主題: 偽裝自己寄信給自己,如何阻擋?

[rain6966]

以下為垃圾郵件的Heater及 Body 內容

Return-Path: <aa@XXX.com.tw>
X-Original-To: aa@XXX.com.tw
Delivered-To: aa@XXX.com.tw
Received: from agt.net (unknown [123.18.129.194])
   by dns.XXX.com.tw (Postfix) with SMTP id 7BBCF370141
   for <aa@XXX.com.tw>; Mon,  8 Dec 2008 14:59:08 +0800 (CST)
To: <aa@XXX.com.tw>
Subject: Delivery Status Notification (Failure)
From: <aa@XXX.com.tw>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: <20081208065908.7BBCF370141@dns.XXX.com.tw>
Date: Mon,  8 Dec 2008 14:59:08 +0800 (CST)
X-XXX-MailScanner-Information: Please contact the ISP for more information
X-XXX-MailScanner: Found to be clean
X-XXX-MailScanner-SpamCheck: not spam (whitelisted),
   SpamAssassin (not cached, score=26.115, required 5.5, autolearn=spam,
   BAYES_99 3.50, HTML_IMAGE_ONLY_04 2.04, HTML_MESSAGE 0.00,
   HTML_SHORT_LINK_IMG_1 0.00, MIME_HTML_ONLY 1.46,
   RCVD_IN_BL_SPAMCOP_NET 1.96, RCVD_IN_PBL 0.91, RCVD_IN_XBL 3.03,
   RDNS_NONE 0.10, TVD_SPACE_RATIO 2.22, URIBL_AB_SURBL 1.86,
   URIBL_BLACK 1.96, URIBL_JP_SURBL 1.50, URIBL_OB_SURBL 1.50,
   URIBL_RHS_DOB 1.08, URIBL_SBL 1.50, URIBL_WS_SURBL 1.50)
X-XXX-MailScanner-From: aa@XXX.com.tw
X-Spam-Status: No
X-IMAPbase: 1181036601 8644
Status: O
X-UID: 8644
Content-Length: 309
X-Keywords:                                                                                                   


Heater:中有
“ Return-Path: aa@XXX.com.tw “

Body:中有
 Message-Id: < 20081208065908.7BBCF370141@dns.XXX.com.tw >

雖SpamAssassin 已達 垃圾郵件檢測標準,

此垃圾信無法阻擋

(此Return-Path: aa@XXX.com.tw 為公司內部的帳號,若此帳號為外部帳號,可被偵測出為Spam)

Mail Server架構 為 CentOS + MailScanner + PostFix + SpamAssassin + ClamAv

應如何阻擋

謝謝各位先進不吝指導!

[vincent978]

最近也被這種信搞得很煩，請求火力支援!!! 

[Yanny]

小弟有一個笨方法,用postfix內建的功能header_check
把

From: <aa@XXX.com.tw>

從頭到尾都指定好
Example:/^From: <aa\@xxx\.com\.tw>$/ DISCARD

它會把完整的<aa@xxx.com.tw>給丟棄,這種信的"From:"都是同一個格式,你多找幾個看過就知道
小弟試過一個多禮拜,沒有什麼問題,妳可以試試看,假如你怕誤判,你可以用REDIRECT到自己的信箱
假如人很多的話,妳可以試試看/^From: <*\@xxx\.com\.tw>$/ DISCARD,不過這我沒試過,你自己要試一下,不要到時候全部的信就要丟棄

參考一下鳥哥的網站吧!
http://linux.vbird.org/

[ericyomr]

雖SpamAssassin 已達 垃圾郵件檢測標準,

此垃圾信無法阻擋

(此Return-Path: aa@XXX.com.tw 為公司內部的帳號,若此帳號為外部帳號,可被偵測出為Spam)

Mail Server架構 為 CentOS + MailScanner + PostFix + SpamAssassin + ClamAv

應如何阻擋

謝謝各位先進不吝指導!

spamassassin 無法阻擋是什麼意思?

是不會將它判斷成spam嗎?

我的Mail Server架構跟你差不多

但因為之前我將自己內部網域設定成白名單

最近發現這種信一直衝進來

後來把白名單移除掉  它就會判斷成spam了啊

我另外是有用procmail把判斷成spam的信移至別處

目前是沒有這種困擾耶

所以不懂你的無法阻擋是什麼意思  是你連收都不想收嗎?

[vincent978]

下午試了把 whitelist 裡面自己的網域拿掉
目前還是有收到這類垃圾信

擋 header 之前也試過，這個網域擋了，過沒多久又換另一個網域來... 
整天搞這個擋 header 的動作就花了不少時間... Orz

[damon]

mailscanner設定成分數夠高的spam就直接隔離，有需要再去撈出來就好，更直接的話就直接刪除囉
spam action , high score spam action這兩個參數看看

[jacktseng]

SpamAssassin 是否只掃外部來的信件?會掃已驗證過的寄件者嗎?
如果不會.是否可以考慮把自己公司網域加入黑名單

[ericyomr]

下午試了把 whitelist 裡面自己的網域拿掉
目前還是有收到這類垃圾信

擋 header 之前也試過，這個網域擋了，過沒多久又換另一個網域來... 
整天搞這個擋 header 的動作就花了不少時間... Orz

這就...有點怪了吧?  還是你的意思跟我的意思不同?

我也有收到  但是它的分數達到spam所以被我隔離

那請問你的目前還是有收到這類垃圾信  意思是?  一樣進入USER的信箱?

收到的垃圾信有達到判斷成spam的分數嗎?  把公司網域從whitelist拿掉  少了100分應該會被直接當spam吧

你有做什麼隔離spam的手段嗎?

還是你的spamassassin不是使用自動學習?  不然照理說  就算換個網域  它應該還是會被當作spam才是吧?

[vincent978]

搞定了!
原來是 spam.assassin.prefs.conf 裡面有設定沒開起來
Server 不是自己裝的真麻煩.... 還得幫人擦屁股 

[rain6966]

小弟有一個笨方法,用postfix內建的功能header_check
把

From: <aa@XXX.com.tw>

從頭到尾都指定好
Example:/^From: <aa\@xxx\.com\.tw>$/ DISCARD

它會把完整的<aa@xxx.com.tw>給丟棄,這種信的"From:"都是同一個格式,你多找幾個看過就知道
小弟試過一個多禮拜,沒有什麼問題,妳可以試試看,假如你怕誤判,你可以用REDIRECT到自己的信箱
假如人很多的話,妳可以試試看/^From: <*\@xxx\.com\.tw>$/ DISCARD,不過這我沒試過,你自己要試一下,不要到時候全部的信就要丟棄

參考一下鳥哥的網站吧!
http://linux.vbird.org/

１。對不齊現在才回覆你的建議　:

aa@XXX.com.tw 為自己的帳號 ,當然不可丟掉

２。以下為另一封信件的內容：

此封為自己寄給自己 ,可被SpamAssassin 標註{Spam}擋下來

Return-Path: <hpcni@takle444.fsnet.co.uk>
X-Original-To: aa@XXX.com.tw
Delivered-To: aa@XXX.com.tw
Received: from rab (unknown [92.124.43.41])
   by dns.XXX.com.tw (Postfix) with SMTP id 3035637012A
   for <aa@XXX.com.tw>; Wed, 19 Nov 2008 19:36:55 +0800 (CST)
X-Originating-IP: [34.84.41.12]
X-Originating-Email: [aa@XXX.com.tw]
X-Sender: aa@XXX.com.tw
To: "aa@XXX.com.tw" <aa@XXX.com.tw>
Subject: {Spam?} RE: sc.Doctor Ron
From: aa@XXX.com.tw
MIME-Version: 1.0

Content-Type: text/html
Message-Id: <20081119113656.3035637012A@dns.XXX.com.tw>

Date: Wed, 19 Nov 2008 19:36:55 +0800 (CST)
X-XXX-MailScanner-Information: Please contact the ISP for more information
X-XXX-MailScanner: Found to be clean
X-XXX-MailScanner-SpamCheck: spam, SpamAssassin (not cached,
   score=10.48, required 7, BAYES_60 1.00, HTML_IMAGE_ONLY_28 1.56,
   HTML_MESSAGE 0.00, MIME_HTML_ONLY 1.46, RCVD_IN_PBL 0.91,
   RDNS_NONE 0.10, URIBL_BLACK 1.96, URIBL_JP_SURBL 1.50,
   URIBL_OB_SURBL 1.50, URI_NOVOWEL 0.50)
X-XXX-MailScanner-SpamScore: ssssssssss
X-XXX-MailScanner-From: hpcni@takle444.fsnet.co.uk
X-Spam-Status: Yes
Status: O
X-UID: 392756
Content-Length: 2779
X-Keywords:                                   

３。此兩封信的共通點為：

Content-Type: text/html
Message-Id: <20081119113656.3035637012A@dns.XXX.com.tw>

在我公司內部的正常信件　為少了＂ｄｎｓ＂
Message-Id: <20081119113656.3035637012A@XXX.com.tw>

４。還有一點為，若此種垃圾郵件，其內容

Message-Id: <20081119113656.3035637012A@dns.XXX.com.tw>

在　Content-Type:

之前則無法被擋住　

（詳第一封信內容，第二封其Message-Id:和Content-Type:　剛好相反，一封可逃過檢測，另一封不行 ）


５。此類郵件已困擾我很久而且越來越多，各位先進請再不吝賜教。

[twu2]

因為原本的信件內可能沒有這個, 所以 message-id 可能是你的 mail server 產生的.
你的 mail server 自己認為是 dns.XXX.com.tw, 所以產生的 id 自然就使用這個 domain. (由 Received: 來看)

如果你們公司的人都是用正常的 mail client 在寄信, 且設定都正確的話, 可以考慮比對 Return-Path 與 From 是否都是 xxx.com.tw 來給 spamassassin 的分數, 這樣子可以抓出上述的信件. 不過... 一般 spam 的發送程式, 在信件內容使用 From 與 smtp 中使用的 From 一樣並不是難事, 這類的信件就會避掉這樣的檢查了.

[rain6966]

謝謝大大答覆!

我再google 一下其他方法, 謝謝 !!

[Yanny]

我想大大誤會我的意思,假如你們用標準的clinet去寄信(ex:outlook2003),設定良好的話,Header 的From會是 " From: AA <aa@xxx.com.tw>,而我觀察很多的垃圾郵件,他們會是 "From: <aa@xxx.com.tw>"",然後用header_checker去過濾它,我用這方法,在這一個多禮拜,過濾了上百封這種信件,小弟的意見給你參考一下唷!

[Squawell]

小弟公司最近這類的信件也慢慢開始出現～且有越來越多的趨勢
煩惱的是主機不歸我這邊處理.....不知道各位前輩有無比較好的方式可以提供給小弟參考一下

[日京三子]

小弟公司最近這類的信件也慢慢開始出現～且有越來越多的趨勢
煩惱的是主機不歸我這邊處理.....不知道各位前輩有無比較好的方式可以提供給小弟參考一下

請有主掌權的去處理。


---
啥？ 你沒權？ 那你是什麼職務？

[abelyang]

spamassassin 中有個 function 叫 check_for_from_to_same
通常的呼叫法是

代碼: [選擇]

header FROM_AND_TO_SAME         eval:check_for_from_to_same()
describe FROM_AND_TO_SAME       From and To are the same, but not exactly
score FROM_AND_TO_SAME 2.0

但是這個 sub 我覺得是有問題旳,所以調整了一下
file:  /usr/lib/perl5/site_perl/5.8.0/Mail/SpamAssassin/EvalTests.pm

代碼: [選擇]

sub check_for_from_to_same {
  my ($self) = @_;

  my $hdr_from = $self->get('From');
  my $hdr_to = $self->get('To');
  my $addr_from = $self->get('From:addr');
  my $addr_to = $self->get('To:addr');
#  $addr_from =~ s/\s+//g;
#  $addr_to =~ s/\s+//g;
#  $hdr_from=~ s/\s+//g;
#  $hdr_to=~ s/\s+//g;
  $addr_from =~ s/[<> ]//g;
  $addr_to =~ s/[<> ]//g;
  $hdr_from=~ s/[<> ]//g;
  $hdr_to=~ s/[<> ]//g;
  return 0 if (!length($hdr_from) || !length($hdr_to) ||
               lc($hdr_from) ne lc($hdr_to));

 
  return 0 if (!length($addr_from) || !length($addr_to) ||
               lc($addr_from) ne lc($addr_to));

  if ($hdr_from =~ /^\s*\S+\s*$/ && $hdr_to =~ /^\s*\S+\s*$/) {
    return 1;
  }
}
 

因為原來這個 function 有些錯誤,調整後應該就有作用了,但仔細思考,正常中這個仍是有可能發生的
可以用一下 meta 來處理,把自己 network 的又是 check_for_from_to_same 的排除掉

[abelyang]

代碼: [選擇]

$>cat 1 | spamassassin
Received: from localhost by twnic.net.tw
        with SpamAssassin (version 3.1.8);
        Wed, 24 Dec 2008 11:54:15 +0800
From: aa@XXX.com.tw                             # 一個檔案,只有 From/To 欄位的結果
To: <aa@xxx.com.tw>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on twnic.net.tw
X-Spam-Level: *************
X-Spam-Status: Yes, score=13.6 required=7.0 tests=BAYES_95,EMPTY_MESSAGE,
        FROM_AND_TO_SAME,MISSING_HB_SEP,MISSING_SUBJECT,NO_REAL_NAME,NO_RECEIVED,
        NO_RELAYS autolearn=no version=3.1.8
# 後略


[rain6966]

這段時日找了很多,如 SPF ,DM ,DMIK ,從 郵件 ”網域驗證” 的方向去找尋,
如:
1.   精華區 => 酷!學園 精華區
   “Sendmail + DomainKey 實作分享” 作者: abelyang
   http://phorum.study-area.org/index.php?topic=40579.0
2.   Tommy 碎碎念 部落格 的“Postfix 與 DomainKeys”
  http://blog.teatime.com.tw/1/post/114
 
  其連結許多參考文件 ,值得對這方面有興趣的人細讀.
 
但因不熟悉 Linux 系統,(本公司郵件伺服器為請人架設).
又訪談多家的網路公司,其給的答案無法保證可行(商業防垃圾機台也許可行?);
實讓人困擾.
也許 ,快則花錢請高手裝裝看? 慢則等基本功練成再試試吧 !

我忽然又有一問題: SPF ,DK 或DKIM 真的可擋偽裝信件 ?

今日我困座一大推此類垃圾郵件中 ,忽靈機一動,
再從郵件標頭,針對not spam(whitelisted),去找問題

X-XXX-MailScanner-SpamCheck: not spam (whitelisted),
   SpamAssassin (not cached, score=26.115, required 5.5, autolearn=spam

我動了一下 MailScanner的設定,做法如下:
vi /etc/MailScanner/rules/spam.whitelist.rules
From:           192.168.        yes
From:           111.222.333..      yes
From:          *@XXX.com.tw        yes
FromOrTo:       default         no


我把 From:          *@XXX.com.tw        yes
改為 # From:       *@XXX.com.tw        yes
註解掉.
      111.222.333. 為我公司郵件伺服器的IP網段 .

這樣好像可針對偽裝自己網域發出的郵件做偵測,
到目前可擋掉此類偽裝垃圾郵件(早上09:30 到現在14:40,檔了40封信)
希望不要馬上又”淪陷” .


謝謝學長大大們的回覆 .

[timxn]

我忽然又有一問題: SPF ,DK 或DKIM 真的可擋偽裝信件 ?

這些在來源信件doamin的dns上要設定好才會有效果.
SPF較為簡單,且有效.

而相對DK或DKIM可以說是個廢物.
Spamer還是可以查到相對的key等資訊,來假冒.只是要針對每一個domain去假冒,一樣擋不了.

即然有SPF了,何必要一個沒用的DK或DKIM?