11-04-2016, 07:51 door Anoniem: 09-03-2016, 11:34 door Erik van Straten, Laatst bijgewerkt: 09-03-2016, 13:23: En dat is een leugen, want ip8.rp01.net is niet van Google en hoort geen mail te sturen namens GMail gebruikers..
Deze vind ik wat kort door de bocht, zeker in een tijd waar de meeste providers "om spam te voorkomen" je smtp sessie proberen tegen te houden (poort 25 dicht zetten)
Dat deze
uitstekende maatregel destijds op veel plaatsen (helaas nog lang niet bij
alle ISP's) is ingevoerd, zou wel eens mijn "schuld" kunnen zijn (zie de lange quote hieronder).
Een goede provider zet egress verkeer naar TCP poort 25 -by default- dicht, en alleen open voor die enkeling die een eigen mailserver wenst te draaien (bijv. bij xs4all heb je deze keuze). Naast dat dit heel veel spam voorkomt, maakt dit SOHO (Small Office/Home Office) PC's ook een minder aantrekkelijk doelwit voor botnetbeheerders.
Spam (o.a. met ransomware) die ik ontvang zie ik de laatste jaren nooit meer afkomstig zijn van Nederlandse IP-adressen. Ra ra hoe komt dat?
11-04-2016, 07:51 door Anoniem: of zelfs zonder medeweten over hun eigen servers laten lopen....
Voor uitgaande mail (en daar hebben we het hierover) kan dat niet, dat stel je zelf in. Daarnaast is dit een non-issue, want de bijna iedereen die ik ken gebruikt GMail of Hotmail. En het is volkomen terecht dat de uitgaande mailservers van GMail en Hotmail geen bulk-mail toestaan.
Met als gevolg dat spammers, die
wel graag "<REDACTED-AT-gmail.com>" achter "From:" gebruiken -in een poging spamfilters voor de gek te houden-
niet via GMail servers zelf kunnen spammen, en zich dus in allerlei bochten proberen te wringen. Vandaar mijn bovenstaande bijdrage.
11-04-2016, 07:51 door Anoniem: Helaas, want dit maakt dit soort checks meteen een stuk minder betrouwbaar...
Waarom?
Uit mijn archief: From: "Erik van Straten" <evs@cpo.tn.tudelft.nl>
Organization: Charged Particle Optics group - TU Delft
To: Dunet-Discussie@
[redacted].tudelft.nl
Date: Mon, 13 Jan 2003 18:46:31 +0100
Subject: Voorstel: kanaliseren van TUD-uitgaande email
Collega's,
De laatste weken vliegen nieuwe computervirussen en andere malware de meeste internetters weer om de oren; hier bij de TU Delft lijken we daarvan verschoond te blijven. Hoewel de meest kwetsbare personen daarvoor in mijn sectie (waaronder de secretaresse) altijd een virusscanner draaien, kost het bij een detectie elke keer veel tijd om uit te leggen wat er aan de hand is, en dat de PC niet besmet is als zo'n virus in quarantaine is gezet; heerlijk dat me dat al geruime tijd bespaard is gebleven. Mocht dit mede mogelijk zijn gemaakt door persoonlijk ingrijpen van de beheerders van de emailscanner op mailhost1/2 tijdens de kerstvakantie, dan wil ik bij deze diegenen daarvoor hartelijk bedanken!
Omdat virussen ook op andere manieren binnen kunnen komen, en die scanners zo goed werken, stel ik voor om ook alle TU Delft-UITGAANDE email via mailhost1.tudelft.nl (of mailhost2) te sturen (of andere mailservers die aan bepaalde voorwaarden voldoen), en dat je dat ook afdwingt. Ik vermoed dat dit een gevoelig punt is, maar ik bedoel uitbreiding van de (bestaande) TCP poort 25 blokkade met uitgaande connecties.
Waarom?
(1) Omdat virussen/trojans/wormen en andere malware ook via andere wegen binnen kunnen komen. Dat kan bijv. alsnog via email in gezipte c.q. encrypted attachments, maar ook KaZaa, ICQ, IRC en online games zijn de laatste tijd populair bij virusbakkers. Met buffer overflows in WinAmp kunnen zelfs MP3's executable code bevatten, en ook al is je hele binnenband oranje van de plakkers, MSIE blijft lek. Als je poort 25 naar buiten blokkeert, kan malware met een eigen SMTP engine op een gecomprimiteerde PC ofwel niets beginnen, of wordt gedwongen om via een van de voorgeschreven mailservers te communiceren, en is daarmee vermoedelijk eenvoudiger van de buitenwereld af te sluiten. Zie ook de recente discussie op securityfocus, waarbij een zeelandnet PC werd "afgesloten" maar dat kennelijk niet hielp (zie onderaan die message):
http://online.securityfocus.com/archive/75/306360(2) Omdat malware soms zo nieuw is dat deze niet door virusscanners wordt herkend. Meestal zit er enige vertraging tussen het "afleveren" van email en het openen ervan (een "slimme" virusverspreider zal dat op vrijdagavond doen, of aan het begin van een vakantieperiode); als de virusdefinities in de tussentijd zijn geupdate kan worden voorkomen dat de malware naar buiten de TU Delft verder wordt verspreid (en als je van rate-limiting gebruik maakt, kan het aantal binnen de perken worden gehouden, en je detectiemogelijkheden zijn natuurlijk veel beter). Zie mijn rapportage over een spam+trojan (die zo nieuw was dat sophos hem niet herkende; ik heb de betreffende email o.a. naar Sophos gezonden waarop Sophos ons updated definities heeft teruggestuurd):
http://listserv.surfnet.nl/scripts/wa.exe?A2=ind02&L=cert-nl-bulletins&F=&S=&P=6621
11-04-2016: link bestaat niet meer, desgewenst zoek ik een kopie op internet of in mijn archief
(3) Omdat ik me grote zorgen maak over spam. De bovenstaande rapportage heeft betrekking op het planten van backdoors op PC's, waarmee het doel vermoedelijk is om via zo'n PC spam te versturen. Als er vanuit de TU Delft spam wordt verzonden, en de hele TU IP-range belandt daarmee op blacklists van derden, hebben wij boter op ons hoofd als we daar wat op aan te merken hebben; immers, we maken zelf gebruik van dergelijke blacklists. De laatste tijd zie ik in HTTP logs op m'n webservers veel entries van spammers die zoeken naar formmail scripts (vooral pornospam wordt via webservers met dergelijke scripts gerelayed, de email begint dan meestal met iets als "Below is the result of your feedback form", en de reden dat hier zoveel naar gescanned wordt zou best kunnen zijn dat veel universiteiten unix/linux dozen draaien met dergelijke, wijd openstaande, formmail scripts). Maar ook (arme) studenten zouden in de verleiding kunnen komen om wat bij te verdienen als spammer. Natuurlijk kun je ze daarna straffen, maar we weten allemaal dat het makkelijker is om op blacklists te belanden dan om ervan afgehaald te worden. In het verleden heb ik ZELF wel eens meegeholpen om veel mensen via email uit te nodigen voor een conferentie, en dat op basis van een oude adreslijst; hoewel we toen (1997/1998) geen klachten hebben ontvangen, zou het me niet verbazen als dat nu anders zou zijn. Eventueel noodzakelijke bulk-email zou m.i. niet zomaar vanaf elke PC verzonden moeten kunnen worden.
Voorstel:
Sta niet toe dat elke PC poort 25 connecties naar buiten de TU Delft kan maken; beperk dit tot een aantal mailservers die aan een aantal (nader vast te stellen) criteria voldoen, zoals een virusscanner waarvan de definities vaker dan 1x per week worden geupdate, en waarop bij voorkeur een rate-limiter is ingesteld (waarmee het aantal emails per uur vanaf een PC wordt beperkt). Ook zou je emails met waslijsten aan email-adressen in het To: veld kunnen blokkeren (steeds meer mensen, waaronder ondergetekende, worden gallisch van alle spam die ze krijgen, en beschouwen hun email adres als iets persoonlijks dat niet de hele wereld hoeft te kennen - ik wil nog net niet zover gaan om naar deze lijst zelf een gemanipuleerd antispam adres te gebruiken, maar dat moment komt misschien ook nog wel eens).
Mocht een PC besmet raken met malware die zichzelf via email probeert te verspreiden, dan zal dat helemaal niet lukken als deze gebruik maakt van directe adressering of een externe mailserver. Als de malware de "default smtp server" uit de registry (of /etc/sendmail.cf etc.) haalt kan de rate-limiter op de mailserver de flow beperken, en natuurlijk alarm slaan (of cachen totdat de mailhost admin zich ervan heeft verzekerd dat dit de bedoeling is). Dan hoeft ook niet meteen de PC van het net te worden gehaald, maar volstaat het blokkeren van poort 25 naar de SMTP server(s).
Achtergronden:
Aan het kanaliseren van uitgaande email kleven voor- een nadelen. Een van de voordelen is dat je op mailservers in logfiles ten minste na kunt gaan naar WIE malware/spam gestuurd is, mocht het een keer fout gaan. Een nadeel is natuurlijk dat de privacy in het geding is, maar (Europese) wetgeving zou ons sowieso wel eens in deze richting kunnen dwingen; erover nadenken voordat de tijdsdruk groot wordt is wellicht gewenst. Bovendien, als een buitenstaander claimt spam (die de laatste tijd steeds grover wordt, denk aan kinderporno) of malware direct vanaf een TU PC te hebben ontvangen, bijv. met UW email adres en UW IP-adres als afzender, dan is het m.i. prettig als de logs op een TU mailserver dat kunnen helpen ontkennen c.q. bevestigen, en in dat laatste geval is het misschien makkelijker om uit te zoeken of UW PC daar daadwerkelijk voor is gebruikt, of dat uw IP-adres wellicht is gespoofed (al was het maar omdat de datum/tijd gegevens van TU mailservers over het algemeen betrouwbaarder zijn dan die van bijv. Chinese of Russische hosts). Andersom, als iemand buiten de TUD beweert een heel belangrijke email NIET ontvangen te hebben, kunnen dergelijke logs ook uitsluitsel bieden.
Het up-to-date houden van virusscanners op PC's is niet zo eenvoudig als we zouden willen. Soms werkt de automatische update helemaal niet, en ik was gisteren op bezoek bij een computeranalfabeet (niet aan TU verbonden) die braaf NAV draait (met definities van 10 jan.), maar een rood kruis door haar taskbar icoontje had: "Oh, doet ie het dan niet?" (de wekelijkse scan wordt meestal afgebroken omdat het niet goed uitkomt en te lang duurt).
Ondertussen zijn virusdefinities zo groot dat een virusscanner op PC's zo'n 15MB van je geheugen opvreet (het meeste niet swappable). Met 512MB niet zo'n probleem, maar er staan links en rechts nog heel wat oude PCtjes die onwerkbaar worden door actuele virusscanners en wat dies meer zij. De Duitse c't 2002#25 noemt Norton SystemWorks 2003 "Norton Ueberfluessig 2003"; naar verluidt voegt dit pakket onder XP alleen al 1.6MB toe aan je registry. Vele scanners checken slechts een beperkt aantal filetypes (geen .hta bijv., zie de bovenstaande CERT-NL post), en veel mensen weten niet dat achtergrond "on-access" virusscanners zelden "on-the-fly" in zipfiles en emails scannen.
In mijn sectie kan men bij het booten van de PC kiezen of men een virusscanner wil draaien of niet (door hardware profiles, kies je nee dan worden drivers en virusdefs niet geladen, en voila: 15MB extra, snelle boot, logon en logoff, en soepel werken ook op oudere PC's). Door Outlook (Express) te verbieden en Pegasus Mail beschikbaar te stellen is het bij mijn weten meer dan een jaar geleden dat iemand er in trapte een virale .exe attachment te starten, maar door strakke ACL's op het filesysteem en registry (o.a. de HKLM "Run" key) bleef de schade beperkt, en stierf het virus met het uitloggen van de user. Als de user een WAB file had gehad (niet het geval dus) en het virus had z'n eigen SMTP engine, dan hadden er wel een heel stel mails verzonden kunnen worden; met de door mij hier voorgestelde maatregel is de schade die door zo'n incident onstaat in te perken en wordt in sommige gevallen wellicht geheel voorkomen.
Mijn vraag is: wat zie ik allemaal over het hoofd? Voor- en tegen argumenten zijn welkom!
PS:
11-04-2016: irrelevant stukje over TU Delft admin maillijsten, die ondertussen niet meer bestaan, verwijderd
Met vriendelijke groet,
Erik van Straten
Sysadmin/programmeur
Sectie DeeltjesOptica
Afdeling Technische Natuurkunde
TU Delft
Daar werkte ik tot voorjaar 2004. En, zoals je nu hopelijk wel zult begrijpen, is (na een heftige discussie -op die TU Delft maillijst- met een aantal puristen die menen dat providers niet mogen filteren) deze -
pragmatische- maatregel, geheel terecht, ingevoerd. Niet lang daarna volgden ook veel landelijke ISP's.