banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hệ thống mail của cơ quan bị giả mạo  XML
  [Question]   Hệ thống mail của cơ quan bị giả mạo 11/05/2011 07:37:55 (+0700) | #1 | 236937
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]
Gửi các anh,
Gần đây em (và mọi người trong cơ quan) hay nhận được mail với các thông tin giả mạo, lừa đảo từ chính địa chỉ của mình và của một số người trong cơ quan.
Header của mail như sau:
Code:
Return-Path: <a href="mailto:metcalfnn@pacrimrcl.com">metcalfnn@pacrimrcl.com</a>
Received: from domain.com (LHLO domain.com) (1.0.3.6) by domain.com with
 LMTP; Tue, 12 Apr 2011 19:33:57 +0700 (ICT)
Received: from [79.101.44.124] (unknown [79.101.44.124])
	by domain.com (Postfix) with ESMTP id E37CDD79BC
	for <hvthang@domain.com>; Tue, 12 Apr 2011 19:33:44 +0700 (ICT)
Received: from  79.101.44.124 (account <a href="mailto:0-hiroyuki@todakogyo.com">0-hiroyuki@todakogyo.com</a> HELO gvblgzttjicyh.dklmovirrkzlc.ru)
	by  (CommuniGate Pro SMTP 5.2.3)
	with ESMTPA id 641583844 for <a href="mailto:hvthang@domain.com">hvthang@domain.com</a>; Tue, 12 Apr 2011 13:36:26 +0100
From: <hvthang@domain.com>
To: <hvthang@domain.com>
Subject: Green technology
Mime-Version: 1.0
Content-type: text/html; charset="utf-8"
Content-Transfer-Encoding: 7bit

Và một loại mail nữa có dạng tương tự dụ người dùng đăng nhập để làm các điều... abc.
Mail này có nội dung tiếng Việt và xuất hiện sau mấy mail kia, xem header có thì thấy có vẻ như mail này được "ai đó" tát nước theo mưa - lợi dụng lỗi trên.
Header:
Code:
Received: from domain.com (LHLO domain.com) (1.0.3.6) by domain.com with
 LMTP; Sun, 8 May 2011 07:54:13 +0700 (ICT)
Received: from jet25.hasweb.com (jet25.hasweb.com [72.29.75.99])
	by domain.com (Postfix) with ESMTPS id ABFDF7A579;
	Sun,  8 May 2011 05:09:57 +0700 (ICT)
Received: from localhost ([127.0.0.1]:48402 helo=webmail.chesterarp.com)
	by jet25.hasweb.com with esmtpa (Exim 4.69)
	(envelope-from <no_reply@domain.com>)
	id 1QIpip-0002RH-GN; Sat, 07 May 2011 18:11:35 -0400
Return-Path: <no_reply@domain.com>
Reply-To: <no_reply@domain.com>
From: "SECURITY TEAM" <no_reply@domain.com>
To: "undisclosed-recipients:"
Subject: =?UTF-8?Q?Account_Alert=C2=AE?=
Date: Sun, 8 May 2011 05:11:34 +0700
Organization: SECURITY TEAM
Message-ID: <46901c6e34c01bac9250f3ddc0cb36e6@chesterarp.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_004D_01CC0FBE.AE298020"
X-Mailer: Microsoft Office Outlook 12.0
Thread-index: AcwNGnKbr5LEaqR0TCio0A1faVUvFQ==


Hệ thống mail do một Trung tâm khác quản lý, bên em chỉ có quyền hạn sử dụng. Em đã góp ý với bên Trung tâm đó nhưng không thấy họ fix lỗi này.
Vậy em muốn hỏi:
- Lỗi trên do đâu (phía mailserver của cơ quan hay phía nhà cung cấp SMTP relay).
- Nếu từ phía mailserver của cơ quan em thì lỗi đó là gì và có thể fix theo hướng nào - mail bên em dùng Zimbra Collaboration Suite).

p/s: vì một số lý do bảo mật em xin thay real domain của cơ quan em thành "domain.com"
Cập nhật thêm một mail header.
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 11/05/2011 14:19:46 (+0700) | #2 | 236960
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
việc gửi email với địa chỉ Fake như trên là do máy chủ mail của bồ cho phép Open Relay. Thậm chí nếu máy chủ mail của bồ không cho phép, thì người gửi mail vẫn có thể thực hiện việc gửi mail từ một máy chủ khác và mạo danh địa chỉ email từ trong công ty, người nhận chỉ có thể thấy địa chỉ mail gửi thật khi view mail header , mà việc này thì người dùng thông thường ít khi biết và để ý

bồ có thể tham khảo rõ hơn phương thức gửi mail fake địa chỉ bằng link sau

http://www.yuki-onna.co.uk/email/smtp.html

chú ý đến mục MAIL FROM: mail@domain.ext

Notes: Kiểu tấn công này hiệu quả với các hệ thống mail của các công ty mà họ tự xây dựng và bảo trì mail server. Với Gmail hay Yahoo các mail fake dạng như trên đều bị tống vào SPAM vì dấu hiệu fake rõ ràng không thể chối cãi
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 13:08:44 (+0700) | #3 | 237010
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]
Cảm ơn xnohat.
Trước đây mình có cài mail server để thử lab, hồi đó cứ cài cho nó chạy là được chữ không nghĩ đến những vấn đề bảo mật này.
Mình thử telnet và gửi thư từ địa chỉ giả mạo thì mail vẫn đến người nhận bình thường smilie .

Vậy đây là vấn đề của giao thức SMTP? Tại sao khi telnet vào smtp server nó không hề yêu cầu xác thực nào cả?
Để khắc phục thì phải dùng các rules trên mail server để ngăn chặn các giả mạo này?
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 13:21:01 (+0700) | #4 | 237011
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Khả năng hệ thống mail đó không có biện pháp lọc loại mail lừa đảo này. Cũng từng bị 1 lần, mail thực tới nhiều người tưởng như thật. Cái trung tâm cung cấp dịch vụ đó thuộc loại đại lý trung gian, cho mình sài dịch vụ "share host", và không sử dụng 1 dịch vụ lọc spam tương đối hiệu quả nào.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 13:23:58 (+0700) | #5 | 237012
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]
Bạn tmd có kinh nghiệm về giải pháp lọc mail của bên thứ 3 nào không? Chia sẻ với. Mình mới bắt đầu tìm hiểu mảng mail này nên chưa có nhiều thông tin.
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 13:33:58 (+0700) | #6 | 237013
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Giờ chỉ có thấy về hệ thống lọc mail được cung cấp trên nhà cung cấp dịch vụ ISP, hoặc chổ đặt server chạy mail có cho thuê gói dịch vụ có mấy thứ giống như dưới này
- SMTP & POP3 proxies
- Anti-spam with Bayes, Pattern, SPF, Heuristics, Black- and White-lists support
- Anti-virus (100,000+ patterns)
- Transparent Proxy support
- Spam Auto-Learning
- Transparent Mail Forwarding (BCC)
- Greylisting 


Kinh nghiệm làm thì ko, nhưng kinh nghiệm dòm ngó dịch vụ công thì mới có.
http://wiki.zimbra.com/wiki/Zimbra_MTA
Lỗi ở cả hai, nhà cung cấp SMTP relay cho phép loại đó qua, và ở mình thì chưa có biện pháp lọc nó đi.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 20:38:33 (+0700) | #7 | 237038
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

hvthang wrote:
Cảm ơn xnohat.
Trước đây mình có cài mail server để thử lab, hồi đó cứ cài cho nó chạy là được chữ không nghĩ đến những vấn đề bảo mật này.
Mình thử telnet và gửi thư từ địa chỉ giả mạo thì mail vẫn đến người nhận bình thường smilie .

Vậy đây là vấn đề của giao thức SMTP? Tại sao khi telnet vào smtp server nó không hề yêu cầu xác thực nào cả?
Để khắc phục thì phải dùng các rules trên mail server để ngăn chặn các giả mạo này?
 


Như tôi đã nói ở trên, máy chủ mail mà công ty bồ dùng , trong cấu hình nó cho phép OPEN RELAY , và không bật Require Authentication ( yêu cầu đăng nhập )

Theo tôi bồ nên yêu cầu chuyên gia kĩ thuật chuyên môn setup lại toàn bộ hệ thống email ( nếu không thể thay đổi hệ thống này ), các phần mềm mail server dù tệ nhất thì cũng có 2 cấu hình trên ( trừ các phần mềm máy chủ mail dùng cho SPAM )

Còn trong trường hợp thay đổi được ( cty nhỏ ) thì nên chuyển qua dùng GMAIL của google apps ( vẫn dùng mail domain của công ty được ) , điều này sẽ giúp bồ nhẹ gánh rất nhiều trong việc quản trị hệ thống mail sao cho an toàn và sẵn sàng cao
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 21:54:14 (+0700) | #8 | 237045
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nếu cái chổ cung cấp dịch vụ mail đó là share host thì khó có thể yêu cầu người cung cấp này đổi cả 1 hệ thống để phục vụ cho 1 đơn vị thuê đơn lẻ.
Phí gói share host cho 10 user nhỏ hơn rất là nhiều so với phí sài Google App cho 10 user.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 12/05/2011 23:07:37 (+0700) | #9 | 237046
[Avatar]
Bướm Đêm
Member

[Minus]    0    [Plus]
Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline
[Profile] [PM]
ngừi ta đã bảo bị fake mail add, dùng google yahoo gì cũng fake và bulk được ráo heheheeeeeee, băm cả cái header nhìn ko ra lun ^^, có thể dùng script, dùng 1 cái mua hay cái tool gì đó lừa tình cái mta thì nó chuyển tới mta ngừi nhận nếu config ko ok, máy cái webmail free từ yahoo, google thì sao mà đỡ đc >"<
google app cho 50 users dùng full chức năng mà kakakaaaa
GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 00:19:39 (+0700) | #10 | 237049
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cái loạt email giả danh này TƯƠNG TỰ loại tui từng thấy, mail chủ đề GREEN TECHNOLOGY.

Cái 0-hiroyuki@todakogyo.com này bị liệt vào spam sender blacklist, trong cái header đầu tiên. Chắc là thằng nào chơi trò quảng cáo.
http://rbls.org/79.101.44.124
Cho nên là có dùng tham chiếu các danh sách thì thoát được một số vấn nạn.

Cái header thứ hai có kiểu lừa Account Alert gửi từ SECURITY Team. Received from : jet25.hasweb.com [72.29.75.99] và To: "undisclosed-recipients:"
Thông tin http://www.ipaddress-locator.com/72.29.75.99 thì thấy IP này chưa bị liệt kê vào black list.
http://webmail.chesterarp.com/ Cái này thì có thật.
http://www.robtex.com/dns/chesterarp.com.html Thấy tùm lum thứ có liên quan.
hasweb.com là một dạng công ty hosting giống như mấy công ty đại lý hosting ở VN.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 07:15:58 (+0700) | #11 | 237051
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]

Bướm Đêm wrote:
ngừi ta đã bảo bị fake mail add, dùng google yahoo gì cũng fake và bulk được ráo heheheeeeeee, băm cả cái header nhìn ko ra lun ^^, có thể dùng script, dùng 1 cái mua hay cái tool gì đó lừa tình cái mta thì nó chuyển tới mta ngừi nhận nếu config ko ok, máy cái webmail free từ yahoo, google thì sao mà đỡ đc >"<
google app cho 50 users dùng full chức năng mà kakakaaaa 

Nay nó giảm xuống 10 rồi bác
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 07:22:19 (+0700) | #12 | 237053
[Avatar]
JFS
Member

[Minus]    0    [Plus]
Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline
[Profile] [PM]
Bàn về face mail hiện tại hệ thống bên tui cũng đang bị nhưng chỉ là một số ít :

Đơn cử 1 cái Email :

Header
Code:
Microsoft Mail Internet Headers Version 2.0
Received: from domain ([118.69.34.3] RDNS failed) by domain with Microsoft SMTPSVC(6.0.3790.4675);
	 Tue, 10 May 2011 10:34:02 +0700
From: "Mail Administrator" <MAILER-DAEMON@domain>
To: user2@domain
Subject: Returned mail: Data format error
Date: Tue, 10 May 2011 10:27:45 +0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0008_9396C5B9.E65A9911"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: MAILER-DAEMON@domain
Message-ID: <SRV2T6sQHmuX7b0TydU0000001c@domain>
X-OriginalArrivalTime: 10 May 2011 03:34:02.0639 (UTC) FILETIME=[1B4DB1F0:01CC0EC3]

------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: text/plain;
	charset=us-ascii
Content-Transfer-Encoding: 7bit

------=_NextPart_000_0008_9396C5B9.E65A9911
Content-Type: application/octet-stream;
	name="user2@domain.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
	filename="user2@domain.zip"


------=_NextPart_000_0008_9396C5B9.E65A9911--


Thêm một cái mail dụ nữa :
Code:
Dear user user1@domain,

We have detected that your email account was used to send a huge amount of junk email during this week.
Most likely your computer had been infected by a recent virus and now contains a trojaned proxy server.

Please follow instructions in order to keep your computer safe.

Best regards,
The domain support team.


Mail này có zip 1 file chứa luôn con Mydoom .

Theo header mail thì em này có IP từ FPT : 118.69.34.3 RDNS failed
Checked em nó thì thấy em nó có location là HCM và 1 domain la machmach.com

Xin mọi người cho ý kiến về cách chống spam dạng mail này .

Công ty không cho phép openrelay và chỉ có 2 user bị . Kiểm tra virus tại 2 máy của user chưa phát hiện đc gì !

Mong các bác phân tích để em mở mang thêm ạ !

PS: em đã thay tên domain thật bằng domain , 2 user bằng user1 , user2

Thanks !
sugarCRM
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 08:32:54 (+0700) | #13 | 237060
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

xnohat wrote:

Notes: Kiểu tấn công này hiệu quả với các hệ thống mail của các công ty mà họ tự xây dựng và bảo trì mail server. Với Gmail hay Yahoo các mail fake dạng như trên đều bị tống vào SPAM vì dấu hiệu fake rõ ràng không thể chối cãi 


Có thể bypass được spam filter của Gmail, em đã thử tự gửi mail vào hộp thư Gmail của mình.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 10:30:34 (+0700) | #14 | 237073
[Avatar]
rocklee44
Member

[Minus]    0    [Plus]
Joined: 24/07/2007 23:53:35
Messages: 53
Offline
[Profile] [PM]
Chào hvthang, mình không hiểu hệ thống mail của công ty bạn do trung tâm khác quản lý là thế nào (dedicated server hay shared host) ? Nếu bạn có quyền cấu hình Zimbra server thì có thể chặn bớt được các mail dạng này . Phần MTA của Zimbra cũng dùng postfix, nên có thể tham khảo link này http://www.postfix.org/SMTPD_ACCESS_README.html đề config lại postfix . Ngoài ra bạn có thể dùng thêm 1 số soft khác chung với Zimbra để check SPF, blacklist, whitelist như tmd đã nói ở trên (mình dùng apolicy) , tham khảo tại http://www.apolicy.org/cgi-bin/moin.cgi/Tutorial http://zytrax.com/books/dns/ch9/spf.html .
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 13/05/2011 14:56:47 (+0700) | #15 | 237076
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

rocklee44 wrote:
Chào hvthang, mình không hiểu hệ thống mail của công ty bạn do trung tâm khác quản lý là thế nào (dedicated server hay shared host) ? Nếu bạn có quyền cấu hình Zimbra server thì có thể chặn bớt được các mail dạng này . Phần MTA của Zimbra cũng dùng postfix, nên có thể tham khảo link này http://www.postfix.org/SMTPD_ACCESS_README.html đề config lại postfix . Ngoài ra bạn có thể dùng thêm 1 số soft khác chung với Zimbra để check SPF, blacklist, whitelist như tmd đã nói ở trên (mình dùng apolicy) , tham khảo tại http://www.apolicy.org/cgi-bin/moin.cgi/Tutorial http://zytrax.com/books/dns/ch9/spf.html


Cảm ơn bạn, mình nói từ đầu là mình chỉ được phép sử dụng, và trong vai trò người dùng mình thấy vấn đề nên muốn tìm hiểu xem thực sự chuyện gì đang xảy ra - nó có nguy hại lắm không (do mình không thạo về mail nên hỏi những vấn đề có thể cơ bản đối với các bạn thạo rồi).

@xnohat: công ty mình to lắm mà họ lại làm ăn như vậy nên mình chả hiểu nữa. smilie . Với lại mail server được một đối tác rất nổi tiếng smilie hỗ trợ xây dựng nên mình càng... lo - lo chuyện của thiên hạ mà smilie (mình biết được việc này sau khi trao đổi với một bạn làm bên Trung tâm chịu trách nhiệm quản trị).
Việc fix chắc họ cũng đang tính đến nhưng chưa làm (chắc đang chờ xiền).

@tmd: cảm ơn bạn đã cung cấp thêm thông tin.

Qua việc này mình cũng có thêm được khá nhiều kiến thức về mail. Cảm ơn các bạn.


[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 30/09/2011 13:33:14 (+0700) | #16 | 247966
quybeo83
Member

[Minus]    0    [Plus]
Joined: 15/07/2010 21:12:11
Messages: 35
Offline
[Profile] [PM] [Yahoo!]
Nhờ anh em có kinh nghiệm xem hộ trường hợp domain mail cơ quan mình bị gửi nặc danh cái. MÌnh ko thạo món này lắm. mình dùng exchange 2010 tuy nhiên chưa triển khai phần mềm hoặc thiết bị bên thứ 3 để làm chống spam, virus.
--------------------------------------------------------------------------------------------------------
Received: from edge-01.domain.vn (x.x.x.x) by HT1.domain.vn (192.168.x.x) with
Microsoft SMTP Server (TLS) id 14.1.218.12; Fri, 30 Sep 2011 08:17:19 +0700
Received: from nm25-vm1.bullet.mail.sp2.yahoo.com (98.139.91.229) by
edge-01.mofa.vn (192.168.x.xxx) with Microsoft SMTP Server id 14.0.639.21;
Fri, 30 Sep 2011 08:17:21 +0700
Received: from [98.139.91.63] by nm25.bullet.mail.sp2.yahoo.com with NNFMP; 30
Sep 2011 01:26:27 -0000
Received: from [98.136.185.47] by tm3.bullet.mail.sp2.yahoo.com with NNFMP; 30
Sep 2011 01:26:27 -0000
Received: from [127.0.0.1] by smtp108.mail.gq1.yahoo.com with NNFMP; 30 Sep
2011 01:26:26 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1317345986; bh=Wv2TDq2fP4yN69mV3lldts7GxcG2dz++zc1x513xpeY=; h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:Message-ID:From:To:Subjectsmilieate:MIME-Version:Content-Type:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE; b=fElxBvG290GYVMH4BqvDqWlr2vnI1YWSdznSefOC5aiXE3oA37I2sbd4mVvCGlvCaT/2tqmsnliSrhAyqxdmlXxAnXQ4vjNMdkGb0qOHMOfeCtfaxrwS91F20Mn5Ta7oQnAZLHz085Hrx5NzX0qXrRK7qDkzAM+aR9tv+Wzq3ls=
X-Yahoo-Newman-Id: 943264.30085.bm@smtp108.mail.gq1.yahoo.com
X-Yahoo-Newman-Property: ymail-5
X-YMail-OSG: eS4T80kVM1nOP_KP3VwhWWC8PrzZEY9hd_pDfcHpkXxDjfE
f3EHvWfdYv3rUfCYW81VYxepoi_HD9pzeyrRjXZ3hObScvDA6FGvZ0hy5CP8
la1IKg8pbupGgcDh_LElHUaWVfnrs0uq27.LxzFNlvZgdsr6hpyffk0n0JCO
Zl_6m8n_8xlhcCQ_nA64AKTjZ5eIKYj.BGpV9qW1lyHDWjm5RBr4Iq7D_4OR
cyCE1DhL0BgVqX79Qic74tPFYZmspK2_2lO.LL4AJcYdxbU_nMrFNs4S57o_
f7x3UrDRTmAxfHfAuPWOyWJVB8hz0FU.2okkeQ7cxgbxbhUyZdOsm3t6m8XP
9pTExz0_0Buy2tsu2.nYJ3vTibIRZeiEF5YY-
X-Yahoo-SMTP: HquphiaswBCTXU9ZAip.nEslXQep
Received: from nlo (gbcdbc23@115.89.152.102 with login) by
smtp108.mail.gq1.yahoo.com with SMTP; 29 Sep 2011 18:26:17 -0700 PDT
Message-ID: <9F6A2C2FD1C8F6056A4689F576B3C1F1@nlo>
From: =?windows-1251?B?Y2h1IHkgbj9wID8/bmcgcGhp?= <mai_gia_mao@domain.vn>
To: <nguoi_nhan@domain.vn>
Subject: T?ng h?p cac website
Date: Fri, 30 Sep 2011 09:26:10 +0800
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0396_01654D17.1E3502B0"
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Return-Path: gbcdbc23@yahoo.com
X-MS-Exchange-Organization-AuthSource: edge-01.domain.vn
X-MS-Exchange-Organization-AuthAs: Anonymous
MIME-Version: 1.0


[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 30/09/2011 21:22:59 (+0700) | #17 | 247994
zinxu
Member

[Minus]    0    [Plus]
Joined: 16/06/2011 01:27:50
Messages: 13
Offline
[Profile] [PM]
Hi hvthang,

Nếu mail server bên bạn mở Open Relay, rất dễ đã nhập kho black-list của các bộ lọc spam phổ biến. Bạn có thể check tại http://www.mxtoolbox.com/blacklists.aspx (nhập IP của mail server để check).
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 30/09/2011 21:35:16 (+0700) | #18 | 247996
zinxu
Member

[Minus]    0    [Plus]
Joined: 16/06/2011 01:27:50
Messages: 13
Offline
[Profile] [PM]
Bạn tmd có kinh nghiệm về giải pháp lọc mail của bên thứ 3 nào không? 


Mình nghĩ con Barracuda [http://www.barracudanetworks.com] phù hợp với doanh nghiệp cỡ vừa trở xuống - khoảng <500 users. Giá không chat lắm, cài đặt & quản trị cũng đơn giản, hỗ trợ kỹ thuật tốt.
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 01/10/2011 07:17:56 (+0700) | #19 | 248003
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

zinxu wrote:
Bạn tmd có kinh nghiệm về giải pháp lọc mail của bên thứ 3 nào không? 


Mình nghĩ con Barracuda [http://www.barracudanetworks.com] phù hợp với doanh nghiệp cỡ vừa trở xuống - khoảng <500 users. Giá không chat lắm, cài đặt & quản trị cũng đơn giản, hỗ trợ kỹ thuật tốt. 


Barracudanetwork ư ! giá thì không rẻ chút nào.Mặc khác chất lượng cũng không được như ý muốn cho lắm.

@Zinxu: Chắc bồ đang xài sản phẩm do Đông Quân phân phối ah.Bên đó support cho bồ thế nào ? smilie smilie smilie smilie smilie
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 01/10/2011 13:04:32 (+0700) | #20 | 248022
zinxu
Member

[Minus]    0    [Plus]
Joined: 16/06/2011 01:27:50
Messages: 13
Offline
[Profile] [PM]

phuongnvt wrote:

@Zinxu: Chắc bồ đang xài sản phẩm do Đông Quân phân phối ah.Bên đó support cho bồ thế nào ? smilie smilie smilie smilie smilie  


Đông Quân thì đúng luôn. Về support thì mình liên hệ thẳng với bên Barracuda, nói chung là về độ nhiệt tình và chuyên nghiệp mình thấy ổn. Số lượng users bên mình cũng không nhiều, nên về hiệu năng cũng OK.
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 03/10/2011 12:47:43 (+0700) | #21 | 248071
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Giải pháp của bên thứ 3 ( third party ), dù tốt đến cỡ nào, mà người cấu hình hay quản trị hệ thống mail không hiểu rõ kết cấu hệ thống mail, không hiểu rõ các MTA ( Mail Transfer Agent ) và giao thức SMTP hoạt động ra sao thì dù có mua thiết bị bằng tiền tỷ cũng như không. Các vấn đề liên quan tới fake mail trong topic này đều có thể giải quyết bằng cấu hình phần mềm với cái giá rất rẻ
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 05/10/2011 09:25:50 (+0700) | #22 | 248164
Cuc.Sat
Member

[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]

xnohat wrote:
Các vấn đề liên quan tới fake mail trong topic này đều có thể giải quyết bằng cấu hình phần mềm với cái giá rất rẻ 

Anh có thể hướng dẫn em làm cái này nhé vì em cũng từng làm như bolzano rồi.

bolzano_1989 wrote:
Có thể bypass được spam filter của Gmail, em đã thử tự gửi mail vào hộp thư Gmail của mình. 
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 05/10/2011 10:54:32 (+0700) | #23 | 248169
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

Cuc.Sat wrote:

xnohat wrote:
Các vấn đề liên quan tới fake mail trong topic này đều có thể giải quyết bằng cấu hình phần mềm với cái giá rất rẻ 

Anh có thể hướng dẫn em làm cái này nhé vì em cũng từng làm như bolzano rồi.

bolzano_1989 wrote:
Có thể bypass được spam filter của Gmail, em đã thử tự gửi mail vào hộp thư Gmail của mình. 
 


Cách làm rất đơn giản khi hiểu vấn đề

Email nào cũng phải được gửi từ một SMTP server của người gửi tới một SMTP server của người nhận. Cái server của người gửi thì bắt buộc phải có IP của nó. Vậy người nhận chỉ cần "reverse IP" để coi cái IP kia có đúng là được assign cho domain của người gửi không là xong.

Bước tiếp theo là kiểm tra coi cái IP đó, domain đó có trong Spam List không, có thì vứt vô SPAM box

Còn việc người bên trong công ty người gửi giả danh người nào đó ( phần tên trước kí hiệu @ ) cũng thuộc công ty đó gửi email ra bên ngoài thì đây là chuyện khó xác thực, do lỗi hoàn toàn do khâu Authentication phía SMTP server người gửi thực hiện

Cách làm cụ thể thì đọc tài liệu hướng dẫn của cái Mail Server software
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 05/10/2011 12:20:13 (+0700) | #24 | 248172
Cuc.Sat
Member

[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]

xnohat wrote:

Còn việc người bên trong công ty người gửi giả danh người nào đó ( phần tên trước kí hiệu @ ) cũng thuộc công ty đó gửi email ra bên ngoài thì đây là chuyện khó xác thực, do lỗi hoàn toàn do khâu Authentication phía SMTP server người gửi thực hiện
Cách làm cụ thể thì đọc tài liệu hướng dẫn của cái Mail Server software 

Đúng là cái này làm em đau đầu đây. Nếu em gửi một cái fake email từ internal domain vào internal domain thì vẫn được. Nếu em disallow Anonymous thì phải authenticate mới gửi được. Nhưng khi này thì những MTA khác không deliver email vào server của em được.
Liệu có cách cấu hình nào đại loại như thế này: từ domain khác gửi vào thì ok không cần authenticate, còn từ cùng domain thì phải authenticate mới đươc gửi ?.
[Up] [Print Copy]
  [Question]   Hệ thống mail của cơ quan bị giả mạo 05/10/2011 14:57:59 (+0700) | #25 | 248178
vodanh7x
Member

[Minus]    0    [Plus]
Joined: 05/07/2007 19:51:15
Messages: 4
Offline
[Profile] [PM]
Mình cũng đang bị trường hợp này ,mình dùng 1 con server và có host 1 số site . Dùng exim và đã config ghi log sender reception v.v không cho relay và có authentication
Bình thường nếu dùng script thì log sẽ ghi lại sender authen .Nhưng lần này nó lại ghi localerror ,nội dung lúc nào cũng có kèm 1 con mydoom .
Và ct gửi theo log ghi lại là OE hoặc MO cho nên mình cho rằng máy của 1 khách local nào đó bị nhiễm virus và nó tự phát tán đi thông qua MO và OE đã cài .Nhưng đau đầu là nó ko xuất hiện sender nên mình không biết của khách nào cả như trước đây . Ko biết nó vượt qua bằng cách nào .
À bổ sung tại sao mình khẳng định là do khách hàng dùng email bị dính virus vì ip remote đến là 1 IP ADSL của ISP việt nam ,mình chặn ip này thì ko bị nữa nhưng nếu khách hàng rs moderm có ip động mới thì vẫn tiếp tục bị .
Vấn đề ở đây làm sao để phát hiện email sender authen
vậy là postfix và exim đều có hiện tượng này
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
7 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|