• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Спам

S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
Доброго времени суток, всем..
Стоит почтовый релей на базе postfix+amavisd+spamassassin, за ним стоит доминошка..
Стал проходить спам через релей, причем хитро.. На постфиксе вижу, от кого и кому (в нашей сети) письмо, амавис вместе со спамассасином говорят - письмо чистое - 0,001 балла всего..
Доминошка получает письмо, ложит его пользователю.. открываю свойства документа, смотрю список и содержание полей - даже намека нет, что получателем должен являться данный пользователь.. да и письмо явно "спамсодержащее"
Как отловить такие письма ума не приложу..
Ни кто подобное не ловил?
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
aameno2 сказал(а):
Мошер...ложит....;(
Заголовки покажите?
Нажмите, чтобы раскрыть...
вот заголовки подобного.. но оно словилось на чем то..
Return-Path: <>
Delivered-To: spam-quarantine
X-Envelope-From: <info@lookingers.eu>
X-Envelope-To: <мой юзьверь@romcor.ru>
X-Envelope-To-Blocked:
X-Quarantine-ID: <h2wv7y-qlrP8>
X-Spam-Flag: YES
X-Spam-Score: 3.559
X-Spam-Level: ***
X-Spam-Status: Yes, score=3.559 tag=-999 tag2=2.9 kill=2.9
tests=[HTML_MESSAGE=0.001, RCVD_IN_SBL_CSS=3.558] autolearn=no
Received: from mail.romcor.ru ([127.0.0.1])
by localhost (mail.romcor.ru [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id h2wv7y-qlrP8 for <мой юзьверь@romcor.ru>;
Mon, 10 Oct 2016 05:07:41 +0500 (YEKT)
Received: from lookingers.eu (mail.lookingers.eu [199.217.119.224])
by mail.romcor.ru (Postfix) with ESMTP id C72397FC5D
for <мой юзьверь@romcor.ru>; Mon, 10 Oct 2016 05:06:52 +0500 (YEKT)
Received: from lookingers.eu (unknown [185.118.65.62])
by lookingers.eu (Postfix) with ESMTPA id 706AD283C7B;
Mon, 10 Oct 2016 01:55:59 +0300 (EEST)
Message-ID: <e1a901d22299$78b7d560$76ef147b@info>
From: "=?windows-1251?B?zejq7uvg6SDP8O717vDu4g==?=" <info@lookingers.eu>
To: <1d_fil_01@ro66.fss.ru>
Subject: =?windows-1251?B?4+7x5+Dq4Oc=?=
Date: Mon, 10 Oct 2016 01:56:09 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01D22295.B13F1AA0"
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Нажмите, чтобы раскрыть...
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
а вот что лежит в конце концов у пользователя, когда такое пролетает:
Received: from mail.romcor.ru ([10.0.0.47])
by lotus.romcor.ru (IBM Domino Release 9.0.1FP7)
with ESMTP id 2016101004142758-2118 ;
Mon, 10 Oct 2016 04:14:27 +0500
Received: from localhost (localhost [127.0.0.1])
by mail.romcor.ru (Postfix) with ESMTP id 8B4197FC63;
Mon, 10 Oct 2016 04:12:41 +0500 (YEKT)
X-Virus-Scanned: amavisd-new at romcor.ru
X-Spam-Flag: NO
X-Spam-Score: 0.001
X-Spam-Level:
X-Spam-Status: No, score=0.001 tagged_above=-999 required=2.9
tests=[HTML_MESSAGE=0.001] autolearn=ham
Received: from mail.romcor.ru ([127.0.0.1])
by localhost (mail.romcor.ru [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id 3xesFzscC2O2; Mon, 10 Oct 2016 04:12:40 +0500 (YEKT)
Received: from intermagic.eu (mail.intermagic.eu [62.75.236.205])
by mail.romcor.ru (Postfix) with ESMTP id 394597FC5D;
Mon, 10 Oct 2016 04:12:40 +0500 (YEKT)
Received: from intermagic.eu (unknown [89.108.119.105])
by intermagic.eu (Postfix) with ESMTPA id 98C105641FC;
Mon, 10 Oct 2016 00:40:55 +0300 (EEST)
Message-ID: <848201d2228e$f96df8c0$3d540dd8@info>
From: "=?windows-1251?B?yOLg7SDQ5eHw7uI=?=" <info@intermagic.eu>
To: <nik@riger.ru>
Subject: =?windows-1251?B?wOTs6O3o8fLw4PLu8A==?=
Date: Mon, 10 Oct 2016 00:41:01 +0300
Нажмите, чтобы раскрыть...
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
дада.. разные..
они одновременно и там и там быть не могут)
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
lmike сказал(а):
@swyatogor нотусятина глючать может на отображении
Нажмите, чтобы раскрыть...
это не принципиально))

Received: from mail.romcor.ru ([10.0.0.47])
by lotus.romcor.ru (IBM Domino Release 9.0.1FP7)
with ESMTP id 2016101005092818-2188 ;
Mon, 10 Oct 2016 05:09:28 +0500
Received: from localhost (localhost [127.0.0.1])
by mail.romcor.ru (Postfix) with ESMTP id 284787FC64
for <мой юзьверь@romcor.ru>; Mon, 10 Oct 2016 05:07:42 +0500 (YEKT)
X-Quarantine-ID: <h2wv7y-qlrP8>
X-Virus-Scanned: amavisd-new at romcor.ru
X-Spam-Flag: YES
X-Spam-Score: 3.559
X-Spam-Level: ***
X-Spam-Status: Yes, score=3.559 tagged_above=-999 required=2.9
tests=[HTML_MESSAGE=0.001, RCVD_IN_SBL_CSS=3.558] autolearn=no
Received: from mail.romcor.ru ([127.0.0.1])
by localhost (mail.romcor.ru [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id h2wv7y-qlrP8 for <мой юзьверь@romcor.ru>;
Mon, 10 Oct 2016 05:07:41 +0500 (YEKT)
Received: from lookingers.eu (mail.lookingers.eu [199.217.119.224])
by mail.romcor.ru (Postfix) with ESMTP id C72397FC5D
for <мой юзьверь@romcor.ru>; Mon, 10 Oct 2016 05:06:52 +0500 (YEKT)
Received: from lookingers.eu (unknown [185.118.65.62])
by lookingers.eu (Postfix) with ESMTPA id 706AD283C7B;
Mon, 10 Oct 2016 01:55:59 +0300 (EEST)
Message-ID: <e1a901d22299$78b7d560$76ef147b@info>
From: "=?windows-1251?B?zejq7uvg6SDP8O717vDu4g==?=" <info@lookingers.eu>
To: <1d_fil_01@ro66.fss.ru>
Subject: !*!Amavis_SPAM!*! (3.559)=?windows-1251?B?4+7x5+Dq4Oc=?=
Date: Mon, 10 Oct 2016 01:56:09 +0300
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
весь заголовок какой есть выложил.. никакого bcc в нем нет..дальше только тело письма начинается..
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
133
Ну почему же? dkim & spf, судя по заголовкам, вы не проверяете?
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
амавис+спамассассин проверяет.. иногда в статусе письма видно, что они баллы выставляют.. но конкретно по этим почему-то этих баллов нет..
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
133
Так запретите принимать письма) spf-softfail, и без подписи - в помойку
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
ну можно и серые списки настроить
Ссылка скрыта от гостей

можно еще тренировать
Ссылка скрыта от гостей
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ