Hello Szymon,

Saturday, August 1, 2009, 12:14:02 AM, you wrote:

[...]

>> W ogóle jaki to ma sens? Co przeszkodzi opiekunom botnetów i trojanów
>> pozmieniać porty?
> A co im da zmiana portu z 25 na 567, skoro żaden poprawnie skonfigurowany
> serwer nie przyjmie na tym porcie poczty od nieuwierzytelnionego
> użytkownika? A na porcie 25 *musi*...

Musi adresowane od lub do użytkownika tego serwera. Nie musi obcych.
Problemem nie jest nadawanie na porcie 25 ale pootwierane serwery,
niepilnujące co i od kogo odbierają. I zmiana portów nic tu nie
zmieni.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

Hello Robert,

Sunday, August 2, 2009, 8:44:06 PM, you wrote:

>> Czyżby? Narzędziem jest jedna pula głupich użytkowników, ofiarami (np.
>> phishingu) jest inna pula.
>> Ja tam mogę przeboleć trochę spamu. Moja żona też może.
> Zobaczymy, czy będziesz tak samo śpiewał, jak będziesz czytał
> pocztę po GPRS/HSDPA.

Bez przesady. Adrs, którego używam tutaj jest znany od 1996 roku.
Wszelkie możliwe spamerskie listy są nim zasilone od lat. I jakoś
obserwuję spadek ilości spamu w ostatnim czasie. Jak się tego dziennie
nazbiera 100 kB to już dużo. A ostatnio za doładowanie na 2 GB
zapłaciłem 30 PLN - co to jest te 3 MB miesięcznie?

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Sun, 9 Aug 2009 12:04:49 +0200, RoMan Mandziejewicz
<r...@p...pl> wrote:

> I co? Jak długo potrwa przeniesienie botnetów na jedynie słuszne
> porty? Tydzień po wyłączeniu portu 25? Kto da mniej?

I co to da?

Istnieje inne niebezpieczeństwo, ale sensownie ustawione limity
czy też analiza statystycza powinny je zminimalizować.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

On 09.08.2009, RoMan Mandziejewicz <r...@p...pl> wroted:

>>> W ogóle jaki to ma sens? Co przeszkodzi opiekunom botnetów i
>>> trojanów pozmieniać porty?
>>
>> A co im da zmiana portu z 25 na 567, skoro żaden poprawnie
>> skonfigurowany serwer nie przyjmie na tym porcie poczty od
>> nieuwierzytelnionego użytkownika? A na porcie 25 *musi*...
>
> Musi adresowane od lub do użytkownika tego serwera. Nie musi
> obcych. Problemem nie jest nadawanie na porcie 25 ale pootwierane
> serwery, niepilnujące co i od kogo odbierają.

W trzech zdaniach zdołałeś wpaść w sprzeczność z tym co sam mówisz.
Jeśli "musi adresowane od lub do użytkownika tego serwera", to
problemem nie są "pootwierane serwery, niepilnujące co i od kogo
odbierają" (open relaye to w dzisiejszych czasach rzadkość), tylko
możliwość dotarcia z botnetów na port 25 serwerów które _muszą_
przyjąć pocztę dla lokalnych użytkowników.

> I zmiana portów nic tu nie zmieni.

Uwierzytelnienie robi jednak różnicę.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

On Sun, 9 Aug 2009 12:12:32 +0200, RoMan Mandziejewicz
<r...@p...pl> wrote:

> Musi adresowane od lub do użytkownika tego serwera. Nie musi obcych.

A kto Cię tak okłamał?

--8<--

4.3. Require Authentication


The MSA MUST by default issue an error response to the MAIL command
if the session has not been authenticated using [SMTP-AUTH], unless
it has already independently established authentication or
authorization (such as being within a protected subnetwork).

Section 3.3 discusses authentication mechanisms.

--8<--

--8<--

3.3. Authorized Submission


Numerous methods have been used to ensure that only authorized users
are able to submit messages. These methods include authenticated
SMTP, IP address restrictions, secure IP and other tunnels, and prior
POP authentication.

Authenticated SMTP [SMTP-AUTH] has seen widespread deployment. It
allows the MSA to determine an authorization identity for the message
submission, one that is not tied to other protocols.

IP address restrictions are very widely implemented, but do not allow
for travelers and similar situations, and can be easily spoofed
unless all transport paths between the MUA and MSA are trustworthy.






Gellens & Klensin Standards Track [Page 6]


RFC 4409 Message Submission for Mail April 2006


Secure IP [IPSEC], and other encrypted and authenticated tunneling
techniques, can also be used and provide additional benefits of
protection against eavesdropping and traffic analysis.

Requiring a POP [POP3] authentication (from the same IP address)
within some amount of time (e.g., 20 minutes) prior to the start of a
message submission session has also been used, but this does impose
restrictions on clients as well as servers, which may cause
difficulties. Specifically, the client must do a POP authentication
before an SMTP submission session, and not all clients are capable
and configured for this. Also, the MSA must coordinate with the POP
server, which may be difficult. There is also a window during which
an unauthorized user can submit messages and appear to be a
previously authorized user. Since it is dependent on the MUA's IP
addresses, this technique is substantially as subject to IP address
spoofing as validation based on known IP addresses alone (see above).

--8<--

> Problemem nie jest nadawanie na porcie 25 ale pootwierane serwery,
> niepilnujące co i od kogo odbierają. I zmiana portów nic tu nie
> zmieni.

A jak mają pilnować co i od kogo odbierają [1], skoro głównym
założeniem MTA jest przyjmowanie poczty do lokalnych
użytkowników?

r.

[1] -- tak, są mechanizmy filtrowania. Tak, nie zawsze są
skuteczne i zużywaja zasoby odbiorcy.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com

I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

RoMan Mandziejewicz wrote:

> Hello Robert,
>
> Sunday, August 2, 2009, 8:44:06 PM, you wrote:
>
>>> Czyżby? Narzędziem jest jedna pula głupich użytkowników, ofiarami (np.
>>> phishingu) jest inna pula.
>>> Ja tam mogę przeboleć trochę spamu. Moja żona też może.
>> Zobaczymy, czy będziesz tak samo śpiewał, jak będziesz czytał
>> pocztę po GPRS/HSDPA.
>
> Bez przesady. Adrs, którego używam tutaj jest znany od 1996 roku.
> Wszelkie możliwe spamerskie listy są nim zasilone od lat. I jakoś
> obserwuję spadek ilości spamu w ostatnim czasie. Jak się tego dziennie
> nazbiera 100 kB to już dużo. A ostatnio za doładowanie na 2 GB
> zapłaciłem 30 PLN - co to jest te 3 MB miesięcznie?

a ja mam userów z adresem ogólnym typu imię.nazwisko@ który mają aliasy typu
biuro@ lub funkcja@ - w sumie kilka-kilkanaście takich - prawie jak catch-
all@ i mam w sumie kilka-kilkanaście razy więcej spamu na to konto. Więc
pomnóż proszę swoje koszty ściągania poczty przez kilka-kilkanaście razy aby
otrzymać jednego usera a następnie tysiąc razy aby otrzymać jedną firmę,
następnie powiedz swojej żonie, że zapłacisz rachunek za ściąganie spamu i
wtedy pogadamy.

--
Pozdrawiam
Lemat
easyISP jest spam friendly - utrzymuje notorycznego spamera polandexport /
ipeik / netex-sterling, pomóżcie ich przekonać nie wykupując u nich
hostingu.

do góry

RoMan Mandziejewicz wrote:

> Hello MarekM,
>
> Friday, July 31, 2009, 3:32:19 PM, you wrote:
>
>> A jednak:
>>
http://www.tp.pl/prt/pl/tpcert/aktualnosci/wiadomosc
i/zabezpiecz/?_a=685898
>
> I co? Jak długo potrwa przeniesienie botnetów na jedynie słuszne
> porty? Tydzień po wyłączeniu portu 25? Kto da mniej?

a niby co ma nasłuchiwać na tym innym porcie? widziałeś kiedyś pocztę
(ogólnie dostępną) na 12345?
Spamerzy do wyboru mają 3 porty: 25, 465 i 587.
25 zostanie ucięty
465 jest szyfrowany (co już jest problemem) i nie wszystkie serwery go
udostępniają.
587 wymaga loginu i hasła aby wysłać pocztę.

Więc kolejnym krokiem spamerów będzie soft kradnący loginy i hasła lub
zakładający konta pocztowe na darmowych serwerach. Co oznacza, że spamerzy
będą musieli walczyć z filtrami antyspamowymi oraz limitami poczty na
dodatkowo jeszcze jednym serwerze.

--
Pozdrawiam
Lemat
easyISP jest spam friendly - utrzymuje notorycznego spamera polandexport /
ipeik / netex-sterling, pomóżcie ich przekonać nie wykupując u nich
hostingu.

do góry

Hello Robert,

Sunday, August 9, 2009, 12:34:37 PM, you wrote:

>> I co? Jak długo potrwa przeniesienie botnetów na jedynie słuszne
>> porty? Tydzień po wyłączeniu portu 25? Kto da mniej?
> I co to da?

To, że botnety nadal będą się miały dobrze. Bo problem nie w
nadawcach, tylko w tym, że mają do kogo nadawać.

> Istnieje inne niebezpieczeństwo, ale sensownie ustawione limity
> czy też analiza statystycza powinny je zminimalizować.

I kto to niby ma robić? Ci sami właściciele dziurawych serwerów,
którym do tej pory się tego nie chciało robić?

--
Best regards,
RoMan mailto:r...@p...pl

do góry

Hello Grzegorz,

Sunday, August 9, 2009, 12:35:26 PM, you wrote:

>>>> W ogóle jaki to ma sens? Co przeszkodzi opiekunom botnetów i
>>>> trojanów pozmieniać porty?
>>> A co im da zmiana portu z 25 na 567, skoro żaden poprawnie
>>> skonfigurowany serwer nie przyjmie na tym porcie poczty od
>>> nieuwierzytelnionego użytkownika? A na porcie 25 *musi*...
>> Musi adresowane od lub do użytkownika tego serwera. Nie musi
>> obcych. Problemem nie jest nadawanie na porcie 25 ale pootwierane
>> serwery, niepilnujące co i od kogo odbierają.
> W trzech zdaniach zdołałeś wpaść w sprzeczność z tym co sam mówisz.
> Jeśli "musi adresowane od lub do użytkownika tego serwera", to
> problemem nie są "pootwierane serwery, niepilnujące co i od kogo
> odbierają" (open relaye to w dzisiejszych czasach rzadkość), tylko
> możliwość dotarcia z botnetów na port 25 serwerów które _muszą_
> przyjąć pocztę dla lokalnych użytkowników.

Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.
Nadawanie bezpośrednio wymagałoby mnóstwa zapytań do DNSów a to
właśnie zbyt łatwo wykryć.

>> I zmiana portów nic tu nie zmieni.
> Uwierzytelnienie robi jednak różnicę.

Odrobinę spowolni i tyle.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

RoMan Mandziejewicz wrote:
> Poobserwuj ruch wychodzący z zombie i przekonasz się, że jego
> większość trafia do open-relay a nie bezpośrednio do MX-ów odbiorców.

Większość trafia do MX-ów.

> Nadawanie bezpośrednio wymagałoby mnóstwa zapytań do DNSów a to
> właśnie zbyt łatwo wykryć.

Zapytania nie są typu MX tylko ANY, przez to nie są tak łatwe do wykrycia.

do góry