Discussion:
To abc, xzbf, guguuk og andre gubbeligukk@domene
(too old to reply)
Odd Skjaeveland
2007-01-26 10:53:15 UTC
Permalink
Det forsøkes jevnt og trutt å sende epost til heftige brukernavn som
abc, abd, gghi o.l. på et av våre domener. Brukernavnet er oftest tre
eller fire tegn langt, men jeg har sett enkelte med fem og med seks
tegn.

Klientene er spredd over et stort antall IP-adresser, men jeg har ikke
sjekket loggfiler langt nok tilbake i tid til å peke ut gjengangere.
Aktiviteten er lav (20 - 50 forsøk per døgn). Det ser ut som om de
fleste kan blokkeres ved å avvise klienter med dynamisk IP-adresse, og
det peker vel i retning av infiserte hjemme-PCer.

Fenomenet er nok kjent for dem som følger bedre med enn jeg har gjort
i det siste, og jeg lurer om PC-infeksjonen jeg eventuelt ser spor av
her, har et navn.
--
Odd Skjaeveland ***@hamso.no
Steinar Haug
2007-01-26 12:03:00 UTC
Permalink
Post by Odd Skjaeveland
Det forsøkes jevnt og trutt å sende epost til heftige brukernavn som
abc, abd, gghi o.l. på et av våre domener. Brukernavnet er oftest tre
eller fire tegn langt, men jeg har sett enkelte med fem og med seks
tegn.
Klientene er spredd over et stort antall IP-adresser, men jeg har ikke
sjekket loggfiler langt nok tilbake i tid til å peke ut gjengangere.
Aktiviteten er lav (20 - 50 forsøk per døgn). Det ser ut som om de
fleste kan blokkeres ved å avvise klienter med dynamisk IP-adresse, og
det peker vel i retning av infiserte hjemme-PCer.
Fenomenet er nok kjent for dem som følger bedre med enn jeg har gjort
i det siste, og jeg lurer om PC-infeksjonen jeg eventuelt ser spor av
her, har et navn.
Det er rett og slett forsøk på å finne *fungerende* epost-adresser slik
at disse senere kan brukes som spam-mottakere etc. Svært vanlig teknikk.

Steinar Haug, Nethelp consulting, ***@nethelp.no
Odd Skjaeveland
2007-01-26 12:35:49 UTC
Permalink
Post by Steinar Haug
Det er rett og slett forsøk på å finne *fungerende* epost-adresser
slik at disse senere kan brukes som spam-mottakere etc. Svært vanlig
teknikk.
Det var ett av de mulige formålene jeg så for meg, men at klientene er
spredd på mange IP-adresser, gjorde at jeg lurte på om formålet er noe
annet. Her er listen over mulige formål jeg tenkte på:

1) finne gyldige e-postadresser
2) bounce til ugyldig avsender (fylle serverens utgående kø med
uleverte bounce-meldinger)
3) bounce til gyldig, men uskyldig avsender som noen har lagt for hat
(backscatter)
4) fylle eventuell grålistingsdatabase til noe slutter å virke

Ingen av 2-4 slår til her, men før eller senere klarer de nok å
generere en gyldig bruker slik at de kan sende spam.

Hva er aktuelle tiltak utover null-alternativet (ikke gjøre noe)?
--
Odd Skjaeveland ***@hamso.no
Peter N. M. Hansteen
2007-01-26 16:50:55 UTC
Permalink
Post by Odd Skjaeveland
Hva er aktuelle tiltak utover null-alternativet (ikke gjøre noe)?
det vi har gjort her, er å sette opp OpenBSDs spamd (som er noe helt
annet enn spamassassin sitt program med samme navn), til å drive
grålisting, tjærehull på kjente spamavsendere og lokal 'greytrapping'.

Det siste fungerer kort og godt slik: vi har en liten liste med
adresser som vi *vet* aldri vil få legitim post, for eksempel slike
som har slående likhet med message-ID. Blir det forsøkt sendt post
til en slik adresse, er det god grunn til å tro at meldingen er spam,
og avsenders IP-adresse havner i svartelisten i 24 timer. Maskiner i
svartelisten blir henvist til en prosess som fører en liksom-SMTP-dialog
der svar presenteres med en byte i sekundet, til de gir opp.

Du trenger en BSD for å gjøre akkurat dette, men det skulle ikke
forundre meg om liknende ting er implementert på Linux også. Du kan
lese om slikt og beslektet på http://home.nuug.no/~peter/pf/ (der jeg
dessverre ikke har rukket over å oppdatere norsk side, beklager)
--
Peter N. M. Hansteen, member of the first RFC 1149 implementation team
http://www.blug.linux.no/rfc1149/ http://www.datadok.no/ http://www.nuug.no/
"First, we kill all the spammers" The Usenet Bard, "Twice-forwarded tales"
delilah spamd[29949]: 85.152.224.147: disconnected after 42673 seconds.
Odd Skjaeveland
2007-01-26 17:58:19 UTC
Permalink
... Blir det forsøkt sendt post til en slik adresse, er det god
grunn til å tro at meldingen er spam, og avsenders IP-adresse havner
i svartelisten i 24 timer. Maskiner i svartelisten blir henvist til
en prosess som fører en liksom-SMTP-dialog der svar presenteres med
en byte i sekundet, til de gir opp.
Ja, men jeg er ikke sikker på at dette gjør så mye fra eller til idet
IP-adressene er så spredd (få om noen gjengangere), men det bare
sysning inntil videre. Jeg har laget noen enkle script for å trekke
relevante data ut av mailloggene og skal mekke videre for å å telle
opp antall forsøk per IP for å få noe mer håndfast.
--
Odd Skjaeveland ***@hamso.no
Peter N. M. Hansteen
2007-01-26 20:29:50 UTC
Permalink
Post by Odd Skjaeveland
Ja, men jeg er ikke sikker på at dette gjør så mye fra eller til idet
IP-adressene er så spredd (få om noen gjengangere), men det bare
sysning inntil videre.
Svartlister har nok mindre effekt enn grålisting, det er sant. Men
bruk av en effektiv og ordentlig vedlikehold svartliste kan gi en del
underholdning.
--
Peter N. M. Hansteen, member of the first RFC 1149 implementation team
http://www.blug.linux.no/rfc1149/ http://www.datadok.no/ http://www.nuug.no/
"First, we kill all the spammers" The Usenet Bard, "Twice-forwarded tales"
delilah spamd[29949]: 85.152.224.147: disconnected after 42673 seconds.
Odd Skjaeveland
2007-01-28 20:10:19 UTC
Permalink
Post by Peter N. M. Hansteen
Svartlister har nok mindre effekt enn grålisting, det er sant. Men
bruk av en effektiv og ordentlig vedlikehold svartliste kan gi en del
underholdning.
Loggfilene for siste uken viser 286 forsøk fra 282 unike IP-adresser,
4 har prøvd to ganger hver. Det kan tyde på at verken grå- eller
svartlisting vil ha særlig virkning.
--
Odd Skjaeveland ***@hamso.no
Peter N. M. Hansteen
2007-01-28 20:17:18 UTC
Permalink
Post by Odd Skjaeveland
Loggfilene for siste uken viser 286 forsøk fra 282 unike IP-adresser,
4 har prøvd to ganger hver. Det kan tyde på at verken grå- eller
svartlisting vil ha særlig virkning.
Så sant disse adressene er maskiner du ikke har mottatt post fra før,
ville grålisting kappet kommunikasjonen før det ble aktuelt å vurdere
om brukeren fantes eller ikke. Hvis maskinene fantes i svartlistene
som spamd bruker, ville de blitt holdt i tjærehullet til de ga opp.
Sannsynligvis ville du sett en merkbar effekt, men 100% fjerning kan
nok ingen garantere.
--
Peter N. M. Hansteen, member of the first RFC 1149 implementation team
http://www.blug.linux.no/rfc1149/ http://www.datadok.no/ http://www.nuug.no/
"First, we kill all the spammers" The Usenet Bard, "Twice-forwarded tales"
delilah spamd[29949]: 85.152.224.147: disconnected after 42673 seconds.
Odd Skjaeveland
2007-01-29 08:07:56 UTC
Permalink
Post by Peter N. M. Hansteen
Så sant disse adressene er maskiner du ikke har mottatt post fra før,
ville grålisting kappet kommunikasjonen før det ble aktuelt å vurdere
om brukeren fantes eller ikke.
Hmm, jeg har valgt å gjøre det motsatt, dvs jeg avviser e-post til
ukjente brukere, mens e-post til kjente brukere går innom grålisting.
Fordelen, slik jeg tenkte meg det, er at grålisten ikke fylles selv
ved intensiv bruk av den aktuelle teknikken for å søke etter en gyldig
e-postadresse. Prisen er selvsagt at klienten umiddelbart får vite at
adressen ikke virket, noe som dessverre gjør søket mer effektivt. Jeg
skal vurdere å flytte grålistingen til et tidligere punkt i smtp-løpet
for å se hvordan det virker.
--
Odd Skjaeveland ***@hamso.no
Loading...