邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: “HAO”、“金蛋”、“抱个笔记本回家”、“牛尔”之类垃圾邮件封堵方案 [打印本页]

作者: mynetway    时间: 2010-10-29 11:18
标题: “HAO”、“金蛋”、“抱个笔记本回家”、“牛尔”之类垃圾邮件封堵方案
我的邮件系统一直来垃圾邮件都很少,每天服务器直接拒绝的记录都达到70%左右。为了对抗垃圾邮件,我做了如下设置:
一、开启SMTP验证;
二、关闭邮件中继;
三、启用SPF,并在域名里添加相关TXT记录,这样做是方便自己也方便别人。
四、启用DNS黑名单,用3家的黑名单,分别是:
cblless.anti-spam.org.cn封挡了大部分来自国内的垃圾邮件
Bl.spamcop.net以及zen.spamhaus.org封挡大部分来自国外的垃圾邮件
五、把yahoo.com.cn丢进黑名单,因为有段时间我做了如上设置却发现总有来自yahoo.com.cn的垃圾邮件,尽管有些是伪造的,一查它的SPF记录竟然是这样:
C:\>nslookup
> set q=txt
Non-authoritative answer:
yahoo.com.cn    text =
        "Yahoo! Inc."
竟然会有这么山寨的,就别怪我直接拒绝了吧。

10月份以来,突然发现系统的application有些不寻常的POP失败记录。尔后,便有些“给HAO的礼物”、“砸金蛋”、“抱个笔记本回家”之类的垃圾邮件从我的系统发出。再查看日志,都是正常SMTP通过验证的。显然这是暴力猜测POP密码,然后用我的邮件系统发垃圾邮件的。

我打电话到上海软众,客服的MM似乎也没什么好的解决方案,只是告诉我开启动态屏蔽。其实我的动态屏蔽是开启状态的,但它只是针对SMTP。似乎10.0以上版本可以针对POP,不过我没试。我是正版用户,升级需要MONEY

于是通过日志分析,做出如下设置:
一、启用强密码,让被猜中密码的用户更改自己的密码;
二、屏蔽主机名:
hbkj-24374
svctag-g4t6v2x
w-299955db4f804
三、屏蔽IP段:
58.40.*.*
60.190.*.*
117.81.*.*
117.131.*.*
121.240.*.*
124.42.*.*
150.101.*.*
218.249.*.*
220.181.*.*

做了如上设置后,这类邮件显然基本消失,但是我发现使用117.81.*.*这个IP段的人非常地执着和有毅力。每5分钟试35次的方式,基本24小时在用POP连我的服务器。估计他也是ADSL动态拔号的,每天换一个IP,但都不出这个IP段。除此外就是22060开头的IP,也是每天都有试的。

公布这方法的原因,主要是让大家把这些做坏事的IP段列出来,如果自己的用户不在这个IP段,那别犹豫,丢进IP屏蔽里吧。欢迎各位看客提供你们日志里的黑IP,谢谢!

此后若有新增IP,会将归属地一并发布,请根据自己的邮件系统作增减以免误杀。
2010年11月4日新增IP
212.12.114.58 德国

11月19日新增IP:
186.32.189.107 拉美地区
203.144.133.38 泰国

11月21日新增IP:
148.243.170.193 墨西哥



[ 本帖最后由 mynetway 于 2010-11-21 22:59 编辑 ]
作者: shenshui    时间: 2010-10-29 13:53
我昨天也收到了“金蛋”
作者: Dennis991    时间: 2010-11-1 10:17
我们有个客户邮件系统中仅有一人成为金蛋的发送人,不知道更改密码能否达到屏蔽效果


作者: 钉子    时间: 2010-11-1 15:09
好支持!
作者: tdk    时间: 2010-11-2 00:05
标题: 回复 2楼 shenshui 的帖子
看来我们暂时还算幸运
作者: taozifafa    时间: 2010-11-3 11:24
顶!!!!很好的办法!

其他的类似内容的阻挡可以加入黑名单!
作者: mynetway    时间: 2010-11-3 13:55
更正:220.181.0.0/16这个IP段是网易的邮件IP段
所以不能屏蔽220.181.*.*,应改成220.181.17.0之后的IP
作者: nicolaschen    时间: 2010-11-4 16:31
非常感谢,解了我燃眉之急。
作者: mynetway    时间: 2010-11-4 21:17
2010年11月4日新增IP
作者: mynetway    时间: 2010-11-4 21:24
从今天起,我确认是MDAEMON出现漏洞,导致这类垃圾邮件的暴发了。
一、此类暴力破解POP密码的,全是真实存在用户
二、有些用户从来没往外发过一封邮件,没公布过地址,只作为转发到其他邮箱用(有一个是我作邮件归档用),却也在被破解范围内。

请各位小心应付!

[ 本帖最后由 mynetway 于 2010-11-4 21:31 编辑 ]
作者: mynetway    时间: 2010-11-4 21:35
提供一位执着者的记录
作者: wxhsh    时间: 2010-11-5 08:58
这下偶要在关注前加个“严重”两字了。希望能尽快找出对方发送的原理。
作者: dlblq    时间: 2010-11-5 10:04
我也有這樣的問題了,我的服務器是IMAIL的,請問各位,

1  如何在IMAIL裡屏蔽主機名啊?  

2 如果要禁止這些IP段連我的服務器,我是不是在SMTP裡的Access Control 裡設置禁止這些IP段呢? 如果是的話,是不是直接輸入218.249.*.* (可以用“*”符號?)就可以了?
作者: mynetway    时间: 2010-11-5 11:05
很抱歉,我没用过IMAIL,不知道IMAIL在哪里有这项设置。不过,我想问问,POP暴力破解你的用户名的都是真实存在的用户吗?这事怎么越来越玄了?难道真的可以随意得到某服务器的用户列表?


另,附上MD里设置的图片
作者: wxhsh    时间: 2010-11-5 11:26
还有一种傻办法,就是把POP3的端口改了,不过就是同时要通知所有客户端修改设置,这个比较烦点。
另外就是用个没功能的陷阱帐号让它轻松破解,然后此帐号禁用外发非本地域,让它破解了也没功能。但它由于已经破解成功,再回过来破解下一个需在表里手工删除此用户,通常也会放弃了。

[ 本帖最后由 wxhsh 于 2010-11-5 11:28 编辑 ]
作者: dlblq    时间: 2010-11-5 11:36
标题: 回复 15楼 mynetway 的帖子
確實是真實存在的,還有些我重沒用公布到網上的郵箱,它也被用來發SPAM了……   超級鬱悶!!
作者: yon    时间: 2010-11-5 17:19
如果用动态IP来黑的话,封IP段会影响正常用户使用.  像我们这里用的动态IP有好几个B类IP段,这如何封?

是否暂时可以这样,例如设置像系统一样猜密码错两次禁止登陆一段时间.  如果是正常客户一般错了被封可以找我们管理员手工放开.   如果要求强密码,估计一般客户也很难喜欢,因为强密码实在太复杂,自己也不容易记住,我自己都深有体会.  一般我对非常重要的,比较少登陆的才使用强密码.  很多用户是出差外地使用WEBMAIL,太复杂密码他们也不容易记住.  毕竟每个人要记住的密码太多.   如果能把POP密码单独开就好了. 这样可以要求强密码.
作者: mynetway    时间: 2010-11-7 10:30
此前的分析已经讲得很清楚,如果你有仔细看我第一贴的话,就知道:
MD9.X版本只针对SMTP进行动态屏蔽,据客服说MD10.X以上版本可以针对POP作动态屏蔽。

当然此法也不是万能的,因为它猜测密码经过优化,5分钟猜测3次,你不会连你的用户5分钟输错3次密码也不允许吧?

屏蔽IP的坏处我此前也有指出,杀伤力过大确实会有。但是强密码结合封IP我仍然认为是最佳的解决方案,就像动态屏蔽你需要手工为真用户解锁一样,IP同样可以解。

另外,动态屏蔽只针对POP或SMTP,与你说的webmail没有关系。
作者: vincentlee    时间: 2010-11-8 21:13
不知道有什么方法可以解决这个问题啊。

作者: mynetway    时间: 2010-11-9 12:03
我已经超过1个星期再没发现这个漏洞有被利用
除非有新的情况出现,此问题不再关注
作者: job21    时间: 2010-11-9 12:38
楼主搞的比较全面,
屏蔽IP打击面比较大,我们经常收到国外客户的邮件,所以这个不敢偿试。
在坛子里以前见过DNS-BL主机全部阵亡,不知道DNS黑名单还有没有用。
强密码太强了,估计用户自己都记不住,定期修改密码就好
作者: vincentlee    时间: 2010-11-9 13:44
按楼主的设定(就差强密码)还是无法阻止垃圾邮件的疯狂
另:是否出问题的都是用的9。51版本的MD?

[ 本帖最后由 vincentlee 于 2010-11-9 13:57 编辑 ]
作者: 398312463    时间: 2010-11-11 17:41
原帖由 mynetway 于 2010-10-29 11:18 发表
我的邮件系统一直来垃圾邮件都很少,每天服务器直接拒绝的记录都达到70%左右。为了对抗垃圾邮件,我做了如下设置:
一、开启SMTP验证;
二、关闭邮件中继;
三、启用SPF,并在域名里添加相关TXT记录,这样做是方便 ...



在动态屏蔽里把连接失败的次数改为一次,一次连接失败后自动被屏蔽掉10分钟。
作者: nicolaschen    时间: 2010-11-15 10:16
我用MD10.1.2,同样出现这个问题,封IP也不是办法,他是机器我是人,玩不过它。又不敢封网段,因为封了以后多人投诉邮箱连不上。是否可以通过封计算机名来屏蔽它?我发现来来去去都是几台机器在搞鬼。不过我在“主机屏蔽”里面设了,好像也无效,怎么办?
作者: cjh113    时间: 2010-11-16 15:11
居然我也中招了,无语,好多的用户收到退信都头大了,现在把它“控制访问”里,今天好像好了。没有这类邮件了,真是万幸啊。出问题的是Imail 11.01.
作者: hucn2000    时间: 2010-11-30 12:04
今天又2 邮箱被盗
改了不到2周的12位的数字字母大小写组合密码
用的outlook2003客户端

会不会是中了木马了

厚道的附上IP:
183.12.97.168
183.17.46.111
作者: sjlcyy    时间: 2010-11-30 14:35
關注中!謝謝提醒。
作者: mynetway    时间: 2010-12-6 09:12
光改密码是没用的,重要的就是封它那些猜测来源的IP,它来来去去也就那几个IP而已
我到现在为止,没有再有被盗用户
作者: mynetway    时间: 2010-12-6 23:43
原帖由 hucn2000 于 2010-11-30 12:04 发表
今天又2 邮箱被盗
改了不到2周的12位的数字字母大小写组合密码
用的outlook2003客户端

会不会是中了木马了

厚道的附上IP:
183.12.97.168
183.17.46.111

这两个IP都是深圳的,应该是发垃圾邮件的IP。我主要封的是POP暴力猜测密码的IP,而且封的是IP段,主要是苏州、北京。你应该在系统application日志里看,POP失败都在那里有记录。
作者: mynetway    时间: 2010-12-6 23:44
原帖由 vincentlee 于 2010-11-9 13:44 发表
按楼主的设定(就差强密码)还是无法阻止垃圾邮件的疯狂
另:是否出问题的都是用的9。51版本的MD?

似乎不只一个版本的问题,包括其他邮件服务器软件现在也有这问题。
作者: mynetway    时间: 2010-12-6 23:46
原帖由 398312463 于 2010-11-11 17:41 发表



在动态屏蔽里把连接失败的次数改为一次,一次连接失败后自动被屏蔽掉10分钟。


恐怕任何正常用户密码错连接过一次便十分钟内不能连接都会骂娘
甚是不妥
作者: hucn2000    时间: 2010-12-8 18:08
bug 6305
好像是和这个BUG有关

垃圾邮件过滤 的bug
作者: hucn2000    时间: 2010-12-8 18:11
先发一些带BUG的垃圾邮件到这个邮箱
我设的SMTP 之前需要POP  5分钟
看POP记录  好像是通过bug 6305 保持住的POP
然后就开始 发邮件
查了一下按用户名和域名存档的邮件  会在域名的OUT夹子里面多一些agsh@***.com之类的文件夹
里面放的就是发出去的邮件,通过这个邮件查LOG   就查到了被盗的用户

[ 本帖最后由 hucn2000 于 2010-12-8 18:20 编辑 ]
作者: 398312463    时间: 2010-12-13 15:27
原帖由 mynetway 于 2010-12-6 23:46 发表


恐怕任何正常用户密码错连接过一次便十分钟内不能连接都会骂娘
甚是不妥


这样的话主要的还是杀杀攻击者的嚣张气焰,有可能他们尝试练几次连不上就会放弃了呢,只能顾及到一方了,内网的正常用户连的话,加白名单吧。




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/) Powered by Discuz! X3.2