酷!學園

技術討論區 => Network 討論版 => 主題作者是: tonyvan123 於 2016-05-24 10:37

主題: 病毒信的來源
作者: tonyvan1232016-05-24 10:37
請教附件中的病毒信是怎麼寄給tony.van的
附件中我只把公司的前3個字母塗掉
主題: 這是原信的text,以方便各位專家回覆
作者: tonyvan1232016-05-24 10:58
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw
Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件
Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza
主題: Re: 病毒信的來源
作者: twu22016-05-24 11:10
廣告信怎麼寄的, 病毒信就怎麼寄.

不過就是透過 smtp 寄信啊 (話話 internet 應該也沒有不是透過 smtp 寄的信).....

塗掉的三個字在 header 上還是有... 那一行就是你們 server 收到信的記錄 (只有這個是可信的)...
當然...你也只能知道上一層的 ip... 再之前, 就不是你管的到的.
主題: Re: 這是原信的text,以方便各位專家回覆
作者: tonyvan1232016-05-24 17:13

1. Part 1: 很想知道,怎麼用假帳號 GarzaLouisa75 利用  biz.rr.com 寄出
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>



2. Part 2: 已證實是同時寄給 tony.van@和nuichuan@,所以收件者無疑問,但是有個前題,未在前面提,現加說明
    公司的 tony.van@ 這個帳號是加入了一個MAIL GROUP: super..... (我用super+....代替)之後才開始收到病毒信
    所以問題來了,他們怎由 super..... 這個GROUP中知道所有收件人的E-MAIL帳號
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"



Part 3: Message-Id: 是怎麼假造出來的,Mail Server(此例為:biz.rr.com)不會檢查Message-Id嗎?
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件


Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza
[/quote]
主題: Re: 病毒信的來源
作者: twu22016-05-24 17:20
信件的 header, 收到什麼就什麼, 要假造什麼資料都可以.
而且... SMTP 沒有 "檢查" 信件內容的功能.... 所以什麼都可以是假的. 要檢查請自己用另外的軟體去中介處理.

唯一可信的是你自已 server 加上的.... 你說的那幾個 postfix 加上的. postfix 本來就會把 group 轉發給每一個.
比較詳細的資訊請自己去看 log.
主題: Re: 病毒信的來源
作者: tonyvan1232016-05-24 18:15
信件的 header, 收到什麼就什麼, 要假造什麼資料都可以.
而且... SMTP 沒有 "檢查" 信件內容的功能.... 所以什麼都可以是假的. 要檢查請自己用另外的軟體去中介處理.

唯一可信的是你自已 server 加上的.... 你說的那幾個 postfix 加上的. postfix 本來就會把 group 轉發給每一個.
比較詳細的資訊請自己去看 log.

TW大的意思是說,信根本不是由bizz.rr.com寄出的,是由機器人電腦寄出,要擋這樣的mail,只能用Layer 7用關鍵字去擋
主題: Re: 病毒信的來源
作者: twu22016-05-24 20:42
是那兒寄來的沒錯... 不過... 難不成你要把 rr.com 擋了?
那可是一個很大的 pool.... 如果是這種擋法, 應該沒多久全世界可能有八成的 ip 都會被你擋掉了.
主題: Re: 病毒信的來源
作者: netman2016-05-24 22:36
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
這是對方用本機的 postfix 來寄,有可能也是肉雞...

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
看來就直接傳到你的 ms7 來,對方的 IP 是 70.63.251.34,你不爽的話可以擋掉它。
不過如 twu2 兄所言,擋不完啦...

看看有沒有RBL,或許可以設定一下~~

主題: Re: 病毒信的來源
作者: dark2016-05-26 00:16
您可以 google 一下 "telnet 寄信"
然後照著打 , 寄給自己
你就會知道 mail 運作方式了

也順便用不同的讀信軟體開來看看
能大略知道各標頭是給誰用的

若願意 , 在 google 一下 "telnet 看網頁"
就更能體會出這些協定標頭存在的意義

完成上述後 , 你可以寄給自己不同手法的信
你就不覺得那封信奇怪了

另外
可以打錯帳號 , 試看看猜帳號手法
利用不存在帳號退信 , 達到寄信手法


若貴公司沒有 mail spam
您這問題應該見怪不怪
若有 mail spam , 是否該詢問一下廠商
機器 , 設定若沒問題
你就該想哪裡出現祕密通道了 ...


至於 ... 這種廣告信都沒 "+賴" 關鍵字
沒專人聊天 , 直接刪除就是了

主題: Re: 病毒信的來源
作者: tonyvan1232016-05-26 10:30
您可以 google 一下 "telnet 寄信"
然後照著打 , 寄給自己
你就會知道 mail 運作方式了

也順便用不同的讀信軟體開來看看
能大略知道各標頭是給誰用的

若願意 , 在 google 一下 "telnet 看網頁"
就更能體會出這些協定標頭存在的意義

完成上述後 , 你可以寄給自己不同手法的信
你就不覺得那封信奇怪了

另外
可以打錯帳號 , 試看看猜帳號手法
利用不存在帳號退信 , 達到寄信手法


若貴公司沒有 mail spam
您這問題應該見怪不怪
若有 mail spam , 是否該詢問一下廠商
機器 , 設定若沒問題
你就該想哪裡出現祕密通道了 ...


至於 ... 這種廣告信都沒 "+賴" 關鍵字
沒專人聊天 , 直接刪除就是了

我試著在FreeBSD的Postfix中加入Spam看看
主題: Re: 病毒信的來源
作者: tonyvan1232016-05-26 10:33
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
這是對方用本機的 postfix 來寄,有可能也是肉雞...

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
看來就直接傳到你的 ms7 來,對方的 IP 是 70.63.251.34,你不爽的話可以擋掉它。
不過如 twu2 兄所言,擋不完啦...

看看有沒有RBL,或許可以設定一下~~

RBL用了3個
sbl.spamhaus.org

cbl.abuseat.org

dul.dnsbl.sorbs.net
主題: Re: 病毒信的來源
作者: dark2016-05-27 06:57
您另一篇 "存在不同版本module" 該不會是您開始動作了吧 ...

真訝異 ...
貴公司年紀不小了 , mail server 竟然這麼清閒

小弟對 mail 這協定也感冒 ... 所以沒深入研究
就很久以前玩過一次 ironport 的經驗 (一次就很給面子了)
記憶中 ..

當 mail server 前端層層保護整合成一台後
RBL 功能屬於最前端 firewall 部分
黑名單的 syn 封包直接就丟棄了

而完成三項交握後 , 反解 dns 查看該 IP 是否有 MX 記錄
沒有 MX 記錄則中斷連線

這封病毒信可是來自浮動 IP


或許現在 mail 技術有變 , 但基本上邏輯應該不會差太多
因為網路設備的技術 , 與架構牽動著
..... 嗯 .. 貴公司真不只一台 mail 嗎 ?

主題: Re: 病毒信的來源
作者: tonyvan1232016-05-27 16:15
您另一篇 "存在不同版本module" 該不會是您開始動作了吧 ...

真訝異 ...
貴公司年紀不小了 , mail server 竟然這麼清閒

小弟對 mail 這協定也感冒 ... 所以沒深入研究
就很久以前玩過一次 ironport 的經驗 (一次就很給面子了)
記憶中 ..

當 mail server 前端層層保護整合成一台後
RBL 功能屬於最前端 firewall 部分
黑名單的 syn 封包直接就丟棄了

而完成三項交握後 , 反解 dns 查看該 IP 是否有 MX 記錄
沒有 MX 記錄則中斷連線

這封病毒信可是來自浮動 IP


或許現在 mail 技術有變 , 但基本上邏輯應該不會差太多
因為網路設備的技術 , 與架構牽動著
..... 嗯 .. 貴公司真不只一台 mail 嗎 ?

ironport公司應該不會買,價格和上層習慣的問題,總公司目前用Mikrotik 1100ah作gateway和防火牆,試過Layer 7,非常陽春,基本上regex沒有作用,只能用關鍵字而已,MIS目前有3位,有專業知識的只有我1位,公司有300至350人之間,分佈在30個點,合作的經銷商.代理商有近80個

目前我受總經理和我屬下的監視中(另篇提到的貴公子),雖然我到公司已10年,但我不被信任,我屬下到公司已5年了,產值仍為負數的,他除了挖洞給我跳,也挖洞給北部所有同事跳,但公司無意讓我訓練他,也無意Fire掉他,以上看完,應該知道資訊這塊公司雖重視,但認知卻遠遠不足

公司花了約50萬讓那位貴公子上課(5年),花在我身上約20萬(10年)

我只能就現有設備發揮

mail server嗎?只有1台 ?
mail server忙碌當然比不上像物流公司,每天E-MAIL SEND約萬封(MAIL GROUP也只算1封)
主題: Re: 病毒信的來源
作者: dark2016-05-28 10:01
不錯了 ... 小弟還沒遇過願意投資在小弟身上的 ...
小弟碰過的設備 , 大多是路過小弟身邊趁機偷玩的

對 mail 感冒是打定主意不想碰
所以當初跟 ironport 的一面之緣 , 也很猶豫要不要花時間偷拆來玩
... 雖然在那多年後有碰過 mail 附件與稽核的問題 , 算多少有一點幫助

mail 這東西一直讓人卻步 ... 以前 "mail 大型架構" 時期更甚
所以小弟在站裡很少參與 mail 討論 ...


說清閒是指 .. 這麼少防護 , 卻也這麼少騷擾 ...

而這篇討論的重點 , 在於阻擋 ip 而非 domainname
異地而處 , 若中毒來自貴公司內部呢 ?

昨天剛睡醒 , 邏輯不是那麼清楚 ...
記得雖設了多筆 MX , 但都指向同一 IP
所有設備都在那台 gateway 後面
而貴公司非擁有大型 IP 網段

那最精簡方案剩 dns 時間當緩衝
您卻設 7 天
主題: Re: 病毒信的來源
作者: tonyvan1232016-05-30 13:43
不錯了 ... 小弟還沒遇過願意投資在小弟身上的 ...
小弟碰過的設備 , 大多是路過小弟身邊趁機偷玩的

對 mail 感冒是打定主意不想碰
所以當初跟 ironport 的一面之緣 , 也很猶豫要不要花時間偷拆來玩
... 雖然在那多年後有碰過 mail 附件與稽核的問題 , 算多少有一點幫助

mail 這東西一直讓人卻步 ... 以前 "mail 大型架構" 時期更甚
所以小弟在站裡很少參與 mail 討論 ...


說清閒是指 .. 這麼少防護 , 卻也這麼少騷擾 ...

而這篇討論的重點 , 在於阻擋 ip 而非 domainname
異地而處 , 若中毒來自貴公司內部呢 ?

昨天剛睡醒 , 邏輯不是那麼清楚 ...
記得雖設了多筆 MX , 但都指向同一 IP
所有設備都在那台 gateway 後面
而貴公司非擁有大型 IP 網段

那最精簡方案剩 dns 時間當緩衝
您卻設 7 天

哇,那我算是辛運了,曾上過SQL Server 6.5(約18年前了),公司幫我付了全額,Tuxedo是上個公司同仁幫我上課,大概也花了64個小時,Oracle
 tunning也是上個公司的同仁幫我上的課,也花24小時

5月23日就出現了和合作廠商的E-MAIL不通的問題,從那時開始清查MAIL帳號,共查到5個帳號被盜,10個已離職的帳號也一起刪了,至今還在查MAIL Server和WEB Server共有那些帳號被盜

  不過WEB帳號就難查了,因為有些合作廠商的點並沒有固定IP,又加上他們下班時間在22:00,清查完他們送修的產品約在01:30,清查起來格外費力
主題: Re: 病毒信的來源
作者: zelda2016-05-31 17:46
聽起來上個公司的氣氛不錯啊
同事會分享技術