--
Hozzászólás: podma...@googlegroups.com
Leiratkozás: podmalinux+...@googlegroups.com
További info: http://groups.google.hu/group/podmalinux?hl=hu
<img src="http://groups.google.hu/group/podmalinux/icon?v=1" width="42" height="42" border="0" alt="">
2010-09-09 21:33 keltezéssel, Janos Tolgyesi írta:
> No jo, de megiscsak tudni kell, hogy van egy felado, adott esetben en,
> es egy cimzett, ...es esetleg valami eladni valo is OCSOERT... De
> mindjart tudni fogja mindneki hogy ezeket a leveletket nem en irtam,
> mert en kb 15 eve nem hasznalok ekezetes betuket !
A második levél már ékezet nélkül ment, de hát nem is azt a célt
szolgálta, hogy a lista elhiggye, hogy Viagrát árulsz. A demo arról
szólt, hogy nem kell password ahhoz, hogy X.Y. nevében mailt lehessen
hamisítani.
Remélem, nem haragudtál meg a névvel visszaélésért, de így volt frappáns
a demo. ;)
Az avr fuse bitjeivel kapcsolatosan ajánlom ezt a nagyon jó oldalt:
http://www.engbedded.com/fusecalc
Kár, hogy nem letölthető, mert így mindig munkál bennem a kérdés, hogy
meddig lesz elérhető. Olyan sok jó oldal eltűnt már....
Üdv,
RI
Akkor a szemleltetesed alapjan valahogy igy lehet tovabbfejleszteni a "rekonstrukcios" kiserletemet:
Egy spamm-gyarhoz alapban olyanfele adatok kellenek, amiben egy-egy tetel egy valos email cimet tartalmaz, es a hozza tartozo "ismerosok", levelezo partnerek cimeit.
(nincs szo se feltoresrol, se password "lopasrol"!!)
A "gyartosor" egy hamis domain, ami egy mail server, es rajta vannak a "kiindulo" email accountok. A "gyartas" pedig olyasmit takar, hogy ezekrol a "masolat" email cimekrol "valosagosnak tuno" leveleket kuldozgetnek a valosagos levelezo partnereknek.
Egy elkepzelt pelda: ha van egy x...@valahol.com email cim es tartozik hozza mondjuk egy tucat valosagos, "ismerosok cimei", akkor keszul egy hamis valahol.com domain, annak a mail szerveren x.y account. Ebbol az idolegesen letezo, hamis x...@valahol.com cimrol lesznek kikuldve a levelek, valogatva az "ismerosok cimei" kozott.
Tehat ha jol ertem amibe itt belegabalyodtam, akkor ilyen esetben az sem segit, ha az "aldozatul esett" email cimet megszuntetjuk, hiszen az osszeszedett informaciok birtokaban barmikor letrejohet egy fuggetlen, masolat-email cim, ami vidaman mukodhet a tovabbiakban is.
Az "ismerosok" felol nezve a dolgokat, nincsen egy alap immun reakcio, hiszen egy ismert cimrol jonnek a levelek, ha elegge jol vannak megirva, akkor el is olvassa oket a cimzett. Nem segit az sem, ha a lokalis spamm szuronek utaljuk at a "hamisitott" cimet, hiszen igy az esetleges valodi levelek is kiszuresre kerulnek.
Ez a "jol megirva" egy kulon tema, boncolgatasa alighanem a hamisitas tanulmanyozasanak nagyon regi teruletehez tartozik. (Gondoljunk pl. egy "jol megfestett" de nem igazi Rembrandt kepre).
Egyszer belebotlottam egy levelezo Forumba, ahol aďż˝ nigeriai torzsfonok megozvegyult nejenek ismert leveleit gyujtottek es ertelmeztek, elemezgettek.
Nekem egyeloreďż˝ nincs szamottevo gyujtemenyem, de peldakent ide teszek egyet, hogy mit kell vagy lehet itt erteni a "jol megirt" kifejezes alatt.
Igaz, az egyik mar igy kezdodik: God is powerfull... ami mar nincs messze a spammszurot is eligazito vijjagra es ocsonadom fordulatoktol.
---------
Hello
��������� How is everything ? Here is a good news,I got a good web:*&www.ugg-sale.info%* ,and I have browsed,and kinds of products there,such as : Handbag,colothes,cosmetics,jewellery,and so on,MAC,chanel,Tiffany,Nike etc.you can have a look when you are free,I think you will like it.
sincerely
----------
tehat:
sincerely: t.janos
2010/9/9 Istv�n R�tall�r <istvan....@gmail.com>
2010-09-09 21:33 keltez�ssel, Janos Tolgyesi �rta:
No jo, de megiscsak tudni kell, hogy van egy felado, adott esetben en, es egy cimzett, ...es esetleg valami eladni valo is OCSOERT... De mindjart tudni fogja mindneki hogy ezeket a leveletket nem en irtam, mert en kb 15 eve nem hasznalok ekezetes betuket !
A m�sodik lev�l m�r �kezet n�lk�l ment, de h�t nem is azt a c�lt szolg�lta, hogy a lista elhiggye, hogy Viagr�t �rulsz. A demo arr�l sz�lt, hogy nem kell password ahhoz, hogy X.Y. nev�ben mailt lehessen hamis�tani.
Rem�lem, nem haragudt�l meg a n�vvel vissza�l�s�rt, de �gy volt frapp�ns a demo. ;)
Az avr fuse bitjeivel kapcsolatosan aj�nlom ezt a nagyon j� oldalt:
http://www.engbedded.com/fusecalc
K�r, hogy nem let�lthet�, mert �gy mindig munk�l bennem a k�rd�s, hogy meddig lesz el�rhet�. Olyan sok j� oldal elt�nt m�r....
�dv,
RI
--
Hozz�sz�l�s: podma...@googlegroups.com
Leiratkoz�s: podmalinux+...@googlegroups.com
Tov�bbi info: http://groups.google.hu/group/podmalinux?hl=hu
<img src="http://groups.google.hu/group/podmalinux/icon?v=1" width="42" height="42" border="0" alt="">
--
Hozz�sz�l�s: podma...@googlegroups.com
Leiratkoz�s: podmalinux+...@googlegroups.com
Tov�bbi info: http://groups.google.hu/group/podmalinux?hl=hu
Nincs tapasztalatom a Bayes-szűrés területén, de lelkes érdeklődőként el szoktam olvasni, amibe éppen belebotlok. Sütő János és Bayes kulcskifezezésekre keresve a Google elegendő kiindulási alapot ad, de Janunak biztosan vannak saját tapasztalatai is.
Jól belőtt Bayes szűréstől elvárják, hogy olyan esetben is, mikor a levelező felek kifejezetten spamszűréssel foglalkoznak és pl. spam-mintákat is cserélnek, felismerje, hogy ez nem spam. Ami azért elég meredek elvárás, de állítólag a hozzáértők ki tudják ennyire hegyezni.
A dolog alapban arról szól, hogy a minden jellemzőjét pontozom: pl. vannak-e benne a spam-szótáramban előforduló szavak, vannak-e a "fehér" leveleimben előforduló szavak (pl. ha jtag, debugger, avr, oszcilloszkóp szavak vannak benne, akkor nem valószínű, hogy spam), az IP cím megfelel-e annak a domain-név tartománynak, ami a feladóban szerepel (pl. a *.hu feladó magyarországi domainről jött-e), milyen karakterkészlettel küldték a mailt (ennek most az utf keresztbe tesz), meg effélék.
Ezek egyike sem kizáró tényező, csak pontozza a rendszer. A példánál maradva a *.hu feladó Angliából küldött levele büntetőpontot kap, pedig lehet, hogy valós levél. Aztán ha a karakterkódolása sincs rendben, azért szintén büntetőpont jár. Így minden jellemzőt vizsgál és pontoz.
Ezután jön a lényeg a Bayes féle feltételes valószínűség alkalmazása. Nagyon primitív példával élve: annak a valószínűsége, hogy az utcán sétálva esernyős emberrel találkozom, x ezrelék. Annak a valószínűsége, hogy esik az eső, y százalék. De ha - és ez a "ha" a feltételes valószínűség - ha esik az eső, az esernyős emberrel találkozás valószínűsége ha nem is 100%-ra, de ötven fölé ugrik. Pedig a két valószínűség csak ezrelékes volt.
Ugyanezt lehet kifordítottan is alkalmazni, azaz a gyanús mail "tisztának" minősítése is robbanásszerű javulást eredményez a gyanú eloszlatásában. Ha szokott feladótól, szokott IP-ről, helyes karakterkódolással, stb. stb. érkező maiben szerepel a "viagra" szó, a rendszer elengedi.
Az egész meg van fűszerezve azzal, hogy a beérkező mailek szókincse állanóan bővül. Ha a végső súlyozás után egy mail spamnek bizonyul és elég sokszor előfordul benne a "drug" szó, akkor ez a szó is bekerül a spam-re jellemző szótárba.
Az előbbi példánál maradva, a "viagra" szóval átengedett fehér levelek alapján viszont, bármennyit is emlegetik, sohasem kerül a tiszta szavak szótárába. Miért? Egyszerűen, mert már benne van a "piszkos" szótárban. A dolog vice-versa működik, tehát "tiszta" szó sem kerülhet a piszkosba, mert akkor pl. az "és" szó is piszkos lehetne.
Van tehát egy induló szókinc készlet tiszta szavakra, piszkos szavakra és van semleges szavakra. Az előbb említett "és"-nek valójában a semlegesek közt a helye. A szótárakból kikerülni nem lehet (csak ha a user felülbírálja) azok csak bővülnek.
Lehetőség van egyéni elemek felvételére, pl. egy időben nem rendesen írták a szót, hanem minden betű után space volt vagy pont. Akkor vagy a szót összeolvasva keresem végig a szótáraimat, vagy azt mondom, hogy három önállóan álló betű eleve spamgyanús, büntetem.
A dologban az a frappáns, hogy magad vehetsz fel szempontokat és mindennek változtathatod a súlyát menet közben is.
Érdekes móka ez, foglalkoztat a gondolat, hogy a kis otthoni routerek mintájára nem lenne-e érdemes pl. LinuxStamp alapokon spamszűrőt gyártani.
RI
2010-09-10 10:03 keltezéssel, Janos Tolgyesi írta:
Akkor a szemleltetesed alapjan valahogy igy lehet tovabbfejleszteni a "rekonstrukcios" kiserletemet:
Egy spamm-gyarhoz alapban olyanfele adatok kellenek, amiben egy-egy tetel egy valos email cimet tartalmaz, es a hozza tartozo "ismerosok", levelezo partnerek cimeit.
(nincs szo se feltoresrol, se password "lopasrol"!!)
A "gyartosor" egy hamis domain, ami egy mail server, es rajta vannak a "kiindulo" email accountok. A "gyartas" pedig olyasmit takar, hogy ezekrol a "masolat" email cimekrol "valosagosnak tuno" leveleket kuldozgetnek a valosagos levelezo partnereknek.
Egy elkepzelt pelda: ha van egy x...@valahol.com email cim es tartozik hozza mondjuk egy tucat valosagos, "ismerosok cimei", akkor keszul egy hamis valahol.com domain, annak a mail szerveren x.y account. Ebbol az idolegesen letezo, hamis x...@valahol.com cimrol lesznek kikuldve a levelek, valogatva az "ismerosok cimei" kozott.
Tehat ha jol ertem amibe itt belegabalyodtam, akkor ilyen esetben az sem segit, ha az "aldozatul esett" email cimet megszuntetjuk, hiszen az osszeszedett informaciok birtokaban barmikor letrejohet egy fuggetlen, masolat-email cim, ami vidaman mukodhet a tovabbiakban is.
Az "ismerosok" felol nezve a dolgokat, nincsen egy alap immun reakcio, hiszen egy ismert cimrol jonnek a levelek, ha elegge jol vannak megirva, akkor el is olvassa oket a cimzett. Nem segit az sem, ha a lokalis spamm szuronek utaljuk at a "hamisitott" cimet, hiszen igy az esetleges valodi levelek is kiszuresre kerulnek.
Ez a "jol megirva" egy kulon tema, boncolgatasa alighanem a hamisitas tanulmanyozasanak nagyon regi teruletehez tartozik. (Gondoljunk pl. egy "jol megfestett" de nem igazi Rembrandt kepre).
Egyszer belebotlottam egy levelezo Forumba, ahol a nigeriai torzsfonok megozvegyult nejenek ismert leveleit gyujtottek es ertelmeztek, elemezgettek.
Nekem egyelore nincs szamottevo gyujtemenyem, de peldakent ide teszek egyet, hogy mit kell vagy lehet itt erteni a "jol megirt" kifejezes alatt.
Igaz, az egyik mar igy kezdodik: God is powerfull... ami mar nincs messze a spammszurot is eligazito vijjagra es ocsonadom fordulatoktol.
---------
Hello
How is everything ? Here is a good news,I got a good web:*&www.ugg-sale.info%* ,and I have browsed,and kinds of products there,such as : Handbag,colothes,cosmetics,jewellery,and so on,MAC,chanel,Tiffany,Nike etc.you can have a look when you are free,I think you will like it.
sincerely
----------
tehat:
sincerely: t.janos
2010/9/9 István Rétallér <istvan....@gmail.com>
2010-09-09 21:33 keltezéssel, Janos Tolgyesi írta:
No jo, de megiscsak tudni kell, hogy van egy felado, adott esetben en, es egy cimzett, ...es esetleg valami eladni valo is OCSOERT... De mindjart tudni fogja mindneki hogy ezeket a leveletket nem en irtam, mert en kb 15 eve nem hasznalok ekezetes betuket !
A második levél már ékezet nélkül ment, de hát nem is azt a célt szolgálta, hogy a lista elhiggye, hogy Viagrát árulsz. A demo arról szólt, hogy nem kell password ahhoz, hogy X.Y. nevében mailt lehessen hamisítani.
Remélem, nem haragudtál meg a névvel visszaélésért, de így volt frappáns a demo. ;)
Az avr fuse bitjeivel kapcsolatosan ajánlom ezt a nagyon jó oldalt:
http://www.engbedded.com/fusecalc
Kár, hogy nem letölthető, mert így mindig munkál bennem a kérdés, hogy meddig lesz elérhető. Olyan sok jó oldal eltűnt már....
Üdv,
RI
További info: http://groups.google.hu/group/podmalinux?hl=hu
<img src="http://groups.google.hu/group/podmalinux/icon?v=1" width="42" height="42" border="0" alt="">
--
Hozzászólás: podma...@googlegroups.com
Leiratkozás: podmalinux+...@googlegroups.com
További info: http://groups.google.hu/group/podmalinux?hl=hu
<img src="http://groups.google.hu/group/podmalinux/icon?v=1" width="42" height="42" border="0" alt="">
--
Hozzászólás: podma...@googlegroups.com
Leiratkozás: podmalinux+...@googlegroups.com
További info: http://groups.google.hu/group/podmalinux?hl=hu
Valamennyi, de nem sok. István leírta a lényeget. Ami az esernyős hasonlatot
illeti, annyiban sántít, hogy az esernyős ember megjelenése az utcán nem
független valószínűség, azaz esőmentes időben más, mint tűző napon (ha
idevesszük a napernyőként funkcionáló esernyőt is), illetve esőben. A Bayes is
e szerint dolgozik. Veszi az alap feltételt: esik vagy nem? Ha igen, akkor
esernyős ember jön vagy nem. Ha nem esernyős jön, akkor ez normális vagy
gyanús esemény.
A pontozás is ennek megfelelően alakul. Ha esik és esernyős embert látok, az
normális, ezért alacsony pontszámot ad. Ha az esernyő feltűnően csiri-csáré és
egyébként átázik, akkor már magasabb pontszámot ad, de még mindig kevesebbet,
mint ha egyáltalán nem lenne eső.
Ez csak egyik része a szűrésnek. Ezen felül a spam szűrés használ szótárakat,
amiben különféle módon megjelölt szavak, szórészek vannak. Így fordulhat elő,
hogy ma már a viagra, v1agra, via9ra és kombinációit is felmeri, mégha
szóközökkel tagolva van is.
Az egész rendszert az amavisd(-new) Perlben írt programcsomag kezeli (én a
szabad szoftveres megoldásról beszélek). Általában 5,0 pontig átengedi a
leveleket 12,0 pontig spam-gyanús e felett biztosan spam. Én az alsó határt
2,5-re csökkentettem, a felsőt 7-re vagy 8-re, nem emlékszem. Elég szigorú
szabály, de nem nagyon csúsznak át spam-ek, a vakriasztások száma sem
számottevő. Igaz, a karanténba került leveleket nem árt folyamatosan figyelni,
de megéri.
Van még egy érdekes szűrési metódus. Ismert a white list (lényegében
ellenőrzés nélkül elfogadható levelek feladói), a blacklist (semmiképp nem
elfogadható feladók). A greylisting az a megoldás, amikor a beérkező levelet
meghatározott ideig várakoztatja a szerver, majd a megfelelő idő eltelte után
annak függvényében, hogy az adott címről ez alatt hány levél érkezett,
elfogadja, vagy eldobja. Abból a feltételezésből indulnak ki ugyanis, hogy a
spammer százszámra szórja a levelet. Jól beállított greylisting nem okoz
problémát a körlevelek esetén sem.
--
---[janu]---
registered Linux user #46079
homepage: http://www.janu.hu
gpg --keyserver hkp://pgp.mit.edu --recv-keys 7AE6D529
fingerprint: 48AD 937E EBF7 46EE 06E6 81FC 3DC2 06A7 7AE6 D529
Jut eszembe a témához: postfilter, Kadlecsik Józsi
Bár ez postfix-el van összhangban.
c
Nos, ez a klasszikus értelemben nem spam - pontosabban nem a spam-szórás a
probléma, az már sajnos következmény. Számos olyan makró (főleg Word) ismert,
ami a következőt csinálja:
- befészkeli magát a gyanútlan (m$) felhasználó gépére, az illető címjegyzékét
ellopja és elküldi egy meghatározott e-mail címre (ez természetesen a
spammer),
- az így összelopkodott címlista alapján a spammer hatalmas mennyiségű
körlevelet generál és küld.
Zsófinak abból a szempontból van pechje, hogy az áldozat a levelező partnere,
tehát Zsófi mindenféle értelemben vétlen.
Jól konfigurált tűzfal, esetleg egy router is képes figyelni, hogy nincs-e
spam szórás. Ha egy adott gépről (a-mail címről) gyanúsan sok levél megy ki,
riasztást küld a megfelelő (a beállított) címre.
Ez ellen persze Te, mint címzett, nem tudsz védekezni, csak egy jól beállított
spamszűrővel (merthogy a végeredmény ténylegesen spam).
Végül a hotmail-es dolog: a levelező szervereken (spam szűrőkön), de jó néhány
kliensen is, elég jól beállítható a tiltott címek listája. Letiltottam a
@hotmail.com-ot, de az isme...@hotmail.com címről érkező levelek átjöhetnek.
Ez fordítva is igaz: csak a spa...@domain.tld-t tiltom le...
https://docs.google.com/viewer?url=http://www.ipszilon.iif.hu/2007-ipszilon-
postfilter.pdf
(a marha, megint eltörte a linket :-( )
Igaz, hogy postfix, de a mechanizmust jól bemutatja.
Azt hiszem, apró zavar van. A helyzet az, hogy olyan címet írsz feladónak,
amilyet akarsz. Ha a levelező szerver nincs jól beállítva, akkor sóhaj nélkül
elfogadja, ha nem olyan címről írsz, amilyen a feladónak megadott domain.
Illetve a helyzet még ennél is bonyolultabb, de a lényeg az, hogy *nem* Zsófi
e-mail címét töri fel, hanem "csak" használja a címét feladóként. Te is
megteheted, hogy nem jól beállított szerverre bill....@microsoft.com
feladóval küldesz levelet.
> A Mimikri esettanulmany pedig ez:
> Zsofi igazi email-cime (hogy ne sertsem meg az anonimitasat)
>
> xxxxzsofi$hotmail.com A levelek fejreszeben Zsofi teljes nevevel
>
> a spammer altal, teljesen legalisan (!) eloallitott masik email cim ez:
>
> xxxx...@hotmail.com A fejreszben Zsofi teljes nevevel.
Hát éppen nem legális a cím, de ez más kérdés. Ez is egy trükk, éppen ez
ilyenek miatt nem javasolt hosszú e-mailcímet használni. Ha a hg...@gmail.com
feladóval kapsz levelet, akkor rögtön látod, hogy valami nem tiszta, de
ugyanez istvan....@gmail.com esetén már nem biztos, hogy feltűnik.
> [...]
> Igy persze mar nagyon egyszeru szurot konfiguralni hozza. Akkor van egy kis
> problema, ha replayal probalok valaszolni a spamm levelre...ezt ki fogom
> probalni, de gondolom nem lesz semmi valasz.
Vagy kapsz egy nem létező mailbox választ (ezt szeretnénk). Csakhogy ez azért
lassítani fog - ami persze nem baj, meg talán nem is olyan nagy a forgalmad,
ami miatt aggódni kellene. Egyébként ez is egy szokásos védekezési mód.
>
> Az Istvan altal emlitett negyedik kriterium pedig nagyon egyszeru,
> mindossze annyi, hogy Zsofi magyar, es eddig meg egyetlen levelet sem
> valtottunk angolul. (tobbek kozott ezt nem neztem meg a mimikrivel bajlodo
> spammer.)
Mellékes - nem biztos, hogy célravezető. Zsófi esetében bejön, de én pl. mit
csinálnék, ha rendszeres levelező partnereim közül azokat hamisítanák, akikkel
németül írunk, vagy pl. ha ide a listára egy angol idézetet beküldenék?
> [...]
> (egyebbkent az elobb mar azt hittem, hogy vegleg kimeritettuk a temat)
> [...]
hát... Van még bőven, pl. a hibás fejlécű levelek, a címzett nélküli levelek
(nyilván láttál már olyat, aminél a címzett mezőben "undisclosed-recipient
van), vagy a feladó és a címzett ugyanaz stb.
Az utóbbi a nehezebb. Nem lehet tudni, hogy ki a hamisító. A legegyszerűbb, ha
Zsófi értesíti állandó partnereit, hogy ilyen van. Ha a partnerek a saját
levelező kliensükben blacklist-elik a hamis címet, akkor egy idő után az
eltűnhet. A valódi cím használatával küldött levél ellen Magyarországon nincs
védelem, kulturországokban a rendőrség foglalkozik vele (ugyanis magánokirat-
hamisítás).
A jövőre nézve pedig a szokásosakat lehet mondani: ne nyisson meg gyanús
címről származó levelet, ne töltsön le ismeretlen csatolmányt stb.
Ja, és a legfontosabb: mivel ez működik w$-on is. MIndenkinek javasolni tudom
a GPG használatát. Abból baj nem lehet...
2010-09-11 08:20 dátummal Janos Tolgyesi ezt írta:
2010-09-11 14:45 dátummal István Rétallér ezt írta:Ez most jött.Mi?Erről beszélek: hogyan lehet ilyen hülyén mailt továbbítani? Az igazi feladót és címzettjeit kivágtam, ezek mind ismeretlen emberek, akik teletrombitálják a világot a kapcsolati hálójukkal.
Tárgy:
Fwd: Fwd: Fw: Fwd: Kistesó |
Feladó:
Csöndes Lászlóné <cson...@vipmail.hu> |
Dátum:
Fri, 10 Sep 2010 19:07:23 +0200 |
Címzett:
Steingart
Lászlóné <lsdorika.@gmail.com>, Szabadszállásiné Gyöngyi
<gyongyi.sza...@arrabona-med.hu>, Szalai Dezsőné
<lili...@gmail.com>, Szerbeczkyné Marika
<pisti...@freemail.hu>, Takácsné Juci
<takac...@gmail.com>, Veszelka Attiláné
<aga...@kabelnet.hu>, LIPOVICS jÓZSEFNÉ
<lipov...@digikabel.hu>, Kőhalmi Imréné
<kohal...@hotmail.com>, Konczos Zsuzsanna
<zsko...@freemail.hu> |
-- Eredeti üzenet --
Elküldve: 2010. szeptember 10. 14:38Tárgy : Fwd: Fw: Fwd: Kistesó
Nálam a @hotmail.com már régóta blacklist-en van.
> [...]
Ilyenkor azért ingerkedik a kisördög benne, hogy a malware írtót készítő írta
a malware-t is, hogy anyagi helyzetét javítsa. Még nem néztem meg, de
szerintem az amavisd rendszer tudja ezt - és nem fizetősen!