Archive

文章標籤 ‘spamassassin’

E-mail sender info@hsbc.com source IP from Microsoft Farm

2013年9月25日 評論已關閉

今日Mail server 收到大量假冒info@hsbc.com的電郵。同事即時去找攔截方法,並翻查server log為何這些假冒電郵能夠跳過 CommTouch 和 SpamAssassin 雙重防線。

  1. 發現HSBC DNS雖然有SPF (Sender Policy Framework),但是最失敗的就是SPF同時設定為SOFTFAIL (接受SPF以外的發送者 / 只標記)。

    HSBC.com text = “v=spf1 mx ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20 ip4:203.112.80.9/20 ip4:193.108.72.63 ip4:91.214.7.46 ip4:212.11.24.10/26 ip4:195.68.113.10/26 ip4:85.119.232.200 ip4:205.214.176.20 ip4:193.27.7.13 ip4:212.100.210.103 ~all”

  2. 同時那些郵件大小剛好大於 SpamAssassin 不驗查大於 512KB 郵件的設定。

結果要把Mail Server 的 SpamAssassin 驗查上限修改到1024KB,過完SpamAssassin 後即時被打了17分入了Junk Mail box。

Screen Shot 2013-09-25 at 10.05.00 PM

Reverse Lookup Result of IP 138.91.171.148 結果為Microsoft,好可能是Microsoft Azure Cloud 內,客戶的電腦被Hack吧。

Screen Shot 2013-09-26 at 9.38.43 AM

HSBC 作為一間世界性銀行境然沒用到DomainKeys/DKIM 電郵簽名。而全部Server用Private Cloud 境然設定好SPF 而不設定HARDFAIL (排除SPF 以外的發送者)

而現在網絡頻寛比十年前快了很多,以前深信無人會發大垃圾的觀念可能要改改。以一條100Mbps (12MB/s) Uplink來計算,每秒可以發出大約24個512KB 的垃圾電郵。當然這樣做有些不智,但如果用Hack返來別人的Server來發送的話就不同了。而被Hack的 Cloud 客戶好可能會收到 Bandwidth Cost 的帳單震撼彈。

Reference

Microsoft.com – Description of Sender Policy Framework (SPF) records
Wiki – DomainKeys Identified Mail
OFTA ﹣ 流動通訊服務帳單震撼

 

新的一年, spamassassin 十年蟲

2010年1月4日 評論已關閉

市佔率很大的spamassassin 其中一條rule在2010 出現問題.
由於這條是Default rule, 很多Server都受影響.

名稱是FH_DATE_PAST_20XX, 看來應該是2006加入的. 原意是日期大於2010年的就加3.2 到3.4分. 以防止有人用將來的日期Broadcast Spam.

理論上sa update會自動下載修補版本. 如果無就要自己手改了.

##{ FH_DATE_PAST_20XX
header   FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
##} FH_DATE_PAST_20XX

改為

##{ FH_DATE_PAST_20XX
header   FH_DATE_PAST_20XX Date =~ /20[2-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
##} FH_DATE_PAST_20XX

又或Disable成條RULE

score FH_DATE_PAST_20XX 0.0

Spamassassin bug list
https://issues.apache.org/SpamAssassin/show_bug.cgi?id=6269

SpamAssassin Rule: FH_DATE_PAST_20XX
http://wiki.apache.org/spamassassin/Rules/FH_DATE_PAST_20XX