[ vladfv @ 22.11.2006. 12:20 ] @
E ovako na sajtu firme u kojoj radim postoji forma (ime,prezime,kompanija itd...) koju treba popuniti pre downloada brosure... Podaci iz forme se naravno salju na email.
U poslednje vreme je poceo da se pojavljuje spam koji navodno dolazi od nekih email ova sa izmisljenim username-om i domenom moje firme. Znaci sva polja iz forme su ispunjena sa sa tim izmisljenim email adresama koje nose domen moje firme (npr recimo [email protected]), sem company polja koji je ispunjen nekim cudnim tekstom. Otprilike u danu pristigne 4 ili 5 ovakvih poruka

Ima li neko ideju sta predstavljaju ovakvi email ovi i kako spreciti pristizanje ovog spam a?
[ jogurt @ 23.11.2006. 14:34 ] @
Ovakvi email-ovi se zovu forgery iliti mailovi cije je From: polje lazirano. Gotovo sa 100% sigurnoscu mozes da ih tretiras spamom. Namena je ili spam ili otkrivanje validnih adresa, a sve to opet kako bi spamer bio efikasniji. Iz tvog posta mi nije jasno da li to primas kroz tu svoju web formu ili nevezano za nju!?

Bilo kako bilo, od forgery spama mozes relativno jednostavno da se stitis proverom validnosti SPF rekorda. Mozda nije najjednostavnije na prvi pogled, ali zapravo stvar je vrlo prosta.

Prvo, treba u svojoj DNS tabeli da objavis SPF rekord koji kaze koji serveri su autorizovani za slanje poste sa domena firme za koju radis, a to je jedan/dva SMTP servera. SPF rekord je bukvalno jedan redak u DNS konfiguraciji. (tvojoj ako sam kontrolises DNS server za svoj domen ili ako ne javi se provajderu koji ti hostuje DNS servis da ti oni to odrade).

Zatim, na svom email serveru treba da dodas podrsku za SPF proveru. Mislim da svi poznati open source serveri podrzavaju SPF, a mislim da i sve vise komercijalnih email servera podrzava SPF). I onda, kada neki spamer krene da se predstavlja tvom serveru kao da salje sa lokalnog domena, biva glatko odbijen jer se njegov IP nece slagati sa onim koji je objavljen u SPF rekordu. Ako te bude spamovao kroz web formu i pri tom je tvoja web forma na email serveru, onda bi mozda bilo bolje da napravis neki mehanizam koji bi to zakrpio na drugi nacin, recimo proverom validnosti adrese sa/na koju se salje email.

pozdrav
Zoran
[ broker @ 23.11.2006. 18:08 ] @
Ma samo ubaci neki captcha (ono da se pojavi slicica sa slovima i brojevima koje pisac poruke mora da ponovi) i manje-vise si resio problem.
[ jogurt @ 23.11.2006. 20:13 ] @
Slazem se Brokeru! Ali problem soama cemo uskoro morati da napadnemo blize njegovom izvoru.

Evo SPF-a na delu. Jedno ~10-15% poruka otpadne na forgery. Pravi domen sam zamenio sa domen.com, ostalo je autenticno...

Code:

...
2006-11-23 19:46:30.499990500 Received-SPF: fail (mail.domen.com: SPF record at domen.com does not designate 217.153.82.75 as permitted sender)
2006-11-23 19:48:50.421197500 Received-SPF: fail (mail.domen.com: SPF record at domen.com does not designate 82.127.86.242 as permitted sender)
2006-11-23 20:02:01.008541500 Received-SPF: fail (mail.domen.com: SPF record at domen.com does not designate 69.40.107.34 as permitted sender)
2006-11-23 20:11:07.631433500 Received-SPF: fail (mail.domen.com: SPF record at domen.com does not designate 201.12.175.200 as permitted sender)
2006-11-23 20:53:49.833949500 Received-SPF: fail (mail.domen.com: SPF record at domen.com does not designate 190.48.129.37 as permitted sender)
...
[ broker @ 24.11.2006. 02:09 ] @
Ako se ne varam, njemu stizu emailovi koje mu posalje njegov sajt iz forme za slanej emaila, samo su nafilovani spamom. U principu mu je sve pod kontrolom samo blesani popunjavaju formular bezveznim sadrzajem i salju takav email.
[ jogurt @ 24.11.2006. 09:51 ] @
Veovatno si u pravu. Mada kada bi videli doticnu email formu, bilo bi sve mnogo jasnije.

Ne znam da li je, i ako jeste, zasto je uopste omogucio korisniku da upise svoju email adresu. Prosto nije jasno kako ta adresa dospeva u From: polje poruke. Zar ne bi forma po defaultu trebalo da mu dolazi sa jedne te iste adrese, npr. [email protected], a ako korisnik treba da navede svoju adresu, moze to da uradi i u nekom drugom polju koje bi islo u telo poruke?

[Ovu poruku je menjao jogurt dana 24.11.2006. u 11:32 GMT+1]
[ broker @ 24.11.2006. 10:09 ] @
E to vec moze da bude slucaj email injection - baga u email formi, sto je prilicno opasno. Ako ima taj bug onda svi ti emailovi koji njemu stizu bivaju poslani i nekom drugom. Ako je tako, skriptu treba popraviti.