Hernan G. Diaz escribió:
Gracias Hernan por contestar, si justamente me habia fijado en el tema del squirrelmail, desde el principio que habia visto en la cabecera del mensaje la aparicion del squirrelmail, incluso en el mensaje de vaiso de junkmailer (creo que asi se llama la lista negra) me mando el aviso a la cuenta de abuse que tengo configurada. Lo que me llama la atencion de todo esto es por que no dejaron las opciones del squirrelmail a como las habian cambiado? estoy de acuerdo que salieron desde el squirrelmail sin dudas, pero tanto trabajo se tomaron? es la unica duda que me queda y si tenes info al respecto te agradeceria me lo digas, estoycambiando la seguridad de todo server de correo mirando toods estos puntos foljos que antes no habia tenido en cuentaPablo Gentilel escribió:Herr Groucho escribió:El Mié 29 Oct 2008, Manuel Fernando Aller escribió:Pablo Gentilel wrote: [ me tomo la libertad de recortar a lo pavote el mail que enviaste... es muuuuy largo... ]No entiendo a que te referis con que tiene hueves ese fulano, no importa,Es un chiste, el tipo mete en categoría de 'freemail' (o sea, posiblemente un mail fraudulento) a proveedores cuasi-reconocidos por la comunidad.y en cuanto a que si es un fraude nigeriano o un freemail, la primera no lo es, lo que quiero resolver es la segunda opcion, no se si se llama freemail o como se llame, yo puse en correos anteriores el encabezado que me mando la lista negraquiero llamar tu atención sobre lo que considerás importante y lo que nó. Si estás llendo al médico, y el médico te pregunta "su color de orina es normal?" y vos le contestás que eso no es importante, qué te va a decir el médico?( no tengo en este momento cual es no es importante),aparte, no notás nada raro en la construcción de la frase???lo que paso en cuanto a mis comentarios de que era "419 scam freemail" o "freemail, " es que en el mail que me mandan de aviso hace mencion a estas dos opciones en distintas partes del mensaje que me envian.Asi que eso evidentemente no sirve para nada, de todas formas aca tengo el encabezado del mensaje original.Por lo que veo incluso creo que seria posible hasta hacer algo con procmail, de no ser asi, postea en el mensaje como seria tu posible solucion a esto, digo para que todos lo usemos, ya que segun veo habemos mucho scon este problema.uh, haciendo un poco de esfuerzo, logro no entender cuál es el problema, y entiendo que Groucho te haya puntuado las posibilidades que él veía. Ahora voy a jugar yo, ya que por fin nos mandaste algo:================================================================= ======================== Received: from 81.199.88.72 (SquirrelMail authenticated user credondo)acá veo la punta del iceberg: el usuario credondo se autenticó en el squirrelmail y envió el mensaje con copia oculta a todo el mundo....by mail.royalmercosur.com with HTTP; Thu, 23 Oct 2008 01:55:35 -0300 (ART) Message-ID: <[EMAIL PROTECTED]>por la 'forma' intuyo que efectivamente, el message-id es 'parecido' a los que genera el squirrelmail...Date: Thu, 23 Oct 2008 01:55:35 -0300 (ART) Subject: XMAS BONUS From: "UK NATIONAL LOTTERY 2008 EDITION" <[EMAIL PROTECTED]>Acá empiezan los problemas. Por qué el usuario credondo cambia la dirección 'From' de su mensaje?Reply-To: [EMAIL PROTECTED]Otra cosa rara, el reply-to apunta a una 3er cuenta (1er cuenta: credondo, 2da cuenta: [EMAIL PROTECTED])Bcc: [EMAIL PROTECTED],[sarta interminable de direcciones de correo electrónico de los destinatarios del spam, removidos como gentileza]User-Agent: SquirrelMail/1.4.9aTe fijaste en la página de squirrelmail si esta versión es vulnerable a algún ataque de este estilo?Por qué le vamos a creer a esa cabecera? Qué pasa si el spammer rellena esa cabecera con el valor de SquirrelMail para reducir la relación señal/ruido (como tu reacción atestigua).No entiendo por qué algo como 'UK NATIONAL LOTTERY 2008 EDITION' tiene que ver con 'freemail' o el nigerian scam mail, asique soy todo oídos sobre tu teoría sobre el particular.Fácil:"Aunque usted no recuerde haber comprado un billete, usted es ganador de la lotería. Sólo díganos su número de cuenta bancaria y el password para que le depositemos 1 millón de libras esterlinas. Y sí, obviamente el password es necesario, en todos los sitios lo preguntan." solicita la misma conducta que: "Aunque usted nunca haya oido hablar de política nigeriana, mi papá el dictadorzuelo de turno ha sido depuesto recientemente y para salvar todo el dinero que se robó mientras estuvo en el poder, me gustaría transferirlo a su cuenta. Sólo dígame su número de cuenta bancaria y el password para que le deposite 1 millón de libras esterlinas. Y sí, obviamente el password es necesario, en todos los sitios lo preguntan."Respondo:1) en primer lugar al fin envie algo que sirviera por que da que tengo imap y pop3 para autenticar correo, el usuario en cuestion esta fuera de la red donde se encuentra el server, por cuestiones de preferencia de no se quien usan pop3, la cuestion es que uso el tipo de casilla mailbox, asi que me fije en el directorio correspondiente y estaba los mensajes enviados, resumiendo ( y esto despues de que mande estas lineas anteriores) lo que creo que hicieron fue usar mi propio webmail para enviar dicho correo, creo no. estoy seguro, ya que habia mas de 30 correos enviados, en la carpeta sent del usuario en el server ,la contraseña era muy sencilla. 2:) claro que queda la cuestion de por que le cambia la direccion de origen ni idea. uds estan mas versados que yo en esto y seria bueno que pudieran decirme algo respecto.Cualquier persona que tiene acceso al squirrelmail (en el caso que tuviese la contraseña de la cuenta puede hacerlo)... puede ir a "Opciones", luego a "Información Personal". Allí tanto en "Opciones de nombre y dirección" como en "Múltiples identidades: Editar identidades avanzadas" podrías cambiar/agregar direcciones de e-mail, de respuesta, nombre, etc, etc de los correos enviados, lo que alli coloques, es algo totalmente independiente del login y password para acceder al squirrelmail que normalmente valida por imap.Received: from 81.199.88.72 (SquirrelMail authenticated user credondo) by mail.royalmercosur.com with HTTP; Thu, 23 Oct 2008 01:55:35 -0300 (ART)Message-ID: <[EMAIL PROTECTED]>From: "UK NATIONAL LOTTERY 2008 EDITION" <[EMAIL PROTECTED]>Esto que pongo, te demuestra que validaron el el squirrelmail como credondo por HTTP, por el Message-ID ves [EMAIL PROTECTED] y el From es [EMAIL PROTECTED] que es la "dirección para mostrar" que cambiaron en la "información personal".3) Tengo Postfix como server de correo, me estuve fijando como hacer para que los mail que se envien desde mi red no se les cambien el dominio, cosa que aca paso, pero el problema segun veo yo no es ese, ya que los usuarios no van a hacer spam, no tiene sentido creo yo, si no que el problema que genero esto es precisamente la contraseña poco segura que tenia la cuenta de correo, no habia tenido en cuenta el temaAlgo parecido pasó con un cliente mio, que enviaba correos y la dirección de respuesta era una diferente a la suya y además agregaron en la firma del mensaje una texto muy spamoso y un link a un sitio que nada que ver tenía con él... esta persona jamás había entrado a las opciones del squirrelmail donde esto se puede cambiar. Es uno de esos usuarios que ni siquiera sabía ni había leido un "Opciones" en el webmail que usa hace 5 años y usa todos los días :) Luego de rastrear un poco, descubrí que posiblemente en un cyber obtuvieron su usuario y contraseña (keyloger posiblemente) y modificaron la firma en su cuenta y dirección de correo.Normalmente el squirrelmail está en el mismo servidor de correo y envia el correo usando smtp por el servidor SMTP "127.0.0.1", del cual "siempre" confiamos y dejamos hacer relay.... por eso cualquier regla de control (spam, virus, etc) no se aplicaba a controlar el localhost... justamente porque pensamos que "confiamos" en nuestro propio servidor.Cosa que con el squirrelmail, no deberíamos confiar tanto en estos casos. -- Hernán
