Genial meu caro, bel�ssima obra. Parab�ns... Sds,
Leonardo Pinto. > Falsifica��o de mensagens de email > ================================== > > > Colabora��o: Carlos F. A. Paniago > > Eu estava procurando uma solucao para os mails que vem de fora > do meu dominio e sao assinadas por pessoas de dentro do nosso > dominio (o que faz o subordinado acreditar que o chefe mandou > o mail, quando na verdade � um SPAM ou um virus que falsifica > o from: do mail). Como o exemplo abaixo: > > > Date: Sex 23 Jul 2004 15:25:39 BRT > From: "Chefe" <[EMAIL PROTECTED]> > To: [EMAIL PROTECTED] > Subj: Para sua informacao > Received: from lfit_84.org (jcocker.uenf.br [200.20.228.56]) > > > Que � um suposto mail do Chefe para o Queiroz, mas veio de uma > maquina (real) que manda virus toda hora para todo mundo de > outra universidade. A gente que conhece email olha o Received > � sabe que � forjada, mas esse header nem aparece para os > usuarios normais, que rapidamente clicam nos virus achando > que realmente foi o seu superior que mandou o mail. (-; (-; > > Depois de meses de procura (ate mudei de mail pois achava que > o sendmail ja estava na sola, mas isso n�o me arrependo), indo > para o postfix. Achei uma solucao para todos eles no endereco: > > http://tmda.net/faq.cgi?req=show&file=faq04.010.htp > > A solucao do problema no postfix, � so acrescentar no arquivo > de configuracao main.cf > > > smtpd_recipient_restrictions = > > [...], > > permit_mynetworks, > > check_sender_access pcre:/etc/mail/sender_checks, > > [...] > > > e o arquivo /etc/mail/sender_checks com a seguinte configuracao: > > > /[EMAIL PROTECTED]/ > DISCARD > /[EMAIL PROTECTED]/ > DISCARD > /[EMAIL PROTECTED]/ > DISCARD > > > Veja que se usa o DISCARD e n�o o REJECT senao o mail acaba indo para > quem n�o o mandou. Agora isso so funciona se voce n�o permite que seus > usuarios mandem mail de outro lugar como se fosse dai (uma pratica que > deveria ser abolida da internet). Para quem esta remoto, e quer mandar > email como funcionario, use o webmail que esta dentro do > https na nossa > home page (e o mail sai realmente do nosso escritorio). > > Para finalizar aqui esta a linha que estou usando agora para fazer > essas restricoes no main.cf > > > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_non_fqdn_hostname, > reject_non_fqdn_sender, > reject_non_fqdn_recipient, > permit_mynetworks, > reject_unauth_destination, > check_sender_access pcre:/etc/mail/sender_checks, > check_helo_access hash:/etc/mail/helo_access, > check_client_access hash:/etc/mail/access, > reject_rbl_client relays.ordb.org, > reject_rbl_client opm.blitzed.org, > reject_rbl_client list.dsbl.org, > reject_rbl_client sbl-xbl.spamhaus.org, > reject_rbl_client cbl.abuseat.org, > reject_rbl_client dul.dnsbl.sorbs.net, > permit > > > Nessa configuracao tenho mais 2 arquivos o /etc/mail/helo_access > > > seu.dominio.br REJECT You are not me > localhost.seu.dominio.br REJECT You are not me > localhost REJECT You are not me > > > Para rejeitar maquinas que usem o HELO/EHLO dizendo que sao > nossas, quando > elas na verdade sao maquinas externas. E finalmente o arquivo > de acesso > que esta em /etc/mail/access, aonde uso uma lista branca ou > negra para > nao ficar sendo acessado por maquinas com virus e com > provedores, no exemplo > aqui vai um que eu estou usando agora: > > > # aqui vao os acessos indesejados > 200.141.192.218 REJECT You are a virus sender. > 200.148.142.98 REJECT You are a virus sender. > 200.161.142.201 REJECT You are a virus sender. > 200.162.114.194 REJECT You are a virus sender. > 200.164.88.34 REJECT You are a virus sender. > 201.2.52.146 REJECT You are a virus sender. > # > # > # > dsl.brasiltelecom.net.br REJECT Use your provider to > send a email. > dial.brasiltelecom.net.br REJECT Use your provider to > send a email. > e.brasiltelecom.net.br REJECT Use your provider to > send a email. > dsl.telesp.net.br REJECT Use your provider to > send a email. > dialup.gvt.net.br REJECT Use your provider to > send a email. > xdsl-fixo.ctbcnetsuper.com.br REJECT Use your provider to > send a email. > > > Normalmente os virus senders depois de um tempo eu libero. Se > uma maquina > comeca a mandar muito virus eu incluo nessa lista. > > Boa solucao, isso vai ajudar muita gente a n�o receber mail dos > falsarios e virus (so pelo header sem ter de receber o mail e passar > por um antivirus ou um procurador de SPAM). Mas isso � so uma > ajuda. Seu > sistema de email pode e deve fazer tambem algumas acoes defensivas: > > Se voce tem um firewall ou um router, configure-o de forma a deixar so > seu servidor de email mandar mail para fora e receber mail de > fora. Isso > � muito facil de fazer, e caso algum usuario de sua rede pegue virus, > pelo menos o virus fica contido na sua instalacao, ja que > esses filtros > impedem as maquinas dos usarios de mandar mail diretamente > (eles mandam > mail para o servidor de email que manda isso para fora e so o servidor > de email recebe os mails de fora. Esse servidor pode ser > unico, ou pode > ser varios). Se voce fizer um log dessa regra, voce descobre pelo log > que tem usuario com virus na sua rede interna. > > Afinal n�o � feio para a sua empresa (qualquer que seja ela) estar > associada ao fato de mandar virus para os outros? Seja uma empresa que > pelo menos contenha seus virus dentro de suas paredes. Se voce tem um > antivirus bem atualizado (ou mais de um) para todo mail que > entra e sai, > voce fica com menos chance de atrapalhar os outros e ajudar a internet > que esta "dura de roer" nesses dias de muito virus e SPAM. --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
