Rekordy MX. Dziura w DNS'ach czy jak to nazwać ?

[Dżon]

Witam,

Mam pytanie, opisuję sytuację:

1. Mam strefę DNS, powiedzmy domena.tld (to tld to tfuuu ! niebiesko mi
się kojarzy hehehe)
2. Robię sobie w strefie domeny wpisy MX np. MX1 microsoft.com MX2
gmail.com MX3 allegro.pl

Czy jest jakiś mechanizm weryfikacji wpisów MX, polegający na tym,
że jeżeli MX kieruje do innej domeny niż dana strefa, to strefa DNS
do której kieruje MX potwierdza, że owszem, MX domena.tld jest
obsługiwana u mnie ?

Coś na zasadzie revDNS ?
Czy ni chu chu nie ma czegoś takiego ?

Bo tak na dobrą sprawę, to jeżeli dobrze myślę, to mogę bezkarnie wpisać
sobie do swojej strefy MX z nazwą dowolnej domeny co jest niebezpieczne...

[Andrzej A. Filip]

Dżon <nie.podam.tu...@i.juz> pisze:

Nie ma mechanizmu weryfikacji wskazań rekordów MX na poziomie (rekordów) DNS.
Jak MX wskazuje na serwer SMTP to dopiero ten serwer SMTP odrzuca na
zasadzie że to nie jego domeny a do cudzych nie przekaże.

Notka historyczna: Dawno, dawno temu wszystkie serwery SMTP były open relay.

--
Andrzej A. Filip

[Dżon]

W dniu 17.10.2020 o 21:38, Andrzej A. Filip pisze:

Dziękuję za odpowiedź, ale moje pytanie dotyczy faktu, że ktoś może
złośliwie czy z innego powodu korzystać w sumie z mojej nazwy domenowej
bez mojej wiedzy i nie mam na to żadnego wpływu.

Wyobraź sobie sytuację, że jakiś spamer będzie na tyle upierdliwy, że
dopisze sobie MX z nazwą mojej domeny do swojej strefy i będzie
napier..ł spamem aż miło. A ja będę dostawał tony zwrotek z tytułu
odbić i nie mam na to wpływu.

Czy nie powinno być wpisu w źródłowej domenie, coś na wzór revDNS,
potwierdzającego prawdziwość wpisu w obcej domenie ?
To jest wg mnie niedopatrzenie w idei MX :(

[Andrzej A. Filip]

Dżon <nie.podam.tu...@i.juz> pisze:

Z praktyki wynika że jak się z tego zrobi naprawdę masowo upierdliwy
problem to system poczty oparty na SMTP dostanie kolejną łatkę.
Nie ma łatki => widać (jeszcze) da się znieść.

--
Andrzej A. Filip

[Dżon]

W dniu 17.10.2020 o 23:25, Andrzej A. Filip pisze:

Hmm, tylko problem może się zrobić w miarę szybko.
Przypadkiem odkryłem, że spamer siedzi na rekordzie A i z niego spamuje,
a MX ma bogaty jak ciotka z ameryki.
Toć to ewidentna dziura w weryfikacji nadawcy, a przy okazji
niekontrolowane zezwolenie na dysponowanie czyjąś domeną !

[Olek]

On 17.10.2020 23:38, Dżon wrote:
>
> Hmm, tylko problem może się zrobić w miarę szybko.
> Przypadkiem odkryłem, że spamer siedzi na rekordzie A i z niego spamuje,
> a MX ma bogaty jak ciotka z ameryki.

To znaczy ile ma tych MXów? Miliony?
Wątpię, żeby dopisywał MX każdej domeny, pod którą się podszywa przy
wysyłaniu wiadomości.

> Toć to ewidentna dziura w weryfikacji nadawcy, a przy okazji
> niekontrolowane zezwolenie na dysponowanie czyjąś domeną !

Miało być jak w tradycyjnej poczcie, a tam też nie ma zabezpieczenia
przed podaniem fałszywego adresu nadawcy i otrzymywaniem zwrotki gdy
list zostanie cofnięty.
--
Olek

[KIKI]

On 18.10.2020 00:27, Olek wrote:

> To znaczy ile ma tych MXów? Miliony?
> Wątpię, żeby dopisywał MX każdej domeny, pod którą się podszywa przy
> wysyłaniu wiadomości.

Ja nie wiem jak koledzy ale ja osobiście widziałem obce MX-y w DNS-ach
domen, którym jakaś firma np. robiła stronę www i dawała hosting. I
jakimś dziwnym trafem cudze domeny były używane do spamowania,
prawdopodobnie bez wiedzy właścicieli.

Dopiero teraz zajarzyłem o co chodzi. Widywałem nie raz takie dziwne
nagłówki i długo się zastanawiałem co jest grane, a to wygląda na brak
zwrotnego zabezpieczenia, takiego PTR dla DNS po stronie obcego MX,
będącego poza domeną.

W sumie wpisać można sobie cokolwiek we własny DNS i zwrotki będą wracać
pod adresy tego cokolwiek.

>> Toć to ewidentna dziura w weryfikacji nadawcy, a przy okazji
>> niekontrolowane zezwolenie na dysponowanie czyjąś domeną !
>
> Miało być jak w tradycyjnej poczcie, a tam też nie ma zabezpieczenia
> przed podaniem fałszywego adresu nadawcy i otrzymywaniem zwrotki gdy
> list zostanie cofnięty.

A to tak miało być?
Nikt tego nie zauważył wcześniej?

[KIKI]

On 17.10.2020 23:25, Andrzej A. Filip wrote:

> Z praktyki wynika że jak się z tego zrobi naprawdę masowo upierdliwy
> problem to system poczty oparty na SMTP dostanie kolejną łatkę.
> Nie ma łatki => widać (jeszcze) da się znieść.

Wydaje mi się, że dotyczy to głównie usługodawców, którzy mają dostęp do
dużej ilości domen swoich klientów. Np małe firmy co robią strony
internetowe, SEO i od razu zakładają pocztę i konfigurują domenę. Chodzi
o to SEO głównie żeby małym kosztem reklamować jednych przy pomocy drugich.
Bez dostępu do domeny to nie działa. Trzeba mieć panel DNS-a.
Rasowi spamerzy raczej unikają podszywania się pod innych, oni raczej
używają wygrzanej infrastruktury, która jest pewna do czasu wykrycia.

[Piotr Lechowicz]

W dniu 2020-10-17 o 23:18, Dżon pisze:

> Wyobraź sobie sytuację, że jakiś spamer będzie na tyle upierdliwy, że
> dopisze sobie MX z nazwą mojej domeny do swojej strefy i będzie
> napier..ł spamem aż miło. A ja będę dostawał tony zwrotek z tytułu
> odbić i nie mam na to wpływu.

IMHO pomyliłeś funkcjonalności.
Rekord MX jest dla wskazania serwera odpowiedzialnego za doręczenie DO adresów z domeny.
Co uzyska spamer wysyłając spam sam do siebie (na adresy ze swojej domeny) przez obce serwery?
Przy prawidłowo skonfigurowanym MTA najwyżej formę DDOSa...
Twój serwer powinien odrzucać takie spamy od razu w sesji SMTP bez żadnych zwrotek (SMTP Error 551: User not local or invalid address – Relay denied)

> Czy nie powinno być wpisu w źródłowej domenie, coś na wzór revDNS,
> potwierdzającego prawdziwość wpisu w obcej domenie ?
> To jest wg mnie niedopatrzenie w idei MX :(
>

Stosuje się mechanizmy weryfikacji bazujące na DNS:
- SPF do weryfikacji "umocowania" do wysyłki z domeny - weryfikacja po stronie odbiorcy
- DKIM do oznaczania "legalności" wysyłki z domeny - oznaczania po stronie nadawcy
W obu przypadkach stosowanie tych mechanizmów jest całkowicie dobrowolne, a o ich skuteczności decyduje w dużej mierze skala implementacji.

Pzdr

[KIKI]

On 18.10.2020 18:26, Piotr Lechowicz wrote:

> Co uzyska spamer wysyłając spam sam do siebie (na adresy ze swojej
> domeny) przez obce serwery?
> Przy prawidłowo skonfigurowanym MTA najwyżej formę DDOSa...

Właśnie chyba głównie o to chodzi, że wysyłając do jakiegoś MTA1 można
go przekonać żeby zwrotki szły do MTA2.

Da się zaobserwować takie maile.

[Lemat]

W dniu 19.10.2020 o 00:37, KIKI pisze:

zwrotki powinien generować serwer wysyłający (serwer spamera) a nie
odbierający.

kiepskie konfiguracje w których zwrotki wysyła serwer odbiorcy często
lądują na czarnych listach.

a czarne listy będą chronić serwer ofiary.

dodatkowo powiem, że na Cisco ESA (dawniej ironport) jest moduł
weryfikujący czy przychodząca zwrotka pasuje do wcześniej wysłanego emaila.

--
Pozdrawiam
Lemat

[Piotr Lechowicz]

W dniu 2020-10-19 o 00:37, KIKI pisze:

Ok, nie spojrzałem na to z punktu widzenia spamera, który może faktycznie nie chcieć ton zwrotek na swoim kombajnie...
Ale czy spam nie powinien być uwalany w sesji bez żadnych zwrotek?

Chyba, że spamerski MTA jest tak dziadowsko ustawiony, że samemu spamerowi naparza zwrotkami o jego odrzuconych mailach.
Ale wtedy rekordy MX nic do tego nie mają...

Bardziej chyba jednak to idzie w stronę DDOSa:
- MTA1 męczy MTA2 zwrotkami, które tego MTA2 nie dotyczą
- MTA2 zwrotki uwala, ale w zależności od czasu/natężenia może MTA1 uznać za brzydala i go zbanować

> Da się zaobserwować takie maile.
>

Z ciekawości: daj nagłowki jakiegoś przykładowego - który MTA je generuje?

[KIKI]

On 19.10.2020 21:32, Piotr Lechowicz wrote:

> Bardziej chyba jednak to idzie w stronę DDOSa:
> - MTA1 męczy MTA2 zwrotkami, które tego MTA2 nie dotyczą
> - MTA2 zwrotki uwala, ale w zależności od czasu/natężenia może MTA1
> uznać za brzydala i go zbanować

Właśnie o to mi chodzi.

>> Da się zaobserwować takie maile.
>>
>
> Z ciekawości: daj nagłowki jakiegoś przykładowego - który MTA je generuje?

Nagłówki posiałem gdzieś, skasowałem ale to wyszło jak dig-iem
zaglądałem co mają wpisane za rekordy txt, mx, później rekordy A tych
MX-ów i wyszło mi na to, że spamer miał wpisany cudzy MX, którego tam
być nie powinno. Nasz spamer rodzimy, SEO coś podobnego.

Do chwili aż nie przeczytałem tego posta nie zdawałem sobie sprawy z
tego co to było i maila skasowałem. Dopiero teraz się nad tym
zastanowiłem :-)

[Anonymous]

Z tego co przeczytałem , to problem dotyczy głównie możliwości
wykorzystania nazwy dowolnej domeny bez wiedzy właściciela domeny i użycie
jej jako MX przez spamera ? I właściciel domeny nic na to nie może poradzić
? Dziwne ...

[KIKI]

On 20.10.2020 16:52, Anonymous wrote:

> Z tego co przeczytałem , to problem dotyczy głównie możliwości
> wykorzystania nazwy dowolnej domeny bez wiedzy właściciela domeny i użycie
> jej jako MX przez spamera ? I właściciel domeny nic na to nie może poradzić
> ? Dziwne ...

Właśnie. To jeden z przykładów możliwości wykorzystania tego zjawiska.