Ciao a tutti,
so che c'è già stato un thread riguardo lo spam ma vorrei segnalare
qualcosa di anomalo che succede in una azienda con server di posta
interno, in pratica da qualche giorno arrivano centinaia di mail spam il
cui mittente coincide con il destinatario (tranne per il return-path),
dai log sul server è chiaro che si tratta di un attacco dal'esterno ma
la cosa strana è che l'IP sorgente cambia sempre!
Posso capire che ci siano uno o due server da cui partono questi tipi di
msg spam, ma centinaia di IP pubblici e sempre diversi che utilizzano il
medesimo tipo di attacco.. mi suona strano. Le mail sono dirette
solamente verso il dominio interno, esempio da [email protected] a
[email protected], quello che cambia è sempre il Return-Path.
Il server di posta è un kerio Connect e posso dire che come motore
antispam è sicuramente affidabile, inoltre faccio affidamento a diverse
BL (tra cui spamcop, rbl, etc..), ma nonostante tutto le mail non
vengono bloccate.
Ho provato a mettere un filtro sull'X-Mailer bloccando il programma "The
Bat!" da cui provengono tutte queste mail, molte sono riuscito a
bloccarle ma ne arrivano ancora troppe che non vengono filtrate.
Ci sono altri modi per bloccarle? O devo per forza attivare la
Greylist? Sto pensando di attivare il controllo reverse DNS ma non
vorrei creare problemi di ricezione.
Un esempio di intestazione:
Return-Path: <[email protected]>
X-Envelope-To: [email protected]
X-Spam-Status: No, hits=0.2 required=5.2
tests=BAYES_00: -1.665,HTML_MESSAGE: 0.001,MIME_HTML_ONLY: 0.001,
RCVD_ILLEGAL_IP: 1.908,RDNS_NONE: 0,TOTAL_SCORE: 0.245,autolearn=no
X-Spam-Level:
Received: from google.com ([223.164.246.18])
by mail.pippo.it
for [email protected];
Wed, 16 Oct 2013 04:39:22 +0200
Received: from [183.166.164.194] (helo=xtguxx.darwuclugewil.net)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MMDE1-1714hu-NP
for [email protected]; Wed, 16 Oct 2013 09:42:40 +0700
Date:Wed, 16 Oct 2013 09:42:40 +0700
From: <<[email protected]>>
X-Mailer: The Bat! (v2.00.5) Business
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
To: <[email protected]>
Subject:
=?windows-1252?B?VmkgcGFnaGlhbW8gZGFpIDk4IGV1cm8gYWxsJ29yYSBwZXIgdW4gYWl1dG8gYSBkaXN0YW56YS4=?=
MIME-Version: 1.0
Content-Type: text/html;
charset=windows-1250
Content-Transfer-Encoding: 7bit
grazie mille per un vostro consiglio!
Ciao
Andrea
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
