Spam od siebie samego - help!

[Xywa]

Witam,

Mam nastepujacy problem. Zalozmy ze mam domene kazio.pl i w tej domenie mam kilka adresow email - np. admin@kazio.pl

Od jakiegos czasu dostaje notoryczny spam od... adresu admin@kazio.pl (ktory jest prawdziwy i ktorego na co dzien uzywam) czy tez np. od jasio@kazio.pl (ktorego w ogole nie posiadam).

Czy jest jakis sposob, zeby po pierwsze ktos nie wysylal spamu podszywajac sie pod moj email, a pod rugie zeby sprawe raz na zawsze wyjasnic.

Z gory wielkie dzieki za pomoc.

[SlashBeast]

Ustaw rekord SPF na swojej domenie wpisujac, jakie serwery smtp moga wysylac z tej domeny maile i przekonfiguruj sobie smtp ktorym odbierasz poczte by sprawdzal, czy spf istnieje i czy jest poprawny - powinno to wyeliminowac znaczna czesc spamu jaki otrzymujesz.

[Jacekalex]

SPF może pomóc, ale jest jeszcze druga sprawa:
Radziłbym zobaczyć, czy te spamy nie mają 2 nagłówków from.

Ja miałem taki numer na Gmailu, też dostawałem reklamy od siebie samego, a Gmail ma dosć mocne filtry.
Potem okazało się, że każdy mail miał dodany nagłówek From: <pacjent>@gmail.com, w rezultacie w mailu były dwa, pierwszy dodany przez serwer Gmaila przy odbieraniu maila, i drugi w treści maila.
Dziwnym trafem zarówno Thunderbird jak i webmail Gmaila wyświetlał tylko drugi nagłówek FROM, doklejany w wiadomości.

Zgłosiłem SPAM i się skończyło, ale identyczny numer niedawno zrobili oszuści podszywający się pod powiadomienia@allegro.pl.

Serwer SMTP nie wyłapie takich kfiatków, za to łatwo takie maile łapać filtrując wszystko, co ma 2 różne nagłówki From w wiadomości.
Domyślnie w protokole SMTP zawsze jest jeden nadawca.
Tylko trzeba z głową się za to zabrać, żeby nie wywalać maili, które mają odpowiedź wraz z cytatem oryginalnej wiadomości, bo wtedy filtr zacznie łapać więcej, niż powinien.

Pozdrawiam

[canis_lupus]

SPF ma jedna bardzo poważną wadę: psuje forwardy. Spróbujcie np forwadowac maila na onet.

Np. domena drukarniaonline.pl ma rekord SPF o tresci "a mx
ip4:176.31.232.140 ~all", czyli wysylanie poczty jest dozwolone z adresu
ktory jest rekordem A i rekordem MX dla tej domeny (obydwa to ten sam
adres 178.32.201.210) oraz z adresu 176.31.232.140. Wpis "all" dotyczacy
wszystkich pozostalych adresow IP jest poprzedzony znakiem "~" czyli ma
dla niego byc zglaszany softfail - i tak sie dzieje, bo poczta
przychodzi z naszych adresow IP, ktore nie sa zadnym z tych dwoch.

Co jest bez sensu to to, ze onet utrzymuje taki softfail w
nieskonczonosc, bo w zasadzie jest zalecane, aby taki softfail dzialal
na zasadzie greylistingu - czyli za pierwszym razem odrzucic, za
nastepnym dopuscic. Inaczej taki softfail nie bardzo ma sens, bo przy
ponownych probach wyslania maila przeciez nic sie nie zmieni... Skoro
onet i tak stosuje greylisting (ale dopiero po pozytywnym przejsciu
maila przez SPF i inne blokady), to mogliby to tak wlasnie
skonfigurowac. No ale niestety tak nie zrobili.
_________________
"I love you cię" Różyczko...

[Jacekalex]

SPF zależy od ustawień, można go skonfigurować, żeby wpuszczał softfail a odbijał hardfail.
Przy hardfail serwer zwraca błąd 5xx i masz po kłopocie.

W dodatku na podstawie SPFa można zrobić punktację w Spamassassinie, robiąc reguły złożone z kilku warunków.
Także jak administrator ustawi, tak to działa.
Samo odbijanie hardfaili daje bardzo dobry rezultat.
W dodatku jeszcze nie widziałem filtru, który nie miałby wad, każda metoda łapania spamu ma jakiś margines błędu, i czasem łapie, co nie powinna.
SPF jest najlepszą metodą na spam ze sfałszowanych adresów, jak ktoś narzeka, ze psuje forwardy, to niech spróbuje łapać taki spam z lipnych adresów sprawdzając podpis DKIM.

Edyta:
drukarnia online też może na kilka sposobów załatwić problem, albo dodając pozostałe IP do rekordu, albo (jeśli ma dynamiczne IP) ustawić dodatkowego MX-a na hosta dynamicznego np drukarniaonline.dyndns.org a w rekordzie spf dać tylko