekoč rekel, da pri njemu doma nikoli ne bo WiFi-ja.... me prav zanima, če je že požrl besed :) Dejstvo je, da danes brez WiFi zeloooooo težko shajaš. "Varen" WiFi pa je presneto drag - predrag za povprečno domačo rabo. Tisto, kar razni Ubiquiti in podobni ponujajo kot 'varno' pa je daleč od tistega, kar bi moralo biti, da bi lahko govorili o neki kolikor tolikor učinkoviti varnosti.


Preveč kompliciraš - za slovenski honeypot postaviš AP s SSID IKEA. Uspeh zagotovljen.
Mednarodno pa SSID "DXB Free WiFi"
Telefoni bodo avtomatsko prestavili iz mobilnega interneta na WiFi.

Win10 sem videl da zateži, da je nov MAC naslov, ampak samo pri zaklenjenih mrežah. Pri teh free wifijih mislim da ne.

Ostale naprave pa...

GupeM je izjavil:


Ne se jebat. Kje pa lahko vidiš, če imaš to vključeno? V moj A1 ne vidim, da bi zadeva bila vključena.

Glede na to, da nikoli ne dobim kakšnih takšnih obvestil, bi rekel, da zadeva ni vključena.


Kolikor razumem članek, ne moreš vedeti.

GupeM je izjavil:


Sicer pa, kaj se delajo neumne? Ali so res tako neumni? So to slučajno prevzeli skupaj z Amisom? Tam so namreč imeli uporabniška gesla shranjena v plain text obliki. Ko sem zamenjal modem, so mi namreč zraven poslali še list, na katerem je bilo napisano moje uporabniško ime in geslo. Še več. Nekoč ga mi je gospod na supportu kar preko telefona povedal!!!


Res so tako neumni. Tudi na bob-u so limali uporabnikovo številko v promet. Za HoT pa še čakamo.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

jukoz je izjavil:


Preveč kompliciraš - za slovenski honeypot postaviš AP s SSID IKEA. Uspeh zagotovljen.
Mednarodno pa SSID "DXB Free WiFi"
Telefoni bodo avtomatsko prestavili iz mobilnega interneta na WiFi.

Pineapple je še malo bolj prebrisan...

Telefoni sami 'kličejo' brezžična omrežja, ki so jim 'znana' oz. so bili z njimi povezani. Pineapple to prisluškuje in se prične oglašati s temi SSID-ji....

Je že tako, da nas kar nekaj še ni bilo v Ikeji... Če pa sam poveš, kateri SSID bi ti bil všeč, boš pa tega dobil...

Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jukoz ::

SeMiNeSanja je izjavil:


Pineapple je še malo bolj prebrisan...

Telefoni sami 'kličejo' brezžična omrežja, ki so jim 'znana' oz. so bili z njimi povezani. Pineapple to prisluškuje in se prične oglašati s temi SSID-ji....

Je že tako, da nas kar nekaj še ni bilo v Ikeji... Če pa sam poveš, kateri SSID bi ti bil všeč, boš pa tega dobil...



Lepa =)

... ampak tale video je pa... za holivud =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Ja...zato sem ga tudi prilepil, ker je tako zelo holiwood-ovski :)
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

Že res, da je zgornji video holivudovsko zabaven - ampak v ničemer ne prikazuje česa, kar Pineapple nebi zmogel. Malo pretiran holivud edino to, da bi iz garaže dajal tako močan signal, da se boš povezal nanj, namesto na legit AP podjetja. Če pa se z igračko močno približaš žrtvi (v kafiču vsedeš za sosednjo mizo,...) pa je stvar že precej bolj verjetna.

Če pomisliš, da te lahko nek lump tako prestreže v kafiču poleg firme, kamor greste s službenimi kolegi na pijačo, malico,...
Enkrat povezan nanj, greš na pop3 ali imap iskat službeni mail. Ker je vse v domeni, bo tako prestregel user in domenski password.

Če se lump potem z zbranimi user/pass preseli malo bližje firmi...
Ti misliš, da si poskrbel za super varnost WiFi-ja, ker si uvedel WPA2 Enterprise (kot so ti priporočili pri zadnjem 'varnostnem pregledu omrežja'?)- a zlomka, lump že ima vse, kar potrebuje, da se lahko prijavi na firmin WiFi. Odvisno od variante VPN-a pa bi se lahko prijavil tudi na ta način.
Enkrat prijavljen, ob ustreznem znanju (navodila so na Youtube?) lahko naredi praktično kar se mu zljubi.

Z dovolj 'kriminalne energije', so stvari presneto enostavne za barabe.
Ljudje pa naivno mislijo, kako zelo se lumpi matrajo 'hackat' WiFi ali omrežje in koliko znanja da je potrebnega za to.
Ravno obratno...sami trosimo user/pass naokrog in imamo veliko sreče, da nismo naleteli na takega lumpa z dovolj kriminalne energije, ki bi ga pobral in zlorabil.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

Poštni odjemalci (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Programska oprema		375273490 (18421) Matko
»

SMTP T-online

Oddelek: Omrežja in internet		113782 (3501) NoName
»

Vdor v računalnik?

Oddelek: Pomoč in nasveti		112225 (1913) SeMiNeSanja
»

Napadli Wi-Fi v Evropskem parlamentu

Oddelek: Novice / Varnost		258677 (5895) MrStein
»

Po menjavi ponudnika problem s pošiljanjem pošte

Oddelek: Omrežja in internet		425389 (4778) Matko

Več podobnih tem