IP adresy Gmailu jsou na blacklistu SORBS DNSBL

[Lemming]

Tak jistě. Co na tom, že zmizí polovina emailů, které nejsou spamy. Jak psal Jirsák, se kterým výjimečně musím souhlasit - rovnou ten mailserver vypni.

Před dávnými a dávnými lety, ještě ve zlaté éře SpamAssassinu jsem se (anti)spamem docela zabýval. Dokonce jsem dělal i nějakou rozsáhlejší statistiku a vyšlo mi, že antispam založený na blacklistech sice zachytí asi polovinu spamů, ale rovněž odmítne čtyři procenta legitimních mailů. Takže polovina to není, ale i 4% jsou docela dost - je to každý 25 mail. Napsal jsem o tom článek a publikoval ho na Lupě, ještě by mohl být k dohledání.

Dnes čísla budou možná o něco jiná, ale nepředpokládám, že by se procento false positives nějak výrazně zlepšilo.

[Reklama]

[Filip Jirsák]

Cist bys mel spis ty protoze vubec nechapes o cem se tu mluvi ... .

Já to chápu. A vám by to možná došlo, kdybyste si kliknul na ten odkaz, který jsem uváděl, a podíval se, jaké jsou tam blacklisty. Je dost smutné, že ty blacklisty používají „správci“, kteří ani nevědí, co v nich je.

[foldy]

    blokace podle blacklistu je sice krutější, ale účinnější a nutí providery a uživatele řešit chyby.


No, já ti opravdu nic řešit nebudu. Pokud budeš mít poštu u podobného debila, tak ti řeknu, ať si zřídíš funkční email jinde nebo ať neočekáváš, že ti budou emaily chodit. (Již léta provozujeme, pokud si někdo stěžuje, že mu nechodí emaily na Yahoo nebo tam, kde provozují tuto hrůznou parodii na antispam (např. Centrum.cz.)

Řešit to možná budou tvoji uživatelé, přemístěním mailů k menšímu debilovi.

Ok pak existuje druhá možnost, za potvrzený provar od providera v případě neochoty řešit své problémy je permaban jeho smtp, někteří si o to koledují, to by bylo asi pro ně horší než blacklist, kde si můžou přečíst co mají za problém. Blokaci dle sezonních problémů měním z new.spam.sorbs na recent.spam.sorbs, což jsou 48H a 30D blokace, samozdřejmě kdo tam dá celý dnsbl nemůže se pak divit. Můžu dokázat přímou korelaci mezi použitím filtrovaného scoringu a přímé blokace dle blacklistů. Druhý případ dokazatelně snižuje napadení našich klientů kvartálně z X desítek případů na max 5 případů, vše otestováno na 6 letém provozu. To je dost velký rozdíl. Navíc pokud má někdo napadený server, je vysoká šance, že regulérní pošta se je pouze pseudoregulérní a je to ukradený účet a nikdo kromě odesilatelova providera to není schopen prověřit.

Každý půlrok je zveřejněný únik milionů účtů od XY providera, jak dlouho si myslíš že trvá recover a změna hesel po takovém úniku.... Klidně i 2 roky se ještě velká část z těch účtů zneužívá a nikdo totálně nikdo to neřeší. Takový provider tedy nemá v globální komunikaci co dělat min po dobu problému.

[Lol Phirae]

Ok pak existuje druhá možnost, za potvrzený provar od providera v případě neochoty řešit své problémy je permaban jeho smtp

To asi neusnu. Prostě ten mailserver vypni, jeho uživatelé to určitě po zásluze ocení, počet napadení se určitě sníží na nulu a navrch se nebudou zdržovat čtením emailů od zákazníků.

 

[priv]

jestli se konecne podari SJW utokem na sorbs odrovnat google, tak jim snad i za tenhle jeden jedinecny vykon podekuju.

[Reklama]

[Filip Jirsák]

Můžu dokázat přímou korelaci…

Tak dokazujte.

Snad se při tom dokazování dozvíme, proč je váš komentář tak zmatený a důsledně v něm spojujete věci, které spolu nijak nesouvisí. Blokace SMTP klientů dle IP adres a počty napadení asi klientských stanic, úniky účtů (asi úniky hesel u různých služeb – e-shopy, seznamky, fóra) a e-mailová komunikace…

[Rosta]

Tak osobne si myslim, ze automaticku blokovat maily, ktore su na nejakom blackliste je kolosalna blbost.

Ak mozem poradit, tak nam sa v praxi osvedcilo toto:
1. Automaticky zahadzovat pripojenie na mailservry od ip adries, ktore nesplnaju podmienky SPF, DKIM alebo DMARC. Respektujete totiz to, co si zela majitel domeny, z ktorej prichadza email.
2. Vsetko ostatne ma mailserver prijat a poslat na antispamovy filter. Posta bude bud dorucena do schranky,alebo do slozky Spam. Nic sa automaticky nemaze. Uzivatelia si musia sami spamovu slozku mazat, su to ich spamy. Vo velkych firmach, kde by to mohlo sposobovat problemy je mozne nastavit, ze sa v spamovej slozke budu mazat emaily strarsie cca 2 mesiace.

Co sa tyka blacklistov,tak by mali mat iba poradny charakter. To znamena emailu priradit nejake body. Ale ak email neprekroci nejaku nastavenu hranicu bodov, od ktorej je povazovany za spam, tak dorucit do dorucenej posty.

[foldy]

Ok pak existuje druhá možnost, za potvrzený provar od providera v případě neochoty řešit své problémy je permaban jeho smtp

To asi neusnu. Prostě ten mailserver vypni, jeho uživatelé to určitě po zásluze ocení, počet napadení se určitě sníží na nulu a navrch se nebudou zdržovat čtením emailů od zákazníků.

 

Jasně klidně to vypnu, tolik desítek tiisíc firemních domén vesměs komunikuje mezi sebou a a provoz ven a z venku je max 50%, to se dá určitě překousnout.

[foldy]

Můžu dokázat přímou korelaci…

Tak dokazujte.

Snad se při tom dokazování dozvíme, proč je váš komentář tak zmatený a důsledně v něm spojujete věci, které spolu nijak nesouvisí. Blokace SMTP klientů dle IP adres a počty napadení asi klientských stanic, úniky účtů (asi úniky hesel u různých služeb – e-shopy, seznamky, fóra) a e-mailová komunikace…

Je to jednoduché, klient komunikuje s kompromitovaným účtem, dostane zpět z něj zpět exploit v externím odkazu většinou přes kompromitovaný web té firmy, který vyzradí heslo z jeho outlooku, útočník se připojí do schránky, nastavý přesměrování příchozí pošty na externí účet, vytvoří pravidla pro mazání příchozí pošty z kompromitované firmy, aby příjemce nedostával originální zprávy a pouze se přeposílaly, útočník chvíli sleduje komunikaci a pak pošle fakturu na služby s pozměněným číslem účtu nebo provádí jakoukoliv jinou průmyslovou špionáž dle zaměření. Má to jedno společné, časové otisky vždy sedí s listingy na sorbsu takže ty smtp jsou v ten čas již zalistované. Patrně sorbs má dobré sondy po světě a správné vzorky a umí to rozpoznat. Sorbs používá i spoustu úřadů, takže dat o provozu mají zdá se dost. Nevylučuji false pozitive listingy, ale pro tyto útoky časové značky vždy sedí. Content blockerem máte většinou smůlu, protože odkazy se tváří v pořádku a pokud se pouze scoruje tak dostamou pouze za sorbs blacklist a zpráva s odkazem projde. Pokud se blokuje natvrdo, tak to neprojde a útok se nepovede, to je ten jediný rozdíl. Korelace je tam jasná a dokázána na 5 letém zkoumání. Nedivím se že je aktuálně gmail na sorbsu, protože poslední 3 měsíce se v exploitnutých schránkám v 80% používají přeposílání na gmail účty. Předtím to byl yahoo, t-online apod. stále se to střídá technika stejná sorbs vždy odhalí. kundenserver.de to byl před 3 lety a ještě se z toho nevyhrabaly. Každý rok dělám kontrolní měsíc, kdy vypnu IP blokaci a zapnu scoring a v tom daném měsíci se objeví 5 případů těchto útoků. Náhoda ? Ne. S operátory se dá dohodnout většinou a kompromitované schránky se rychle odhalí, kundenserver, gmail, yahoo nekomunikuje, no tak mají smůlu...

[Lol Phirae]

Je to jednoduché

[Filip Jirsák]

To je text generovaný AI? Věty jsou sestavené správně, použitá slova se týkají společného tématu, akorát generátor toho textu evidentně nechápe význam těch slov.

klient komunikuje s kompromitovaným účtem, dostane zpět z něj zpět exploit v externím odkazu většinou přes kompromitovaný web té firmy

„Kompromitovaný účet“ znamená uživatelský účet, do kterého se dostal i někdo jiný, než oprávněný majitel – třeba protože zjistil heslo uživatele. Na tom, že se k účtu přihlásí jeho oprávněný uživatel, není nic divného – naopak kompromitace spočívá v tom, že se k účtu přihlásí někdo jiný. Dejme tomu, že ten kompromitovaný účet bude třeba u nějakého e-shopu – pak útočník může vidět kontaktní údaje uživatele, může vidět, co si dotyčný dříve objednal, může jeho jménem učinit novou objednávku. Ale to je vše, nemůže způsobit, že uživatel „dostane z něj zpět exploit v externím odkazu“. To by útočník mohl způsobit, pokud by napadl systém e-shopu a dokázal do něj vkládat své odkazy – ale nijak to nesouvisí s kompromitací uživatelského účtu.

outlooku, útočník se připojí do schránky, nastavý přesměrování příchozí pošty na externí účet, vytvoří pravidla pro mazání příchozí pošty z kompromitované firmy, aby příjemce nedostával originální zprávy a pouze se přeposílaly

Kde se tam vedle kompromitovaného účtu vzala ještě kompromitovaná firma? Jaký by mělo smysl mazat nějaké příchozí zprávy – aby uživatel dřív zjistil, že něco není v pořádku?

pak pošle fakturu na služby s pozměněným číslem účtu

Proč celé to složité kompromitování uživatelského účtu, instalace exploitu, získání hesla k e-mailu, kompromitace firmy a přesměrování e-mailů, když mohl útočník rovnou poslat fakturu s pozměněným číslem účtu? Navíc v tom případě by uživateli alespoň dorazila, ve vašem případě ji ten filtr přepošle útočníkovi a smaže…

časové otisky vždy sedí s listingy na sorbsu takže ty smtp jsou v ten čas již zalistované

Jediné nezvyklé e-maily vtom, co jste popsal, jsou ty přesměrované na server útočníka. To není nic, co by SORBS zajímalo – a jediný způsob, jak by se to tom SORBS mohl dozvědět, je že by útočník ty e-maily, které si nechává přeposílat, SORBSu naprášil jako spam. To by udělal jedině v případě, že byste mu k útoku napsal návod.

A takhle to pokračuje dál, co věta, to nesmysl. Sice to jen tak nahazujete a nepouštíte se do žádných detailů, ale i tak se pozná, že nevíte, co ty pojmy ve skutečnosti znamenají.

[foldy]

To je text generovaný AI? Věty jsou sestavené správně, použitá slova se týkají společného tématu, akorát generátor toho textu evidentně nechápe význam těch slov.

klient komunikuje s kompromitovaným účtem, dostane zpět z něj zpět exploit v externím odkazu většinou přes kompromitovaný web té firmy

„Kompromitovaný účet“ znamená uživatelský účet, do kterého se dostal i někdo jiný, než oprávněný majitel – třeba protože zjistil heslo uživatele. Na tom, že se k účtu přihlásí jeho oprávněný uživatel, není nic divného – naopak kompromitace spočívá v tom, že se k účtu přihlásí někdo jiný. Dejme tomu, že ten kompromitovaný účet bude třeba u nějakého e-shopu – pak útočník může vidět kontaktní údaje uživatele, může vidět, co si dotyčný dříve objednal, může jeho jménem učinit novou objednávku. Ale to je vše, nemůže způsobit, že uživatel „dostane z něj zpět exploit v externím odkazu“. To by útočník mohl způsobit, pokud by napadl systém e-shopu a dokázal do něj vkládat své odkazy – ale nijak to nesouvisí s kompromitací uživatelského účtu.

outlooku, útočník se připojí do schránky, nastavý přesměrování příchozí pošty na externí účet, vytvoří pravidla pro mazání příchozí pošty z kompromitované firmy, aby příjemce nedostával originální zprávy a pouze se přeposílaly

Kde se tam vedle kompromitovaného účtu vzala ještě kompromitovaná firma? Jaký by mělo smysl mazat nějaké příchozí zprávy – aby uživatel dřív zjistil, že něco není v pořádku?

pak pošle fakturu na služby s pozměněným číslem účtu

Proč celé to složité kompromitování uživatelského účtu, instalace exploitu, získání hesla k e-mailu, kompromitace firmy a přesměrování e-mailů, když mohl útočník rovnou poslat fakturu s pozměněným číslem účtu? Navíc v tom případě by uživateli alespoň dorazila, ve vašem případě ji ten filtr přepošle útočníkovi a smaže…

časové otisky vždy sedí s listingy na sorbsu takže ty smtp jsou v ten čas již zalistované

Jediné nezvyklé e-maily vtom, co jste popsal, jsou ty přesměrované na server útočníka. To není nic, co by SORBS zajímalo – a jediný způsob, jak by se to tom SORBS mohl dozvědět, je že by útočník ty e-maily, které si nechává přeposílat, SORBSu naprášil jako spam. To by udělal jedině v případě, že byste mu k útoku napsal návod.

A takhle to pokračuje dál, co věta, to nesmysl. Sice to jen tak nahazujete a nepouštíte se do žádných detailů, ale i tak se pozná, že nevíte, co ty pojmy ve skutečnosti znamenají.

Ok jak myslíte, vydím že diskuzy můžeme ukončit, protože jste evidentně nidky žádný útok neřešil. Jen doplním že sorbs opravdu ty přeposlané emaily umí odchytit a označit, know how sorbsu vám nebudu sdělovat jak na to přijdou.  Tohle nejsou útoky za 5000 tohle jsou útoky s milionovými úniky. Nikdy jste patrně nejednal s operátory sorbsu a nerozkrýval s policií organizovaný zločin tohoto typu. Nikdy jste také patrně nezpracovával schema útoku s časovými značkami a neporovnával je s daty ze sond. Nevadí, třeba se k tomu časem dostanete. Samozdřejmě se nemůžu vyjadřovat v textu do detailu, proto jsem pouze nastínil co všechno je k takovému podvodu potřeba a proč ho konkrétně v tom případě IP blokace zastaví.  Ale klidně shazujte ostatní lidi dál, třeba s tím v životě někam dojdete a uspějete

[Filip Jirsák]

jste evidentně nidky žádný útok neřešil.

Á, obhajovat svůj text nechcete, tak aspoň zkoušíte útočit. Jenže těžko můžete blafovat, když pořád ukazujete, že v rukou nic nemáte,

Jen doplním že sorbs opravdu ty přeposlané emaily umí odchytit a označit

Víte co je SORBS? Je to databáze IP adres poskytovaná přes DNS. Jak může databáze IP adres „odchytit a označit e-maily“? Tváříte se jako expert, tak snad dokážete takhle jednoduchou otázku zodpovědět.

know how sorbsu vám nebudu sdělovat

O tom nepochybuju.

vydím že diskuzy můžeme ukončit […] Nevadí, třeba se k tomu časem dostanete.

Vyjmenovaná slova se berou pokud vím ve třetí třídě a tu už mám nějaký ten pátek za sebou. Pokud je pro vás takový problém proniknout do tajů vyjmenovaných slov, proč bych si měl myslet, že bezpečnosti počítačových sítí rozumíte výrazně lépe?

Samozdřejmě se nemůžu vyjadřovat v textu do detailu

Detaily po vás nikdo nechce. Stačilo by, kdyby váš text dával nějaký smysl.

proto jsem pouze nastínil co všechno je k takovému podvodu potřeba a proč ho konkrétně v tom případě IP blokace zastaví.

Zatím to vypadá, že je k takovému podvodu potřeba hlavně velká fantazie. Ale tak třeba zvládnete odpovědět na jednoduchou otázku – píšete, že podvod zastaví „IP blokace“. Předpokládám, že myslíte blokace příchozího spojení na SMTP server podle IP adresy klienta, který navazuje spojení. Kde k té blokaci dochází? V tom vašem schématu vystupovaly jenom dva SMTP servery, a to server zprostředkující odesílání e-mailů pro napadeného uživatele (psal jste o uživateli používajícím Outlook), a dále server, na který si útočník nechává posílat přeposlané e-maily – jako příklad jste uváděl Google. Tu blokaci dle IP adresy tedy provádí jeden z těchto dvou serverů? Který? Nebo ještě nějaký jiný? A která IP adresa je zablokována?

Ale klidně shazujte ostatní lidi dál, třeba s tím v životě někam dojdete a uspějete

Když se tváříte jako expert, přitom nejste schopen napsat text, který by dával nějaký smysl, tak se nedivte. Mohl jste mé připomínky rozcupovat a ukázat, že jste sice používal vágní termíny, ale přitom jste velice dobře znal podstatu věci a z fleku to popíšete přesněji. Místo toho jste nasypal na hromadu spoustu dalších vágních termínů a tváříte se u toho jak mistr světa.

[Lol Phirae]

know how sorbsu vám nebudu sdělovat jak na to přijdou.  tohle jsou útoky s milionovými úniky. Nikdy jste patrně nejednal s operátory sorbsu a nerozkrýval s policií organizovaný zločin tohoto typu.

[foldy]

Jen doplním že sorbs opravdu ty přeposlané emaily umí odchytit a označit

Víte co je SORBS? Je to databáze IP adres poskytovaná přes DNS. Jak může databáze IP adres „odchytit a označit e-maily“? Tváříte se jako expert, tak snad dokážete takhle jednoduchou otázku zodpovědět.

proto jsem pouze nastínil co všechno je k takovému podvodu potřeba a proč ho konkrétně v tom případě IP blokace zastaví.

Zatím to vypadá, že je k takovému podvodu potřeba hlavně velká fantazie. Ale tak třeba zvládnete odpovědět na jednoduchou otázku – píšete, že podvod zastaví „IP blokace“. Předpokládám, že myslíte blokace příchozího spojení na SMTP server podle IP adresy klienta, který navazuje spojení. Kde k té blokaci dochází? V tom vašem schématu vystupovaly jenom dva SMTP servery, a to server zprostředkující odesílání e-mailů pro napadeného uživatele (psal jste o uživateli používajícím Outlook), a dále server, na který si útočník nechává posílat přeposlané e-maily – jako příklad jste uváděl Google. Tu blokaci dle IP adresy tedy provádí jeden z těchto dvou serverů? Který? Nebo ještě nějaký jiný? A která IP adresa je zablokována?

Nepíši články, nemusím tudíž být expert na vyjmenovaná slova, vy jste začal napadat můj text první a vaše komentáře neměli konstruktivní smysl, proto z toho vzniklo to co vzniklo. Část posledního co jste napsal zní vcelku normálně tak vám na něj odpovím, k dalšímu se již nebudu vyjadřovat. V diskuzi se řešila blokace skorovacím filtrem versus IP blokací. Snažil jsem se nastínit proč IP blokace zamezí určitému typu útoků a je tedy lepší po stránce zmaření útoku za cenu nepřijetí ostatní pošty ze zdroje v čase, kdy je na blacklistech. A je externí napadený účet u providera B je neinfikovaný účet s oménou používající sorbs. A je útočníkem prostudováno a současně je kompromitován web firmy A. Vytipuje cíl B. Začne komunikaci s cílem B a sleduje (pokud tak již nebylo učiněno z předchozí analýzy komunikace MUA od B) v komunikaci otisky MUA B účtu. A pošle poté B url link s odkazem na exploit specificky pro jeho MUA, který je nahrán u A na webu. Formát emailu je klasická komunikace, čili nic zvláštního, většinou je to přidáno do běžné komunikace, když spolu A a B čili skuteční klienti běžně komunikují. Pokud se to povede B je napaden. Pak již probíhá napadení infrastruktury firmy B a vlastní útok buď s podvrženou fakturou apod. Kdy pokud to míra napadení umožňuje snaží se to kombinovat i s nějakým útokem na infrastrukturu A i B (hlavně na účetní systémy apod. ) tak aby byla nesrovnalost a útok odhalen co nejpozději.
Rozdíl scoring filtru vůči IP blokaci je ten, že ten exploit email od A když projde scoringem dostane např. +1 za sorbs a normálně přijde B, protože to score nestačí. Pokud jde o IP blokaci email B nepřijde, a desilatel A je notifikován o problému a může se hned začít řešit... Při správné investigaci se napadení hned odhalí a nedojde ke škodám.
A ta finta speciálně se sorbsem, který jako jeden z mála sleduje i tuto síť útočníků je odhalí dřív a zalistuje smtp na blacklist než přijde email s exploitem od A k B.
Ohledně vaší námitky jak může databáze ip adres odchytit a označit emaily : Ta úvaha je špatná já se bavil o procesu listace smtp na blacklist ne o blokaci na smtp, který sorbs používá.
Ta finta sorbsu je právě v použití sond na správných místech současně s technikou odhalení toho napadeného účtu, umožňuje to právě již přeposílání těch emailů napadeného účtu A na sledovací email útočníka. Je k tomu použita statistika, trasování ze sond a dobrá infiltrace, kterou ještě stále ti stejní útočníci neodhalili, popř. útočníci, kteří jejich mechaniky převzali. Nemůžu bohužel prozradit více.