作者 主題: 最近的一些 AntiSpam  (閱讀 3443 次)

0 會員 與 1 訪客 正在閱讀本文。

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的一些 AntiSpam
« 於: 2006-08-22 13:23 »
現在的 antispam 廠商為了增加判斷 spam 的能力,開始做反向檢查,
最近一週內就碰到會做反向檢查的 antispam mta, 但可笑的是檢查的
方法卻是十足 Spam 行為

例如 iii.org.tw 或 ttn.net.tw ,
代碼: [選擇]

[root@eai2 aws]# telnet mta2.iii.org.tw 25
Trying 140.92.66.168...
Connected to mta2.iii.org.tw.
Escape character is '^]'.
220 ***2**************************2******22*****200***2********0*00
helo twnic.net.tw                        # 不能送 ehlo , 也就是不支援 ESMTP
250 mta2.iii.org.tw Hello twnic.net.tw [211.72.210.251]

mail from: <abc@twnic.net.tw>            # Sender 不存在
250 OK
rcpt to: <Remail@micmail.iii.org.tw>
550-Verification failed for <abc@twnic.net.tw>   # 這裏他反向連接到 twnic.net.tw 確認是否有 abc 這個 User
550-Called:   211.72.210.250                     # 但是他的 mail from: <> 為空的, 又不是只有你們家有 antispam
550-Sent:     RCPT TO:<abc@twnic.net.tw>         # 你 mail from is empty 我就 reject , 所以你的做法反造成正常的信件不能傳送
550-Response: 550 5.1.1 <abc@twnic.net.tw>... User unknown  # 因為 III 我們常往來,但是 <> 顯然存在很大問題
550 Sender verify failed
rset                                             # 重設連線
250 Reset OK
helo log.twnic.net.tw
250 mta2.iii.org.tw Hello log.twnic.net.tw [211.72.210.251]
mail from: <postmaster@twnic.net.tw>
250 OK
rcpt to: <postmaster@iii.org.tw>            
550 invalid recipient III account (postmaster@iii.org.tw)  # 無此收件者
rcpt to: <abuse@iii.org.tw>
550 invalid recipient III account (abuse@iii.org.tw)       # 還是無
rcpt to: <security@iii.org.tw>
550 invalid recipient III account (security@iii.org.tw)    # 還是無
quit
221 mta2.iii.org.tw closing connection
Connection closed by foreign host.

代碼: [選擇]

# maillog 中可知 iii 或 ttn 送來的 Sender 都是 EMPTY
Aug 10 09:30:18 twnic sendmail[2237]: k7A1UIjd002237: 550 Sender can't be <>
Aug 10 09:30:18 twnic sendmail[2237]: k7A1UIjd002237: from=<>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=mta2.iii.org.tw [140.92.66.168]

III 你好大一個組織連 postmaster 都沒有,真是有夠 ...,另外兩個也沒有,不知是本來就沒有還是 antispam 不知道有!

ttn.net.tw 也是一樣,照樣送 <> 來做反向檢查以確認 Sender 是否真的存在,不過如同 III 一樣敗給他們了,為了這兩家
我還得特別允許他們這兩個 IP 可以送 <> 來,天曉得還有多少家公司用這種做法

另外,像 moe.gov.tw 也是一樣,最近他們上了 SpamSherlock , 也是來做反向 Sender 檢查,但是 moe (台灣有名的教育部),
平常用的是 @mail.moe.gov.tw , 但是反向檢查來的 Sender 是 postmaster@moe.gov.tw , 天呀,你和我講 moe.gov.tw 在哪
裏,有多少的 MTA 會做 Sender Domain must Exist 的檢查 (檢查 @ 的右邊是否有 MX/A 記錄),那這些人通通不能寄信給
你們了,因為你的 Sender 有問題,而 SpamSherlock 也夠笨的,不會事先幫 Admin 的設定做檢查,所以才送來這種 Sender


如果 III 寄 MOE 那就更奇妙了, MOE 檢查 III , III 再檢查 MOE ....反正那是他們的事,用個假的 Mail From 給他們自己
去 loop

這種檢查還有一個天大的缺點,就是如果我的 Server 有做 Rate Control (sendmail 8.13.X 後),你來檢查可能會有 Rate Limit
狀況,因為檢查的太頻繁造成拒絕連接情況,如此反而影響了正常的 Mail

Email 本來就沒辨法確認真偽, 而現實中更有很多探測 Mail Address 方法,我今天想知道 study-area.org 下有多少個 Email
通常做法就是字典查詢,但是我不用我的查,而是用 III/TTN/MOE 來查,我只要送 MAIL FROM: <XXX@study-area.org> 而且確
認這些目標主機至少有一個合法的收件者,那這三個單位就會幫我去檢查 Study-area 上有沒有此收件人,這顯然是有很大的問題的

反向檢查很多人講,但是問題其實很多,這些 antispam 的公司方法我認為實在不足取

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
最近的一些 AntiSpam
« 回覆 #1 於: 2006-08-22 13:30 »
哈哈..這時候就是比公司大 ... 你檔我的信... 你就不要接訂單 !!

這時候一通電話就可以搞死下游廠商用一些 AntiSpam 的產品!!

至今我已經幹過 10~20 家下游廠商了!!
Networking & Communication Security SE

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
最近的一些 AntiSpam
« 回覆 #2 於: 2006-08-22 13:53 »
iii.org.tw 那個.... 應該是把 smtpd 放到 PIX 後頭.
我幾年前剛到公司時, 把 smtpd 設好後... 在公司內都正常, 不過公司外發現 auth smtp 不能用.... 才發現 PIX 會 fix smtp 這個協定.... 關閉後才正常.

那個反向檢查, 看起來像是 postfix 內建的那一個做法... 也許用 postfix 的, 有啟用這功能的話, 都可能會這樣子送.

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
最近的一些 AntiSpam
« 回覆 #3 於: 2006-08-22 14:00 »
沒錯... 那個是放在 Cisco PIX 後面,只要作一個 fixup protocol smtp 就可以了.
Networking & Communication Security SE

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的一些 AntiSpam
« 回覆 #4 於: 2006-08-23 09:23 »
可我覺得這樣子做非常不好,問題就如上面提到的
如果大家都做 Check , 那大概網路上最多的就是那個反向檢查了

andyj

  • 鑽研的研究生
  • *****
  • 文章數: 957
    • 檢視個人資料
最近的一些 AntiSpam
« 回覆 #5 於: 2006-08-23 09:42 »
聽起來蠻恐怖的

如果下游廠商的MIS能力不夠,或者委外
採購的產品不佳,到時候勢必被上遊廠商"X"到爆
然後再被公司稽核
最後產品重新採購?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17462
    • 檢視個人資料
    • http://www.study-area.org
最近的一些 AntiSpam
« 回覆 #6 於: 2006-08-23 12:30 »
搞不好還會造成 DOS 呢~~~   >_<

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的一些 AntiSpam
« 回覆 #7 於: 2006-08-23 13:51 »
引述: "netman"
搞不好還會造成 DOS 呢~~~   >_<

是的,如果找到的這種主機多 (現在我知道的是這三個)
對他們發起連線,可是 Mail From 都是 XXX@study-area.org
他們就會通通車線到 SA 的 mail server , 而據我的觀察,這些 check MTA
都不會 Cache Mail From 檢查結果,所以也就會一直試,而 SA 的 Mail
看到的也就會是一堆來自不同的 MTA 連線

另外也可以對 moe 發起連線, Mail from 寫 XXX@iii 的,讓他們兩邊互相
去 Check , moe check mail from xxx@iii, iii check postmaster@moe,
moe check xxx@iii again , iii check moe again ...讓他們兩邊一直忙,
多發起幾次就會有多個 session ,早晚都弄到他們 resource 用盡