Вытянули адреса с сервера ?

[atta]

Подскажите как могли вытянуть адреса с сервера ?

Код: Выделить всё

Jul 22 15:37:21 mx1 exim[23233]: 1KLBUu-00062j-Os <= kickleaonlinejud@kleaonline.org H=([85.110.157.10]) [85.110.157.10] I=[195.206.50.158]:25 P=esmtp S=964 id=138793256.14206712347853@kleaonline.org from <kickleaonlinejud@kleaonline.org> for один@irkd.ru второй@irkd.ru третий@irkd.suu четвёртый@irkd.suu пятый@irkd.suu шестой@irkd.suu седьмой@irkd.suu восьмой@irkt.suu девятый@irkd.suu десятый@irkd.suu

Причем разные даты создания самих ящиков. очень странно. У кого какие мысли ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.

[atta]

ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.

т/е Вы с таким уже сталкивались ? И это нормально ?
Просто интересует, нет ли спец софта для вытягивания адресов с почтовиков.

[Alex Keda]

да.
у меня например есь база адресов всех писем прошедщих через контору...
кто-то тоже собрал и продал ))
мен смысла нет - мелкая, а вот любой средний почтовый сервис - имеет очень большую базу.
она денег стоит - и их продают.

[LMik]

ну с них же кому-то писали.
потом общая база отсортирвалась по доменам и всё.

т/е Вы с таким уже сталкивались ? И это нормально ?

Ну а чего не нормального? Спамеры ж не дураки, такие же одмины там ка мы тут все

[atta]

ht_tp://tests.nettools.ru/

есть такой тест E_Mail Valid:

как то же это проверяется.

Вот я к чему говорю.

[dikens3]

Проверяться может 2-мя путями.

1. командой VRFY, которая на 99% отключена.

Код: Выделить всё

VRFY user

2. Последовательностью команд, описанных в rfc.

Код: Выделить всё

EHLO МОЁ_EHLO
MAIL FROM: <>
RCPT TO: user
QUIT

[shlash]

Подскажите как могли вытянуть адреса с сервера ?
Причем разные даты создания самих ящиков. очень странно. У кого какие мысли ?

По моему мнению, вы совершенно не теми вопросами себе голову занимаете, если только это не целенаправленное изучение методов сбора почтовых адресов. (сисадмином хорошо, а спамером лучше, я бы в спамеры пошел, пусть меня научат )

Код: Выделить всё

kickleaonlinejud@kleaonline.org H=([85.110.157.10])[85.110.157.10] (лишнее отрезано)

Даже при беглом взгляде на лог виден затрояненный домашний компьютер, типичный представитель спамерского ботнета: отсутствие записи в реверсной зоне, использование в качестве HELO ip-адреса. На той стороне однозначно не сервер. Такое надо резать, как можно раньше, прямо на этапе коннекта. По моей статистике, самая первая acl-запись, к тому же являющаяся самой простой:

Код: Выделить всё

acl_check_connect
 deny
  message  = "DNS lookup failed. Noname hosts not permitted."
  condition = {if eq {$sender_host_name}{}{yes}{no}}

обладает наибольшей эффективностью - отклоняет ~65% подключений. Почтовый сервер не имеет права иметь неправильно сконфигурированный ДНС.

[dikens3]

обладает наибольшей эффективностью - отклоняет ~65% подключений. Почтовый сервер не имеет права иметь неправильно сконфигурированный ДНС.

Решительно несогласен с данным методом. Есть ещё очень важная вещь - белый лист (описан в полезных скриптах) который не сможет работать в таком случае. (имеется ввиду этап connect)

P.S. Мне проще 1 раз проинструктировать пользователей, что есть не очень грамотно настроенные сервера и может быть проблема с доставкой к нам почты от них. Поэтому отправьте им письмо и ответ спокойно пройдёт. За 1,5 года работы оооочень много нервов, времени мной было сэкономлено.

[princeps]

Согласен. Бывают криво настроенные, но не спамерские сервера. Буквально вчера пытались что-то прислать челы без точек в helo.

[shlash]

За 1,5 года работы оооочень много нервов, времени мной было сэкономлено.

Именно потому что надоело тратить нервы, выслушивая жалобы на потоки спама и изобретая новые фильтры, которые бы, при этом, пропускали нужную почту. После введени метода, общался только с админами собственных иногородних филиалов - в результате своё хозяйство привели в порядок.

Согласен. Бывают криво настроенные, но не спамерские сервера. Буквально вчера пытались что-то прислать челы без точек в helo.

Ну так пускай настраивают, потому что иначе ничем не отличаются от спамерских. Сейчас у меня на двух новых релеях, идут лесом при HELO != FQDN. За три месяца их жизни в белый список пришлось включить только хост portal4.visa.com у которого было HELO visa.com. Остальные отправляются изучать предметную область, в которой они работают. При этом, по поводу кривого HELO, никто из админов "с той стороны" (кого реджектили) ко мне не обращался (номер телефона включён в реджект-мессадж). К сожалению, на старом дырявом релее, остался ещё один домен, который так просто на новые не перевести - очень активная переписка, полный зоопарк из всевозможных кривых HELO - за такое меня в первый же день порвут, как тузик грелку, придётся постепенно гайки закручивать.

Ваша позиция поощряет безграмотность и некомпетентность, с чем я решительно не согласен. Не в состоянии настроить свою систему - пусть пользуют mail.ru. У меня же не возникает вопросов, подобных тем с которого началась эта тема.
Борьба со спамом - это в первую очередь борьба за безопасность. Сегодня наш бухгалтер получит какую-нибудь "типа картиночку", а завтра у нас со счёта пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..

[zingel]

пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..

У вас реально можно вытянуть 1 000 000 прислав картиночку (не простую)? Слышали когда либо про air gaps?

[dikens3]

Ваша позиция поощряет безграмотность и некомпетентность, с чем я решительно не согласен.

Не все сразу настраивают почтовый сервер правильно. Не у всех почтовый сервер может работать правильно со временем, т.к. админ мог внести исправления в конфигурацию и где-нибудь допустить ошибку, что вполне естественно для любого человека, а не только админа. Админы меняются, и не все сразу знают всё оборудование и работающие сервисы в новой организации.

Не в состоянии настроить свою систему - пусть пользуют mail.ru.

Ага, используют. Только вот через relay провайдера, который закрыл 25 порт своим клиентам (но не всем), и через которого идёт поток спама, с которым на словах сообщает что примет меры, а спам всё идёт от одного и того же адреса. (будто-бы провайдер сам этим занимается) Так вот от такого провайдера через которого идёт поток писем с обратным адресом user@mail.ru как я должен принимать очень важные письма?

Ни один провайдер не дал мне ответа, как проверяется подлинность отправителя, если используется его relay?

P.S. RFC не панацея, это свод правил, которого нужно придерживаться, а не обязательно должно быть всё так как там. Есть исключения.

[shlash]

пропадёт миллион, и ещё хорошо если рублей. Нафик-нафик..

У вас реально можно вытянуть 1 000 000 прислав картиночку (не простую)? Слышали когда либо про air gaps?

Написал ответ, после этого несколько раз перечитал... Ага... щаззз...
_и ещё фрагмент удалил_
Ну... чисто гипотетически, если у вас вдруг получится... какова будет моя доля? Прошу принять во внимание - придётся Лиссяру брать в долю, чтобы затёр все постинги на форуме и в логах, а также всех промежуточных провайдеров, чтобы у себя подчистили.. Овчинка того не стоит.. Ну его в пень.

Термин "air gaps" ещё не знаком, если представляет опасность - нужна дополнительная информация.. Обращаться в гугль или поможете ссылками? (Ну вот.. уже некоторую инфу слил...)

[zingel]

Термин "air gaps" ещё не знаком,

значит у Вас нельзя вытянуть 1 000 000, жаль.

Ну... чисто гипотетически, если у вас вдруг получится... какова будет моя доля

Вы мне даром не нужны, я честным путём зарабатываю

P.s.
[hint] air gaps - "воздушные мосты", системы, которые защищают PAN от внешнего мира, системы, которые отделяют private area network от остальных сетей на физическом уровне, то есть те сети, которые полностью автоматизированы и замкнуты и связаны с внешним миром только обслуживающим персоналом, при их использовании попасть в эту сеть может только авторизованный обслуживающий персонал с особым типом доступа, обычно 1-2 человека, примеры

а)
База данных крупного банка/финансовой/правительственной структур - отдельная стойка под сигнализацией (датчики движения + звуковая) и камерами, стоящая в отдельном помещении (многоуровневый доступ по личным магнитным ключам) с полной автономной защитой и упсами, авторизацией по одноразовым флеш-ключам (к самой стойке) в которой стоит 3-4 массива с самой базой (авторизованный доступ по-паролю со стоечного КВМ-коммутатора, в котором есть логи имеют 1 человек/день для внесения новых данных после установки, к примеру промежуточных данных с хотсвоп диска)+ 1 бекап (без доступа)+ 1 логи (без доступа) под наблюдением старшего менеджера и охранника - и тому подобные вариации.

б)Замкнутые военные сети со своими протоколами маршрутизации

в)Системы хранения данных крупных MAN/E1(межрегиональных)-провайдеров

Одним словом все те данные, которые достаточно ценны не должны юзаться всеми подряд.
Это - отдельная тема, не для этого треда, если кому интересно WTF - создавайте тему, если интересно как такое добро организовать (за денежку), то в личку (дорого).

[shlash]

Не все сразу настраивают почтовый сервер правильно. Не у всех почтовый сервер может работать правильно со временем, ...

Все, с кем мне пришлось общаться по телефону - никто не признался, что он работает недавно, никто не спросил: "а что у меня неправильно?". Все утверждали, что у них всё правильно. Приходилось тыкать носом.
Ну и как это называется - сначала накосячить, а затем с наглым видом утверждать, что у них всё правильно?

... провайдера через которого идёт поток писем с обратным адресом user@mail.ru как я должен принимать очень важные письма?

От этого провайдера вы должны получать валидные ("очень важные") письма. Поскольку у mail.ru SPF нестрогий, от этого же провайдера, вы также должны получать и всё остальное.
Это именно та самая ситуация, когда приходится изобретать безумные правила фильтрации для какого-то частного случая. На старом релее у нас весь конфиг такой - сплошные частные случаи. Либо для пропуска, либо для задержания.

Ни один провайдер не дал мне ответа, как проверяется подлинность отправителя, если используется его relay?

Т.е. у них у всех open relay???
Использование нашего релея (для отправки в мир) возможно только из нашего блока адресов и только с теми почтовыми доменами отправителя, которые заявлены для некоторого поддиапазона адресов. Расшифровываю - клиент (юридическое лицо) приобретает некоторое количество адресов (например 2 - сеть /30 или 6 - сеть /29) и объявляет для них, за соответствующее вознаграждение (услуга платная), некоторый почтовый домен (или несколько). Осуществляется привязка $sender_domain_name к $sender_host_address.
С физическими лицами мы ещё не работаем, но и там проблем не вижу - другой сервер, нестандартный порт, TLS/SSL, авторизация (логин-пароль).
Разве возможны какие-то другие схемы?

P.S. RFC не панацея, это свод правил, которого нужно придерживаться, а не обязательно должно быть всё так как там. Есть исключения.

Я(мы) соблюдаю(ем) RFC. Поэтому я считаю, что имею полное моральное право требовать его соблюдения от других, потому что это (повсеместное соблюдение) облегчит жизнь всем (идеализм?). Безусловно - portal4.visa.com внёс в белый список, потому что возникли трудности с общением - я не говорю по брюссельски, они не говорят на русском, и, по всей видимости, не понимают и письменный английский.
Исключения должны таковыми и оставаться. Вы же превращаете их в ежедневную практику.

[dikens3]

Описываю действия провайдера.

1. Заблокирован 25 порт. (причина - заражённые компьютеры)
2. Пользователь зарегистрирован на сервере http://www.mail.ru, но не использует http://www.mail.ru, а использует The Bat через сервер провайдера.
3. Пользователь отправляет письмо от имени user@mail.ru через сервер провайдера.
4. Какими средствами провайдером проверяется(?) подлинность отправителя? Откуда провайдер знает, существует такой пользователь (user@mail.ru) или нет? Спросит у mail.ru и он ему ответит? А пароли mail.ru тоже выдаст каждому провайдеру?
5. Такая почта по умолчанию не имеет права жить. (RFC??? Логика???)
6. Но жизнь немного другая и в ней всё уживается, поэтому в нашем случае есть рекомендации, рекомендации и ещё раз рекомендации.

[atta]

Мдя. А я всего то хотел узнать ответ на первый пост )))))))) А узнал много нового для себя, спасибо.