擋不住的病毒信?

 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
zxr
三段
三段


註冊時間: 2003-01-02
文章: 59
來自: 台灣 , 中華民國

發表發表於: 星期一 四月 12, 2004 10:34 am    文章標題: 擋不住的病毒信? 引言回覆

這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了

X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4"
_________________
---Server Hardware---
CPU = Piii-800Mhz
RAM = ECC SDRAM 1GB (512MB x 2)
HDD = UW-SCSI 2GB -> OS
HDD = Raid5 UW-SCSI 335GB (120GB IDE x 4) -> Data
NIC = Intel 82559
NIC = 3Com 3c905tx
VGA CARD = TNT2 Ultra AGP
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期一 四月 12, 2004 3:23 pm    文章標題: Re: 擋不住的病毒信? 引言回覆

zxr 寫到:
這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了

X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4"


因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).

這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
zxr
三段
三段


註冊時間: 2003-01-02
文章: 59
來自: 台灣 , 中華民國

發表發表於: 星期二 四月 13, 2004 9:09 am    文章標題: Re: 擋不住的病毒信? 引言回覆

Arnor 寫到:
zxr 寫到:
這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了

X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4"


因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).

這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子.


感謝大大的回覆
順便請問一下,對方的這個方式,可以用Reverse Checking方式來剔除嗎?
_________________
---Server Hardware---
CPU = Piii-800Mhz
RAM = ECC SDRAM 1GB (512MB x 2)
HDD = UW-SCSI 2GB -> OS
HDD = Raid5 UW-SCSI 335GB (120GB IDE x 4) -> Data
NIC = Intel 82559
NIC = 3Com 3c905tx
VGA CARD = TNT2 Ultra AGP
回頂端
檢視會員個人資料 發送私人訊息
awia0002
六段
六段


註冊時間: 2002-04-19
文章: 135
來自: 台灣 , 中華民國

發表發表於: 星期二 四月 13, 2004 9:52 am    文章標題: ..... 引言回覆

建議你...在MAIL SERVER上加上防毒軟體 過濾來往的信件 如PCC. NORTON. AVP. 等等 這些病毒信就比較不會跑進來 管理上會輕鬆的多喔....
MAILD 如何配合防毒軟體的使用 論壇上也不少文章 可以翻一翻...
_________________
*有問題請附上詳細網域跟資訊會更快了解你的問題
你的問題搞不好已經有人問過.不妨先用"搜尋"會更快解決你的問題*
# 作業系統WinXP
# 是否使用 NAT 否
# 是否使用防火牆軟體 [ ] 是 [ PCC2004]
# 是否使用防毒軟體 [ ] 是 廠牌 PCC2004
# 使用網路 seednet 2m/384 dhcp
# 若與 FTP CLIENT 有關連 , 使用之 FTP CLIENT 種類 [ ffftp] , 版本 [ 1.92]
MAILD 1.9063
FTPD 2.4v 1230
HTTPD v1.077a
DNSD 1.201
回頂端
檢視會員個人資料 發送私人訊息 參觀發表人的個人網站
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期二 四月 13, 2004 10:46 am    文章標題: Re: 擋不住的病毒信? 引言回覆

zxr 寫到:
Arnor 寫到:
zxr 寫到:
這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了

X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4"


因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).

這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子.


感謝大大的回覆
順便請問一下,對方的這個方式,可以用Reverse Checking方式來剔除嗎?


ㄟ.
阿我上面的意思不就是說不行的呀...

除非你的smtp server 只收外界寄進來的信, 我才敢做成"每一連線"都檢查,
目前來說不可能, 因為你有使用者要寄信需透過 SMTP SERVER .
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
pcc
一級


註冊時間: 2004-01-15
文章: 28
來自: 中華民國

發表發表於: 星期二 四月 27, 2004 6:07 pm    文章標題: Re: 擋不住的病毒信? 引言回覆

白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).

===============================
請教一下了--連續2天也收到此類病毒信
有點疑問請教

LOG ====================
2004/04/27:09:33:30 SMTP 211.20.132.150 HELO localhost
2004/04/27:09:33:34 SMTP 211.20.132.150 MAIL FROM:<admin@addnet.net>
2004/04/27:09:33:40 SMTP 211.20.132.150 RCPT TO:<passager@addnet.net>
2004/04/27:09:33:46 SMTP 211.20.132.150 DATA
2004/04/27:09:34:15 SMTP 211.20.132.150 QUIT
=======================================
[2004/4/27 上午 09:33:22] SMTP 服務接受從 211.20.132.150 來的連線
[2004/4/27 上午 09:33:46] 211.20.132.150 要求 SMTP 服務 - 寄信人是 admin@addnet.net
[2004/4/27 上午 09:34:10] 211.20.132.150 - 郵件內容已收到 (To:passager@addnet.net) 34858 bytes ( 1.8 KB/s)
[2004/4/27 上午 09:34:15] SMTP 服務中斷從 211.20.132.150 來的連線
[2004/4/27 上午 09:34:15] 儲存郵件到 <passager> 的信箱, 檔名為 _20040427093340-39429567-4076.eml 34967bytes
=========================================
如果他是正常使用者寄信不是要通過SMTP AUTH嗎?
好比===LOG=============
2004/04/26:23:49:43 SMTP 210.68.107.114 EHLO wuallysageb11l
2004/04/26:23:49:43 SMTP 210.68.107.114 AUTH LOGIN
2004/04/26:23:49:44 SMTP 210.68.107.114
如果以SERVER連線那就沒AUTH權限
不是也要通過Reverse Checking那是如何通過的呢?
換句話說
是否如果我要寄給TEST@HOYA.COM
只要我的寄件人地址是admin@HOYA.COM他就會當成
【我是你伺服器的使用者】,就不會檢查或權限了嗎?
小第不才,尚請指點,謝謝。
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期二 四月 27, 2004 7:55 pm    文章標題: Re: 擋不住的病毒信? 引言回覆

pcc 寫到:
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).

===============================
請教一下了--連續2天也收到此類病毒信
有點疑問請教

LOG ====================
2004/04/27:09:33:30 SMTP 211.20.132.150 HELO localhost
2004/04/27:09:33:34 SMTP 211.20.132.150 MAIL FROM:<admin@addnet.net>
2004/04/27:09:33:40 SMTP 211.20.132.150 RCPT TO:<passager@addnet.net>
2004/04/27:09:33:46 SMTP 211.20.132.150 DATA
2004/04/27:09:34:15 SMTP 211.20.132.150 QUIT
=======================================
[2004/4/27 上午 09:33:22] SMTP 服務接受從 211.20.132.150 來的連線
[2004/4/27 上午 09:33:46] 211.20.132.150 要求 SMTP 服務 - 寄信人是 admin@addnet.net
[2004/4/27 上午 09:34:10] 211.20.132.150 - 郵件內容已收到 (To:passager@addnet.net) 34858 bytes ( 1.8 KB/s)
[2004/4/27 上午 09:34:15] SMTP 服務中斷從 211.20.132.150 來的連線
[2004/4/27 上午 09:34:15] 儲存郵件到 <passager> 的信箱, 檔名為 _20040427093340-39429567-4076.eml 34967bytes
=========================================
如果他是正常使用者寄信不是要通過SMTP AUTH嗎?
好比===LOG=============
2004/04/26:23:49:43 SMTP 210.68.107.114 EHLO wuallysageb11l
2004/04/26:23:49:43 SMTP 210.68.107.114 AUTH LOGIN
2004/04/26:23:49:44 SMTP 210.68.107.114
如果以SERVER連線那就沒AUTH權限
不是也要通過Reverse Checking那是如何通過的呢?
換句話說
是否如果我要寄給TEST@HOYA.COM
只要我的寄件人地址是admin@HOYA.COM他就會當成
【我是你伺服器的使用者】,就不會檢查或權限了嗎?
小第不才,尚請指點,謝謝。


喔, 你就把它想成有一個人要寄信給你server 上的使用者,
那你server 就一定要收他信吧, 這個是不用要寄件人提供驗證的,
因為這個寄件人可能是一台 mail server...怎麼可能做驗證..

再來, 收信進來若寄件人發現是該server 服務的網域, reverse checking
不能對它做 IP 檢查, 因為既自稱是你的user, 就不能對它做reverse checking.

很可惜, 它不是, 所以就進來了.

除非, 能把25 port 改成"完全只收外來信" 的服務, 不服務使用者寄信,
使用者寄信靠別的port (例: 26 之類), 這樣才能在 25 port 架起"每個IP都檢查的
防護機制"
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
HAHAHA
獅王
獅王


註冊時間: 2001-11-23
文章: 725
來自: 台灣 , 中華民國

發表發表於: 星期二 四月 27, 2004 11:16 pm    文章標題: Re: 擋不住的病毒信? 引言回覆

zxr 寫到:
這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了

http://www.raidenhttpd.com/jlbb/viewtopic.php?t=8005
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=8044
--
說真的, 這種方式目前沒完美的防法, 說白點兒, 我可以用這方式寄信給任何人而不會被防治垃圾信機制擋住~~~
_________________
忙碌中...
已經成了路人甲...
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group