Dziwię się, dlaczego nikt nie jest w stanie wreszcie zrobić porządku z
serwerami firmy o2.pl, które bez problemu przekazują e-maile ze
sfałszowanymi nagłówkami - cokolwiek byłoby w nich wpisane, przechodzi
bez problemu - dzięki czemu tak są chętnie wykorzystywane przez spamerów
i wirusy. Mimo tysięcy skarg właściciele o2 nic sobie z tego nie robią.

Zirytowałem się, kiedy znowu zacząłem dostawać maile z wirusami,
przekazywane właśnie przez serwery o2, mimo że nie mam ani nie chcę mieć
nic wspólnego z tym portalem. Komu tak bardzo zależy na utrzymywaniu
tych (de facto) open relayów?

do góry

Marcin Ciesielski wrote:
> Dziwię się, dlaczego nikt nie jest w stanie wreszcie zrobić porządku z
> serwerami firmy o2.pl, które bez problemu przekazują e-maile ze
> sfałszowanymi nagłówkami - cokolwiek byłoby w nich wpisane, przechodzi
> bez problemu

Sprawdziłem pierwszy lepszy z brzegu (mx7.go2.pl) i nie pozwolił
przesłać byle czego. A że spam z nich wychodzi, to już inna bajka.

--
Marcin Kulas
jid: h...@j...org

do góry

Marcin Kulas napisał(a):

> Sprawdziłem pierwszy lepszy z brzegu (mx7.go2.pl) i nie pozwolił
> przesłać byle czego. A że spam z nich wychodzi, to już inna bajka.

A takie rzeczy jak to, co dotarło do mojego znajomego (zresztą niestety
z wstawionym przez wirus moim adresem - musiał zostać pobrany przez
Bagle'a z zainfekowanego komputera kogoś z moich znajomych):

Return-Path: <marcin.ciesielski#(at)#gmail.com>
Received: from mx5.go2.pl (mx5 [192.168.2.45])
by box16.go2.pl SERVER; Mon, 06 Feb 2006 17:50:50 +0100
X-mf: first3.pl v0.6
Received: by mx5.go2.pl (Postfix)
id 6723E25BC58; Mon, 6 Feb 2006 17:49:31 +0100 (CET)
Delivered-To: mark-malinovsky#(at)#o2.pl
Received: from mx5.go2.pl (localhost [127.0.0.1])
by mx5.go2.pl (Postfix) with ESMTP id 8BE9925BD38
for <mark-malinovsky#(at)#.pl>; Mon, 6 Feb 2006 17:48:12 +0100 (CET)
Received: from polik.com (unknown [80.51.176.158])
by mx5.go2.pl (Postfix) with SMTP
for <mark-malinovsky#(at)#.pl>; Mon, 6 Feb 2006 17:48:12 +0100 (CET)
Date: Mon, 06 Feb 2006 17:50:31 +0100
To: "Mark-malinovsky" <mark-malinovsky#(at)#.pl>
From: "Marcin.ciesielski" <marcin.ciesielski#(at)#gmail.com>
Subject: [virus Win32/Bagle.FA robak] price
Message-ID: <rpzqoyawixckvihhdim#(at)#o2.pl>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------mdykatibepqechcozucx"
X-NOD32Result: Infected, Win32/Bagle.FA robak

Wyszło z tego open proxy, działającego już od roku w Polpaku:

Open HTTP Proxy Server Database
Address and Port: 80.51.176.158:3128
Record Created: Thu Mar 10 18:03:14 2005 GMT
Record Updated: Thu Mar 10 18:03:15 2005 GMT
Additional Information: Confirmed open http-post proxy: thu, 10 mar
2005 18:03:10 gmt
Currently active and flagged to be published in DNS
If you wish to request a delisting please do so through the Support System.

Database of vulnerable/hacked servers
Address and Port: 80.51.176.158
Record Created: Mon Feb 14 12:19:34 2005 GMT
Record Updated: Thu Sep 29 16:05:47 2005 GMT
Additional Information: Spam Sending Trojan or Proxy attempted to
send mail from/to from= to=
Currently active and flagged to be published in DNS

Jak widać, nagłówki zostały kompletnie sfałszowane. Mail z "gmail.com" w
polu "from:" nie powinien przejść przez ten serwer, gdyby był dobrze
zabezpieczony.
Jak widać zadziałał tu nie typowy komputer-zombie nieświadomego
użytkownika, ale (być może) jakiś masowy system rozsyłania wirusów (tym
bardziej, że pod tym adresem, jak dowiedziałem się z informacji
zamieszczonych w internecie, znajdował się kiedyś serwer z pornografią).
Tak czy inaczej musiałem się tłumaczyć, że nie miałem nic wspólnego ze
sprawą. Tym bardziej, że mam zainstalowany aktualny, porządny program
antywirusowy i firewall, ściśle kontroluję wypływ danych ze swojego
komputera, a poza tym był on wyłączony, kiedy doszło do
rozpowszechnienia tego maila.
Ponieważ przeszedł w sposób nieautoryzowany przez serwery o2, mam prawo
być zirytowany na tę firmę. Zresztą nie tylko mnie to spotkało i widać,
że dziury w serwerach o2 są oczywiste.

do góry

Osoba podpisana jako Marcin Ciesielski <m...@o...nospam.pl> w
artykule <news:dsdtea$ldc$1@news.onet.pl> pisze:

> Marcin Kulas napisał(a):
>
>> Sprawdziłem pierwszy lepszy z brzegu (mx7.go2.pl) i nie pozwolił
>> przesłać byle czego. A że spam z nich wychodzi, to już inna bajka.
>
> A takie rzeczy jak to, co dotarło do mojego znajomego (zresztą niestety
> z wstawionym przez wirus moim adresem - musiał zostać pobrany przez
> Bagle'a z zainfekowanego komputera kogoś z moich znajomych):
>
> Delivered-To: mark-malinovsky#(at)#o2.pl
[...]
> Jak widać, nagłówki zostały kompletnie sfałszowane.

Czyżby? Ten powyżej też?

> Mail z "gmail.com" w
> polu "from:" nie powinien przejść przez ten serwer, gdyby był dobrze
> zabezpieczony.

Może ja jestem ślepy, ale tam wyraźnie jest napisane, że maila dostarczono
do odbiorcy *na* serwerze o2, a nie - że przekazano do odbiorcy gdzieś dalej
*przez* serwer o2. Gdzie tu widzisz open relay? Znowu się będziesz tłumaczył
poźną porą?

--
Andrzej P. Woźniak u...@p...onet.pl (zamień miejscami z<->h w adresie)

do góry

On śro, 08 lut 2006 o 21:56 GMT, Marcin Ciesielski wrote:
> Dziwię się, dlaczego nikt nie jest w stanie wreszcie zrobić porządku z
> serwerami firmy o2.pl, które bez problemu przekazują e-maile ze
> sfałszowanymi nagłówkami - cokolwiek byłoby w nich wpisane, przechodzi

Hmmm, meczylem mx7.go2.pl i nic nie puszcza, chyba, ze jakimis bardziej
wyrachowanymi sposobami trzebaby sie posluzyc:

(...)
mail from:<k...@o...pl>
250 Ok
rcpt to:<s...@a...net>
554 <s...@a...net>: Recipient address rejected: Access denied
(...)

(...)
mail from:<a...@p...pl>
250 Ok
rcpt to:<s...@a...net>
554 <s...@a...net>: Recipient address rejected: Access denied
(...)


Mnie za to wkurza co innego ostatnio... i praktycznie 99% adminow olewa
problem:

[slwkk@slawcio ~]$ host -t mx mbank.pl
mbank.pl mail is handled by 0 mail.bremultibank.com.pl.
mbank.pl mail is handled by 10 mx.bremultibank.com.pl.
[slwkk@slawcio ~]$ telnet mail.bremultibank.com.pl 25
Trying 193.41.230.201.25...
Connected to mail.bremultibank.com.pl.
Escape character is '^]'.
220 mail.bremultibank.com.pl
helo jo.pl
250 mail.bremultibank.com.pl Welcome jo.pl
mail from:<s...@a...net>
250 <s...@a...net> ... OK
rcpt to:<d...@m...pl>
250 <d...@m...pl> ... OK
data
354 Enter mail, end with "." on a line by itself
a tu paskudny spamer umieszcza spam
.
250 Mail accepted
quit
221 mail.bremultibank.com.pl closing Connection
Connection closed by foreign host.
[slwkk@slawcio ~]$


Spamerzy zaczeli wykorzystywac to, ze znaczna czesc mail serwerow nie
sprawdza w czasie trwania sesji czy uzytkownik docelowy istnieje,
wpisuja adres odbiorcy spamu jako mail from, jako docelowy nieistniejacy
adres i tak serwerek pocztowy banku wysyla nam spam (zalaczajac ponizej
info o delivery failure niby to nasz list, ktory wysylalismy ... z
oferta viagry), milutko jednym slowem.


ps. mbank pierwszy raz akurat sprawdzilem, o tak bo sie nawinal, ale
pewnie kwestia dnia, dwoch i przyjdzie do mnie ta zwrotka.

--
pozdr. Sławomir Kawała
JID: slwkk [at] alternatywa [dot] net
GSM: (0)601-398-348

do góry

On Thu, 2006-02-09 at 02:45 +0100, Sławomir Kawała wrote:

>
> Mnie za to wkurza co innego ostatnio... i praktycznie 99% adminow olewa
> problem:
>
> [...]
>
> Spamerzy zaczeli wykorzystywac to, ze znaczna czesc mail serwerow nie
> sprawdza w czasie trwania sesji czy uzytkownik docelowy istnieje,
> wpisuja adres odbiorcy spamu jako mail from, jako docelowy nieistniejacy
> adres i tak serwerek pocztowy banku wysyla nam spam (zalaczajac ponizej
> info o delivery failure niby to nasz list, ktory wysylalismy ... z
> oferta viagry), milutko jednym slowem.

Sa czasem rozne przyczyny takiej konfiguracji.
Ale zawsze mozna zrobic jedno - w zwrotce nie zalaczac tresci
oryginalnego maila. I taki serwer staje sie kompletnie nieprzydatny dla
spamerow.

Jacek

do góry

On Thu, 2006-02-09 at 00:06 +0100, Marcin Ciesielski wrote:

> Wyszło z tego open proxy, działającego już od roku w Polpaku:
>
> Open HTTP Proxy Server Database
> Address and Port: 80.51.176.158:3128
> Record Created: Thu Mar 10 18:03:14 2005 GMT
> Record Updated: Thu Mar 10 18:03:15 2005 GMT
> Additional Information: Confirmed open http-post proxy: thu, 10 mar
> 2005 18:03:10 gmt
> Currently active and flagged to be published in DNS
> If you wish to request a delisting please do so through the Support System.
>
> Database of vulnerable/hacked servers
> Address and Port: 80.51.176.158
> Record Created: Mon Feb 14 12:19:34 2005 GMT
> Record Updated: Thu Sep 29 16:05:47 2005 GMT
> Additional Information: Spam Sending Trojan or Proxy attempted to
> send mail from/to from= to=
> Currently active and flagged to be published in DNS

A pewien jestes, ze to nadal jest open proxy?

Jacek

do góry

On Thu, 09 Feb 2006 13:23:47 +0100, Jacek Zapala wrote:

> Sa czasem rozne przyczyny takiej konfiguracji.

Mógłbyś podać?

--
Pozdrawiam Best of prhn - najzabawniejsze teksty polskiego UseNet-u
Tometzky http://prhn.dnsalias.org/
Chaos zawsze pokonuje porządek, gdyż jest lepiej zorganizowany.
[ Terry Pratchett ]

do góry

On Thu, 9 Feb 2006 16:41:05 +0100, Tomasz Ostrowski wrote:

> On Thu, 09 Feb 2006 13:23:47 +0100, Jacek Zapala wrote:
>
>> Sa czasem rozne przyczyny takiej konfiguracji.
>
> Mógłbyś podać?

No, podstawowa przyczyna: ludzie z bliżej nieznanych powódów instalują
qmail, a on tak ma by default :->
--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

On Thu, 09 Feb 2006 13:23:47 +0100, Jacek Zapala <j...@i...pl>
wrote:

> Sa czasem rozne przyczyny takiej konfiguracji.

Znaczy kalectwo MTA? Jeśli chodzi o weryfikację adresów, to kto
w dobie brute-force i wormów/wirusów, które używają książek
adresowych z zarażonych maszyn będzie się przejmował
weryfikacją?

> I taki serwer staje sie kompletnie nieprzydatny dla
> spamerow.

Różnica jest taka, że zamiast zwrotki ze spamem, dostaniesz
tylko zwrotkę. Też mi zysk...

r.
--
____________________________________________________
_____________
robert rędziak mailto:spambox-at-supersonic-dot-plukwa-dot-net
klubsubaru.pl uratuj stratopoloneza: http://www.stratopolonez.pl
lisää, lisää humppaa!

do góry