Herr Groucho escribió:
El Mié 29 Oct 2008, Manuel Fernando Aller escribió:Pablo Gentilel wrote: [ me tomo la libertad de recortar a lo pavote el mail que enviaste... es muuuuy largo... ]No entiendo a que te referis con que tiene hueves ese fulano, no importa,Es un chiste, el tipo mete en categoría de 'freemail' (o sea, posiblemente un mail fraudulento) a proveedores cuasi-reconocidos por la comunidad.y en cuanto a que si es un fraude nigeriano o un freemail, la primera no lo es, lo que quiero resolver es la segunda opcion, no se si se llama freemail o como se llame, yo puse en correos anteriores el encabezado que me mando la lista negraquiero llamar tu atención sobre lo que considerás importante y lo que nó. Si estás llendo al médico, y el médico te pregunta "su color de orina es normal?" y vos le contestás que eso no es importante, qué te va a decir el médico?( no tengo en este momento cual es no es importante),aparte, no notás nada raro en la construcción de la frase???lo que paso en cuanto a mis comentarios de que era "419 scam freemail" o "freemail, " es que en el mail que me mandan de aviso hace mencion a estas dos opciones en distintas partes del mensaje que me envian.Asi que eso evidentemente no sirve para nada, de todas formas aca tengo el encabezado del mensaje original.Por lo que veo incluso creo que seria posible hasta hacer algo con procmail, de no ser asi, postea en el mensaje como seria tu posible solucion a esto, digo para que todos lo usemos, ya que segun veo habemos mucho scon este problema.uh, haciendo un poco de esfuerzo, logro no entender cuál es el problema, y entiendo que Groucho te haya puntuado las posibilidades que él veía. Ahora voy a jugar yo, ya que por fin nos mandaste algo:================================================================= ======================== Received: from 81.199.88.72 (SquirrelMail authenticated user credondo)acá veo la punta del iceberg: el usuario credondo se autenticó en el squirrelmail y envió el mensaje con copia oculta a todo el mundo....by mail.royalmercosur.com with HTTP; Thu, 23 Oct 2008 01:55:35 -0300 (ART) Message-ID: <[EMAIL PROTECTED]>por la 'forma' intuyo que efectivamente, el message-id es 'parecido' a los que genera el squirrelmail...Date: Thu, 23 Oct 2008 01:55:35 -0300 (ART) Subject: XMAS BONUS From: "UK NATIONAL LOTTERY 2008 EDITION" <[EMAIL PROTECTED]>Acá empiezan los problemas. Por qué el usuario credondo cambia la dirección 'From' de su mensaje?Reply-To: [EMAIL PROTECTED]Otra cosa rara, el reply-to apunta a una 3er cuenta (1er cuenta: credondo, 2da cuenta: [EMAIL PROTECTED])Bcc: [EMAIL PROTECTED],[sarta interminable de direcciones de correo electrónico de los destinatarios del spam, removidos como gentileza]User-Agent: SquirrelMail/1.4.9aTe fijaste en la página de squirrelmail si esta versión es vulnerable a algún ataque de este estilo?Por qué le vamos a creer a esa cabecera? Qué pasa si el spammer rellena esa cabecera con el valor de SquirrelMail para reducir la relación señal/ruido (como tu reacción atestigua).No entiendo por qué algo como 'UK NATIONAL LOTTERY 2008 EDITION' tiene que ver con 'freemail' o el nigerian scam mail, asique soy todo oídos sobre tu teoría sobre el particular.Fácil:"Aunque usted no recuerde haber comprado un billete, usted es ganador de la lotería. Sólo díganos su número de cuenta bancaria y el password para que le depositemos 1 millón de libras esterlinas. Y sí, obviamente el password es necesario, en todos los sitios lo preguntan." solicita la misma conducta que: "Aunque usted nunca haya oido hablar de política nigeriana, mi papá el dictadorzuelo de turno ha sido depuesto recientemente y para salvar todo el dinero que se robó mientras estuvo en el poder, me gustaría transferirlo a su cuenta. Sólo dígame su número de cuenta bancaria y el password para que le deposite 1 millón de libras esterlinas. Y sí, obviamente el password es necesario, en todos los sitios lo preguntan."
Respondo:1) en primer lugar al fin envie algo que sirviera por que da que tengo imap y pop3 para autenticar correo, el usuario en cuestion esta fuera de la red donde se encuentra el server, por cuestiones de preferencia de no se quien usan pop3, la cuestion es que uso el tipo de casilla mailbox, asi que me fije en el directorio correspondiente y estaba los mensajes enviados, resumiendo ( y esto despues de que mande estas lineas anteriores) lo que creo que hicieron fue usar mi propio webmail para enviar dicho correo, creo no. estoy seguro, ya que habia mas de 30 correos enviados, en la carpeta sent del usuario en el server ,la contraseña era muy sencilla. 2:) claro que queda la cuestion de por que le cambia la direccion de origen ni idea. uds estan mas versados que yo en esto y seria bueno que pudieran decirme algo respecto. 3) Tengo Postfix como server de correo, me estuve fijando como hacer para que los mail que se envien desde mi red no se les cambien el dominio, cosa que aca paso, pero el problema segun veo yo no es ese, ya que los usuarios no van a hacer spam, no tiene sentido creo yo, si no que el problema que genero esto es precisamente la contraseña poco segura que tenia la cuenta de correo, no habia tenido en cuenta el tema de squirrelmail. que con la misma contraseña de pop3 o imap se puede enviar tambien, antes para poder enviar tenia y tengo instalado las librerias sasl2. y por ultimo claro que no tiene nada que ver con 419 scam ni el freemail, paso que en mi deseperacion y segun lo que habia visto en el mensaje de aviso pense que era eso, en los 3 años que manejo el server nunca me paso.
ACLARACION:Mencione el exim en alguna prte de estos correos por que vi una solucion para el freemail con eso, pero enn realidad nunca use exim.
