roskaposti
Alex
suuri määrä viestejä olemattomille käyttäjille tyyliin
J73G...@mail.meidänpalvelin.fi
Käyttäjänimi vaihtuu vahän väliä, yksi nimi saa yhdestä pariinkymmeneen
viestiin, yhdestä tai monesta relay-osoitteesta. Maillog antaa lähetyksistä
esim. seuraavanlaisia tietoja:
Oct 25 09:43:55 domain sendmail[21173]: JAA21173: from=<>, size=3327,
class=0, p
ri=0, nrcpts=0, proto=ESMTP, relay=norkotah.micron.net [204.229.122.250]
Oct 25 09:43:56 domain sendmail[21174]: JAA21174:
<J9J4...@mail.meidänpalvelin.fi>...
User unknown
from-kenttä on yleensä tyhjä, miksi?
Tällaisia ilmoituksia on tullut koko päivän, parin sekunnin välein.
Saamme myös abuse ja postmaster -osoitteisiin valituksia siitä että
samantapaisilla osoitteilla on lähetetty roskapostia. Lokeista ei kuitenkaan
löydy mitään viitteita siitä, että joku olisi sitä meidän palvelimeltamme
lähettänyt.
Mistä tällainen voisi johtua??
Alex
Otto J. Makela
Joku iki-ihana spammeri on keksinyt laittaa jostakin aivan muualta
lähetettyihin spammeihin From-kenttään noita @mail.meidänpalvelin.fi
osoitteita. Saatte nauttia kaikista pompuista joita hänen "20 million
email addresses for $20" postilistaltaan tulee.
Koita bongata joukosta joku virheviesti jossa on mukana myös kopio
siitä alkuperäisestä viestistä ja katso mistä ne on Received-kenttien
perusteella lähetetty. Luultavin vaihtoehto on joku dialup josta
viesti kierrätetään jonkun open relayn kautta vastaanottajille.
Tuollainen on ikävä tilanne, olen kokenut saman.
Followup-to: sfnet.viestinta.roskapostit
--
/* * * Otto J. Makela <o...@iki.fi> * * * * * * * * * * * * * * * */
/* Phone: +358 40 765 5772, FAX: +358 2040 64652, ICBM: 60N 25E */
/* Mail: Mechelininkatu 26 B 27, FIN-00100 Helsinki, FINLAND */
/* * * Computers Rule 01001111 01001011 * * * * * * * * * * * * */
Timo Kouhia
Alex kirjoitti viestissä <8t6pfp$bm43$1...@learnet.freenet.hut.fi>...
>Koko päivän sähköpostipalvelintamme (Red Hat 6.1, sendmail) on kuormittanut
>suuri määrä viestejä olemattomille käyttäjille tyyliin
>J73G...@mail.meidänpalvelin.fi
>Käyttäjänimi vaihtuu vahän väliä, yksi nimi saa yhdestä pariinkymmeneen
>viestiin, yhdestä tai monesta relay-osoitteesta. Maillog antaa
<<SNIP!>>
Ilkeämielinen spammeri tietää, että postipalvelimesi 'huolii' posteja
välitettäväksi, jos posteissa esiintyy paikallinen postidomain, siis tuo
mail.meidänpalvelin.fi.
Mutta huoli pois, nyt auttaa, kun rajoitat liikennettä asiakaskoneiden
ip-osoitteiden perusteella: salli vain omat asiakasosoitteet (oman verkon
ip-osoitteet)!
Posti tulee kyllä edelleen perille muualtakin maailmasta palvelimellesi,
mutta spammeri ei voi enää naruttaa sendmailiasi välittämään roskapostejaan
(ja ohjeet tähän www.sendmail.org, spam.abuse.net tai vaikka
www.orbs.org -organisaatioiden sivustojen kautta...)
Terv. Timo
Alex
> välitettäväksi, jos posteissa esiintyy paikallinen postidomain, siis tuo
> mail.meidänpalvelin.fi.
>
> Mutta huoli pois, nyt auttaa, kun rajoitat liikennettä asiakaskoneiden
> ip-osoitteiden perusteella: salli vain omat asiakasosoitteet (oman verkon
> ip-osoitteet)!
Olen kyllä rajoittanut sallittuja käytäjiä linuxconfin 'Relay for' by IP ja
'Relay for' by name -toiminnoilla. Joudumme kuitenkin sallimaan miltei minkä
tahansa kotimaisen palveluntarjoajan kautta tulevat käyttäjät. Eli onhan
mahdollista, että joku näin pääsee lähettämään roskapostia kauttamme. Mutta
eikö sen silloin pitäisi näkyä lokeissa?
Otto Mäkelän teoria muualla toimivasta roskapostittajasta joka vain käyttää
meidän tekaistua osoitettamme tuntuu siis järkevämmältä, mutta eikö sille
todellakaan voi mitään?
Alex
Reijo Korhonen
<al...@freenet.hut.fi> kirjoitti:
> Olen kyllä rajoittanut sallittuja käytäjiä linuxconfin 'Relay for' by IP
> ja
> 'Relay for' by name -toiminnoilla. Joudumme kuitenkin sallimaan miltei
> minkä
> tahansa kotimaisen palveluntarjoajan kautta tulevat käyttäjät. Eli onhan
> mahdollista, että joku näin pääsee lähettämään roskapostia kauttamme.
Tuota, onko teillä postinvälityspalvelin koko Suomelle? Ihan vaan
uteliaisuuttani kysyn että miksi? Jokaisella internet-palvelutarjoajan
asiakkaallahan on jo postinvälityspalvelin omalta palveluntarjoajaltaan.
Ihan varmistuksen vuoksi. 'Relay'- määreellä ei ole mitään tekemistä sen
kanssa, miltä serveriltä palvelimesi hyväksyy postia omalle
palvelimellesi.
> Mutta eikö sen silloin pitäisi näkyä lokeissa? Otto Mäkelän teoria
> muualla toimivasta roskapostittajasta joka vain käyttää meidän tekaistua
> osoitettamme tuntuu siis järkevämmältä, mutta eikö sille todellakaan voi
> mitään?
Välitys näkyy lokeissa /var/log/maillog. Voi lokituksen saada pois
päältäkin, mutta en tiedä miten.
--
Re...@nospam.iki.fi
http://www.iki.fi/Reijo
Alex
> uteliaisuuttani kysyn että miksi? Jokaisella internet-palvelutarjoajan
> asiakkaallahan on jo postinvälityspalvelin omalta palveluntarjoajaltaan.
Alunperin ajatuksena lienee ollut käyttäjäystävällisyys.
Käyttäjillä on jo nyt suuria vaikeuksia saada sähköpostin asetukset
kohdalleen, eikä kahdesta eri paikasta ilmoitettavat POP ja SMTP osoitteet
sitä varmasti helpottaisi. Näin jälkikäteen ajatellen ratkaisu taisi ollä
väärä, mutta nyt sitä on vaikea mennä muuttamaan...
Alex
Otto J. Makela
> Olen kyllä rajoittanut sallittuja käytäjiä linuxconfin 'Relay for' by IP ja
> 'Relay for' by name -toiminnoilla. Joudumme kuitenkin sallimaan miltei minkä
> tahansa kotimaisen palveluntarjoajan kautta tulevat käyttäjät. Eli onhan
> mahdollista, että joku näin pääsee lähettämään roskapostia kauttamme. Mutta
> eikö sen silloin pitäisi näkyä lokeissa?
Kyllä pitäisi näkyä suurena määränä liikennettä logeissa, plus varmaan
tässä vaiheessa alkaisi tulla myös ilmoituksia open relay -listoilta.
Jos tuota postikonettasi ei löydy esimerkiksi hakukoneella
http://www.jyu.fi/atk/email/checkspam.cgi
spam tuskin kulkee teidän kauttanne.
Mutta herää kysymys miksi teidän pitäisi relayata kaikkien mahdollisisten
palveluntarjoajien kautta tulevat käyttäjät, kun heillä kuitenkin on
tuon oman palveluntarjoajansa kautta mahdollisuus lähettää sähköpostit?
Jos tuota vaatimusta ei millään voi kiertää, kannattaa tutustua sendmailin
"pop before smtp" asetuksiin:
http://mail.cc.umanitoba.ca/drac/
> Otto Mäkelän teoria muualla toimivasta roskapostittajasta joka vain
> käyttää meidän tekaistua osoitettamme tuntuu siis järkevämmältä,
> mutta eikö sille todellakaan voi mitään?
Kuten sanoin, suunnilleen ainoa mitä voit tehdä on että otat
pikaisesti yhteyttä sinne mistä niitä viestejä alunperin lähetetään
eli sinne dialupin tarjoajalle.
Reijo Korhonen
<al...@freenet.hut.fi> kirjoitti:
Kertoisitko tarkemmin, millaisesta virityksestä tarkasti ottaen on kyse.
Mietittäisiin sitten joukolla, miten helpoiten korjataan. Nyt teillä on
avoin rele ja olette saaneet konkreettisesti kokea sen haitat. Ja näistä
haitoista ovat kärsineet myös lukemattomat sivulliset, joille teidän
koneenne kautta on työnnetty spammia.
Juu, syyllistän ja rankasti. Itse vaan en pidä spammista yhtaan. No,
vastavuoroisesti minäkin neuvon korjautoimissa kykyjeni mukaan.
--
Re...@nospam.iki.fi
http://www.iki.fi/Reijo
Alex
> Mietittäisiin sitten joukolla, miten helpoiten korjataan. Nyt teillä on
> avoin rele ja olette saaneet konkreettisesti kokea sen haitat. Ja näistä
> haitoista ovat kärsineet myös lukemattomat sivulliset, joille teidän
> koneenne kautta on työnnetty spammia.
Olet ilmeisesti käsittänyt ongelmamme väärin. Meidän koneella ei spammia ole
lähetetty. Ei se edes ulkomailta onnistuisi. Jos joku meidän hyväksymistä
lähetäjistä sen tekisi, sulkisimme kysyisen mahdollisuuden välittömästi.
Ongelmamme on, että joku lähettää roskapostia tekaistulla osoitteella joka
viittaa meidän palvelimeemme. Hän ei siis lähetä sitä palvelimemme kautta.
Alex
Mika Jauhiainen
> Olet ilmeisesti käsittänyt ongelmamme väärin. Meidän koneella ei spammia ole
> lähetetty. Ei se edes ulkomailta onnistuisi. Jos joku meidän hyväksymistä
> lähetäjistä sen tekisi, sulkisimme kysyisen mahdollisuuden välittömästi.
> Ongelmamme on, että joku lähettää roskapostia tekaistulla osoitteella joka
> viittaa meidän palvelimeemme. Hän ei siis lähetä sitä palvelimemme kautta.
Selkeästi epäselvä selvitys.
Lainaan aikaisempaa viestiäsi:
<Juttu>
Olen kyllä rajoittanut sallittuja käytäjiä linuxconfin 'Relay for' by IP ja
'Relay for' by name -toiminnoilla. Joudumme kuitenkin sallimaan miltei minkä
tahansa kotimaisen palveluntarjoajan kautta tulevat käyttäjät. Eli onhan
mahdollista, että joku näin pääsee lähettämään roskapostia kauttamme. Mutta
eikö sen silloin pitäisi näkyä lokeissa?
</juttu>
Tuossahan juuri sanot niin, että kotimaiset osoitteen ovat lähes kaikki
hyväksyttyjä. Voisitko tarkentaa, että tarkoittaako tuo postin välitystä vai
pelkästään postin vastaanottamista?
--
++toevo
<--><--><--><--><--><--><--><--><--><--><--><--><--><--><--><--><--><--><-->
BOFH excuse #172:
pseudo-user on a pseudo-terminal
Alex
>
> Lainaan aikaisempaa viestiäsi:
>
> <Juttu>
>
> Olen kyllä rajoittanut sallittuja käytäjiä linuxconfin 'Relay for' by IP
ja
> 'Relay for' by name -toiminnoilla. Joudumme kuitenkin sallimaan miltei
minkä
> tahansa kotimaisen palveluntarjoajan kautta tulevat käyttäjät. Eli onhan
> mahdollista, että joku näin pääsee lähettämään roskapostia kauttamme.
Mutta
> eikö sen silloin pitäisi näkyä lokeissa?
>
> </juttu>
>
> Tuossahan juuri sanot niin, että kotimaiset osoitteen ovat lähes kaikki
> hyväksyttyjä. Voisitko tarkentaa, että tarkoittaako tuo postin välitystä
vai
> pelkästään postin vastaanottamista?
Täältä saamieni neuvojen ja oman selvitystyön avulla olen todennut ettei
kyseisiä roskaposteja ole lähetetty palvelimeltamme. Mikä tässä on niin
epäselvää?
Myönnän toki, että sellaisten lähettäminen tietyistä kotimaisista verkoista
on mahdollista.
Jos roskapostitusta palvelimemme kautta esiintyisi, sulkisin mahdollisuuden.
En kuitenkaan halua aiheuttaa käyttäjille tarpeetonta vaivaa, ellei se
tosiaan ole tarpeen.
Käytön salliminen tarkoittaa siis viestin välitystä, voihan postit
vastaanottaa muutamaa tunnettua roskapostitusosoitetta lukuun ottamatta ihan
mistä tahansa.
Alex
Alex
Reijo Korhonen
<al...@freenet.hut.fi> kirjoitti:
> Olet ilmeisesti käsittänyt ongelmamme väärin. Meidän koneella ei spammia
> ole lähetetty. Ei se edes ulkomailta onnistuisi. Jos joku meidän
> hyväksymistä lähetäjistä sen tekisi, sulkisimme kysyisen mahdollisuuden
> välittömästi. Ongelmamme on, että joku lähettää roskapostia tekaistulla
> osoitteella joka viittaa meidän palvelimeemme. Hän ei siis lähetä sitä
> palvelimemme kautta.
No, käsitin tosiaan väärin. Mutta selvityksesi perusteella teillä on
kuitenkin avoin rele. Teillä on siis on potentiaalinen spammauksen
mahdollistava postipalvelin. Jos spammeri sen keksii, niin hän voi
käyttää sitä hyväkseen. Vaikka laki ei kiellä pitämästä avointa relettä,
niin hyvät tavat ovat sitä vastaan. Eli jos haluat toimia korrektisti,
niin tukit releoinnin asiattomille tahoille.
Itse en keksi syytä koko Suomeen kohdistuvan releoinnin tarpeesta. Siksi
kysyin miksi tämä alunperin viritettiin näin. Uskoisin, että osaisimme
ratkaista alkuperäisen ongelman hyvienkin tapojen mukaisesti, mutta
riittävän joustavasti. Jospa antaisit meille tilaisuuden yrittää ja
kertoisit mistä kenkä alunperin puristi.
Alex
> kysyin miksi tämä alunperin viritettiin näin. Uskoisin, että osaisimme
> ratkaista alkuperäisen ongelman hyvienkin tapojen mukaisesti, mutta
> riittävän joustavasti. Jospa antaisit meille tilaisuuden yrittää ja
> kertoisit mistä kenkä alunperin puristi.
Eli vanhaa viestiäni lainaten:
"Alunperin ajatuksena lienee ollut käyttäjäystävällisyys.
Käyttäjillä on jo nyt suuria vaikeuksia saada sähköpostin asetukset
kohdalleen, eikä kahdesta eri paikasta ilmoitettavat POP ja SMTP osoitteet
sitä varmasti helpottaisi. Näin jälkikäteen ajatellen ratkaisu taisi olla
väärä, mutta nyt sitä on vaikea mennä muuttamaan..."
Tiputtelen kyllä pois hyväksyttyjä lähettäjiä sitä mukaa kun se "kivutta"
onnistuu, mutta kaikkien samanaikainen estäminen aikaansaisi tänne
aikamoisen puheluruuhkan.
Toisenlainen ratkaisukin siis olisi hakusessa. Esim. Otto Mäkelän mainitsema
"POP before SMTP" vaikuttaa aika sopivalta, mutta lukevatkohan kaikki
välttämättä postinsa ennen lähettämiseen ryhtymistä?
Alex
Otto J. Makela
> Toisenlainen ratkaisukin siis olisi hakusessa. Esim. Otto Mäkelän mainitsema
> "POP before SMTP" vaikuttaa aika sopivalta, mutta lukevatkohan kaikki
> välttämättä postinsa ennen lähettämiseen ryhtymistä?
Aika moni sähköpostiohjelma käsittääkseni nykyisellään siihen sopeutuu.