El Mié 29 Oct 2008, Pablo Gentilel escribió:
> Herr Groucho escribió:
> > El Mar 28 Oct 2008, Pablo Gentilel escribió:
> >> Alfredo Daniel Rezinovsky escribió:
> >>> El lun, 27-10-2008 a las 22:27 -0300, Pablo Gentilel escribió:
> >>> Querer solucionar un problema atacando los sintomas es una
> >>> pésima idea. Deberias poder detectar que esos mails en
> >>> particular son SPAM de alguna otra forma. Y directamente no
> >>> aceptarlos. (enviame uno como adjunto para ver todos los otros
> >>> encabezados).
> >>
> >> Si estoy de acuerdo con lo que decis, por eso aclaro en correos
> >> anteriores a estos que el tema de la deteccion de este tipo de
> >> correo esta resuelto, es mas, esta resuelto para exim, con una
> >> configuracion propia para el mismo, y como dije tambien para
> >> Spamassasssin, con un plugin, llamado freemail, todavia no lo
> >> implemente, por que tengo un server de correo en produccion y no
> >> quiero que me pase nada raro,
> >
> > Pero cuál es el problema que querés solucionar?
> > a) No recibir mensajes de direcciones gratuitas?
> > b) No recibir mensajes con confirmaciones de lectura dirigidas a
> > miles de usuarios?
> > c) No recibir mensajes con el fraude nigeriano?
> >
> > a) es un despropósito, b) se detecta muy fácilmente con una
> > expresión regular en cualquier sistema de filtrado de mensajes
> > (no sólo spamassassin), y c) está resuelto desde siempre en
> > cualquier sistema antispam.
> >
> > Ah, tiene huevos este que hizo el plugin freemail: lista gmail,
> > hotmail y softhome...
> >
> >
> > Estuve viendo el código del plugin este de spamasassin y
> > realmente sigo sin ver qué tiene que ver con el fraude nigeriano
> > o con confirmaciones de lectura enviadas a miles de
> > destinatarios. Qué te hace pensar que te va a servir
> > específicamente para los problemas que describiste?
>
> No entiendo a que te referis con que tiene hueves ese fulano, no
> importa
Me refiero a que está usando un leve indicio de espamicidad (dirección
de remitente perteneciente a un dominio que otorga cuentas a
cualquiera, no sólo a los spammers) para asignar algo así como la
mitad de los puntos de espamicidad necesarios para señalar un mensaje
como spam, con el gran riesgo de falsos positivos a los que se expone
involucrando dominios muy utilizados, arriesgándose a las aireadas
quejas de sus usuarios.
> , y en cuanto a que si es un fraude nigeriano o un freemail,
> la primera no lo es, lo que quiero resolver es la segunda opcion,
> no se si se llama freemail o como se llame,
No creo que tenga nombre propio. Freemail seguro que no es.
> yo puse en correos
> anteriores el encabezado que me mando la lista negra ( no tengo en
> este momento cual es no es importante), lo que paso en cuanto a
> mis comentarios de que era "419 scam freemail" o "freemail, " es
> que en el mail que me mandan de aviso hace mencion a estas dos
> opciones en distintas partes del mensaje que me envian.
Miré las cabeceras y lo que dice es esto:
X-Spam-Class: SPAM-HIGH-VERY - 419scam Freemail - Reply-to does not
match From
El revisador de mensajes que te mandó ese aviso está listando todo lo
que no le gusta del mensaje. No le gusta que sea un fraude nigeriano,
no le gusta que fuera mandado desde una cuenta de correo gratuita, y
no le gusta que el reply-to no sea igual al from. Pero entiendo que
son cosas independientes.
En cuanto a que no sea un fraude nigeriano, a primear vista no lo
parece, pero qué pasa si en el cuerpo dicen que uno ganó la lotería y
que tiene que dar el número de cuenta bancaria para que le
transfieran el premio? Funcionaría equivalentemente al fraude
nigeriano y puede que con 419scam se refieran genéricamente a
cualquier engaño para dar información bancaria con la promesa de
recibir una fuerte suma.
> Asi que eso
> evidentemente no sirve para nada, de todas formas aca tengo el
> encabezado del mensaje original.Por lo que veo incluso creo que
> seria posible hasta hacer algo con procmail, de no ser asi, postea
> en el mensaje como seria tu posible solucion a esto, digo para que
> todos lo usemos, ya que segun veo habemos mucho scon este problema.
>
> ===================================================================
>====================== Received: from 81.199.88.72
> (SquirrelMail authenticated user credondo)
> by mail.royalmercosur.com with HTTP;
> Thu, 23 Oct 2008 01:55:35 -0300 (ART)
> Message-ID:
> <[EMAIL PROTECTED]>
> Date: Thu, 23 Oct 2008 01:55:35 -0300 (ART)
> Subject: XMAS BONUS
> From: "UK NATIONAL LOTTERY 2008 EDITION" <[EMAIL PROTECTED]>
> Reply-To: [EMAIL PROTECTED]
> Bcc: [EMAIL PROTECTED],
> [EMAIL PROTECTED],
> [EMAIL PROTECTED],
> [EMAIL PROTECTED],
[y medio millón de direcciones más]
> User-Agent: SquirrelMail/1.4.9a
> MIME-Version: 1.0
> Content-Type: text/plain;charset=iso-8859-1
> Content-Transfer-Encoding: 8bit
> X-Priority: 3 (Normal)
> Importance: Normal
Bueno, no está usando la cabecera no normalizada que mencionó Alfredo,
pero está poniendo una cabecera "Bcc:" con direcciones, anulando el
propósito de dicha cabecera. Eso es como mínimo estúpido. Parece que
lo que este spammer supone es que el MTA al generar la confirmación
de lectura la va a mandar a todas las direcciones en Bcc: (quizás sin
revelarlas), además de a la dirección del Reply-to:. Habría que mirar
los RFCs si ese es el comportamiento dictado.
De todas formas, podés escribir una expresión regular extendida que
concuerde con Bcc: seguido de al menos 10 (o 20 o 100) cadenas que
parezcan direcciones de correo. Algo así (no probado):
(From:|Reply-to:|Sender:|Bcc:) ([EMAIL PROTECTED],){10,}
Ya que mencionás Exim:
recipients_max Use: main Type: integer Default: 0
If this option is set greater than zero, it specifies the maximum
number of original recipients for any message. Additional recipients
that are generated by aliasing or forwarding do not count. SMTP
messages get a 452 response for all recipients over the limit;
earlier recipients are delivered as normal.
Non-SMTP messages with too many recipients are failed, and no
deliveries are done.
Note: The RFCs specify that an SMTP server should accept at least 100
RCPT commands in a single message.
Cuando el MTA vaya a mandar la confirmación de lectura a medio millón
de destinatarios, (estén en Bcc:, From:, Sender: o Reply-to: va a
tener que emitir medio millón de comandos RCPT TO de SMTP y este
límite lo va a pescar y fallar el mensaje a nivel SMTP.
A menos que el MTA decida mandar las confirmaciones de mensajes de a 4
o 5 por mensaje, generando 1/4 o 1/5 de medio millón de mensajes
individuales, serviría. Pero en caso de que el MTA haga en envío así
de subrepticiamente, lo detectarías mediante las reglas de limitación
de ritmo de envío de mensajes:
Por ejemplo, poniendo esto en la ACL del comando MAIL FROM:
defer message = Sender rate exceeds $sender_rate_limit \
messages per $sender_rate_period
ratelimit = 20 / 5min / strict
--
Herr Groucho
ID Jabber: [EMAIL PROTECTED]
Señal distintiva: LU5MJR - 144,550 MHz FM.
Clave pública GPG: hkp://pks.lugmen.org.ar
Fingerprint GPG: B7BD 0FC7 D9A2 66F3 4EFC 45EE 7DE2 3932 597B 6354
