Fałszowanie nagłówków email

[p 3]

Jedyny, znany mi przypadek to wysyłanie poczty "on behalf of" - ale wtedy doklejany jest też nagłówek SENDER z adresem oryginalnego nadawcy.

Pierwsze lepsze przykłady z mojego inbox'a:

Return-Path: <bounce+***@bounce.gandi.net>

From: Gandi <support-renew@gandi.net>

(brak Sender:)

 

Return-Path: <errors@mbank.onet.pl>

From: <kontakt@multibank.pl>

(brak Sender:)

 

Return-Path: <***@codesite.bounces.google.com>

From: codesite-noreply@google.com

(brak Sender:)

 

Wszystkie maile jak najbardziej pożądane

 

Ale u licha powinna IMO być zaimplementowana chociażby podstawowa blokada przed użyciem normalnego programu pocztowego, w którym ktoś przypadkowo w konfiguracji wpisze nie swój adres pocztowy.

Ale w tej konkretnej sytuacji nie korzystano z normalnego programu pocztowego

[megi 358]

część bardziej rozwiniętych MTA analizuje całą treść wiadomości, w tym i nagłówek FROM, oraz to, że envelope-sender != FROM

Może jeszcze raz, troszkę inaczej napiszę, o co mi chodziło.

 

Ups, trochę inaczej zrozumiałam sens wcześniejszego zdania

 

Wiedziałem, że się ktoś doczepi

 

[beliq 442]

OT: czy ktoś jeszcze poza mną doszedł do wniosku, że megi i p pasują do siebie?

fajna by była z was para

[d.v 1409]

re:OT:

Masz racię, Bellerofont. Chętnie bym posiedział przy piwku i posłuchał ich dyskutujących na żywo

 

 

A wracając do tematu, który poruszył xorg, to chciałbym wiedzieć co dalej z tą sprawą, czy konto, z którego szły te maile zostało rzeczywiście wyeliminowane i czy sytuacja się nie powtarza...

[xorg 693]

konto domeny bbgaming.pl zostało zawieszone ma 1 dzień i znów działa.

[matt 0]

Tylko ze teraz jest na netmark.pl z tego co widać po domenie

[is_wm 287]

Tak się właśnie kończą okresy testowe

[Gość N3T5kY]

wyciąć funkcję mail

A nie uważasz że wiele pseudoskryptów by na tym ucierpiało ?

[Lapiech 0]

Dla kont testowych wyłączyć funkcje mail

 

Proszę np tutaj skrypty php nie są w ogóle aktywne w okresie testowym:)

http://www.strefa.pl/pomoc/?cat=27

 

Więc wycięcie jednej funkcji nie powinno odstraszać klientów lub ograniczyć np do 5 emaili na godzinę

[Gość N3T5kY]

Proszę np tutaj skrypty php nie są w ogóle aktywne w okresie testowym:)

 

To już lekka przesada ...

[kafi 2425]

A nie uważasz że wiele pseudoskryptów by na tym ucierpiało ?

Zauważ, że to właśnie dziury w tym, co określiłeś mianem "pseudoskryptów" są głównym źródłem spamu

[is_wm 287]

Zauważ, że to właśnie dziury w tym, co określiłeś mianem "pseudoskryptów" są głównym źródłem spamu

 

Eee nieprawda. Ja przynajmniej przez pare lat pracy przy hostingu NIE oferujacego darmowych okresów testowych miałem tylko 1 taka sytuacje (zapewne przez to, ze register_globals domyslnie byl wylaczony, co w jakims stopniu zmuszalo ludzi do przerobek skryptu). Znaczenie czesciej wykorzystywano te problemy z kradzieza hasel z TC, wtedy wrzucali jakies skrypty najczesciej perl lub cgi.

 

Natomiast domyslam sie, ze hostingi ktore takie okresy testowe oferuja, maja do czynienia z 'fake klientami', ktorzy rejestruja konta tylko po to, by wyslac troche spamu.

[gadar 0]

Co prawda Fiercio już to napisał, ale dla uzupełnienia podam wycinek z logów porządnego serwera

In: MAIL FROM: <istniejacy.adres@dot.com>

Out: 250 2.1.0 Ok

In: RCPT TO: <xxx@xxx.com>

Out: 553 5.7.1 <istniejacy.adres@dot.com>: Sender address rejected: not owned by user authenticated.user@dot.com

 

MAIL FROM to nie to samo co nagłowek From w emailu. Jednak to ten drugi określa rzekomy adres nadawcy.

o2, wp, onet, o2, interia nie skanują nagłówków w wiadomościach, szkoda mocy obliczeniowej. Tylko gmail się do tego poczuwa i przepisuje From na ten podany w MAIL FROM: