Stranezza.. forse sono stato bucato?

[Fillo]

Oggi mi arrivano quintali di email di "failure notice" .. dove il mittente è il mio indirizzo principale (info@) e il testo è la classica email di spam.

Per questo penso che sia stato bucato e che ci sia qualche script in esecuzione sul vps.

Ora mi domando: da che parte mi han bucato visto che il sito non c'è, di aggiornamenti rilevanti dist-upgrade non segna?!

E sopratutto.. come faccio ad accertarmi e/o scovare questo script malvagio?

Vi ringrazio
f.

[veche]

Non è che hai configurato male il mail server e fai da open relay?
Es: postfix -> permit my networks etc...

[WizOfOz]

potrebbero anche più semplicemente usare il tuo indirizzo come mittente anche se le mail non partono da te è facilissimo fare spoofing degli indirizzi email... prova a tracciare il percorso del messaggio per vedere da dove è partito...

[Fillo]

No, niente open relay.

Ora la situazione si è normalizzata, pare che il boom ci sia stato attorno a mezzogiorno.. e guardando i logs non riesco davvero a capire a cosa sia stato dovuto.

il sito è praticamente una pagina html "in costruzione"
aggiornamenti rilevanti non ce ne sono
le password sono state cambiate

e di scripts strani fin'ora non ne ho trovati

mi sembra inspiegabile sta cosa..

@WizOfOz: mi sono tornate qualcosa come 3000 email.. forse non è troppo?

[Fillo]

Con la consulenza di WinOfOz, che ringrazio infinitamente, abbiamo appurato che quanto diceva la sua supposizione corrispondeva alla verità: le email in questione non sono state inviate direttamente a me ma da qualcuno che ha utilizzato uno dei nostri indirizzi come "mittente".

Terrò comunque sotto controllo il vps nelle prossime ore per esser certo che sia veramente andata così.

Per il resto ringrazio nuovamente WizOfOz che, pur non essendo (per ora) un suo cliente, mi ha fatto più assistenza lui in 30 minuti di quanta me ne abbia fatta il mio attuale fornitore in 5 mesi.

[WizOfOz]

grazie per le lodi
comunque non è un controllo esaustivo quindi è il caso di tenerlo d'occhio abbiamo controllato gli header di qualche messaggio e sembra che in effetti le email partano da un server che non è il vps in questione

[EvolutionCrazy]

non per niente esiste anche http://www.openspf.org/ :P

[Uno]

Citazione:

Originariamente Inviato da EvolutionCrazy

non per niente esiste anche http://www.openspf.org/ :P

Scommetto che non ti stupiresti se ti dicessi che c'è un hoster italiano molto quotato (e molto costoso) che non sapeva neanche che fosse (e chissà quanti)

[EvolutionCrazy]

Citazione:

Originariamente Inviato da Uno

Scommetto che non ti stupiresti se ti dicessi che c'è un hoster italiano molto quotato (e molto costoso) che non sapeva neanche che fosse (e chissà quanti)

dici aruba? ^^

comunque è normale che pochi isp lo usino... mica tutti sono al passo con i tempi come lo è google con gmail :P

e soprattutto gli ISP nostrani hanno il vizietto di permettere l'invio solo agli utenti connessi con le loro connessioni... quindi è la norma che poi moltissima gente invii con smtp di altri provider annullando in questo modo la protezione (del loro account... non penso la gente sia contenta vedere il proprio indirizzo come mittente di una mail che pubblicizza software "oem wholesale", viagra o porno...)...
pensando quindi che tutti siano ottusi come loro (da non permettere l'invio tramite i loro smtp anche ad utenti che si collegano temporaneamente da un'altra connessione) non ne vedono l'utilità

l'importante comunque è usarlo sulle proprie macchine e sui propri...
cosi' se qualcuno ti risponde incazzato dicendogli che gli mandi spam basta che gli dici di svegliarsi e controllare l'spf in quanto l'ip che aveva inviato quella mail non era autorizzato ad inviare messaggi per conto del tuo dominio

[Uno]

Citazione:

Originariamente Inviato da EvolutionCrazy

dici aruba? ^^

no, no costoso sul serio...

Citazione:

comunque è normale che pochi isp lo usino... mica tutti sono al passo con i tempi come lo è google con gmail :P

e soprattutto gli ISP nostrani hanno il vizietto di permettere l'invio solo agli utenti connessi con le loro connessioni... quindi è la norma che poi moltissima gente invii con smtp di altri provider annullando in questo modo la protezione (del loro account... non penso la gente sia contenta vedere il proprio indirizzo come mittente di una mail che pubblicizza software "oem wholesale", viagra o porno...)...
pensando quindi che tutti siano ottusi come loro (da non permettere l'invio tramite i loro smtp anche ad utenti che si collegano temporaneamente da un'altra connessione) non ne vedono l'utilità
l'importante comunque è usarlo sulle proprie macchine e sui propri...
cosi' se qualcuno ti risponde incazzato dicendogli che gli mandi spam basta che gli dici di svegliarsi e controllare l'spf in quanto l'ip che aveva inviato quella mail non era autorizzato ad inviare messaggi per conto del tuo dominio

Si è vero quello che dici sugli Isp, ma io parlavo di hoster dove io pago (io no perchè sto per conto mio, è un io retorico) per avere un'indirizzo mail associato al mio dominio e che uso come voglio... io... non gli altri.
Diverso il discorso dei vari provider di posta gratuiti, a dire il vero se non pago non pretendo neanche e se vogliamo dirla tutta anni fa c'erano servizi migliori, solo che con l'euforia del gratis ti trovi lo stupidino/a che apre 200 account per poter riregistrarsi 200 volte sullo stesso forum e via così.... quindi chi dava gratis in un certo modo ha dovuto cambiare sistema, inoltre anni fa una casella da 50 mb era da signori, oggi se non danno almeno 1 gb "che schifo..." e immaginiamo la banda....
però cavolo se ho l'hosting e lo pago (e l'esempio che facevo di un mio amico anche ad un prezzo ultraprofessionale) pretendo che mi dai un minimo di assistenza... poi il livello minimo (senza elaborazioni particolari) è un recordino di una righina... dai....
bye bye

[WizOfOz]

Citazione:

Originariamente Inviato da EvolutionCrazy

e soprattutto gli ISP nostrani hanno il vizietto di permettere l'invio solo agli utenti connessi con le loro connessioni...

perchè usi questa accezione negativa?

[Derevko]

Citazione:

Originariamente Inviato da EvolutionCrazy

dici aruba? ^^

comunque è normale che pochi isp lo usino... mica tutti sono al passo con i tempi come lo è google con gmail :P

È normale che pochi lo usino perchè non serve a nulla, o meglio i rapporti costi/benefici sono disastrosi.
Se non sei una banca, o un grosso ESP, SPF non ti serve.
Ormai solo Microsoft spinge SPF, se non invii migliaia di email al giorno ad @hotmail, SPF si può anche dimenticare.

Poi non capisco che senso ha parlare di SPF in questo contesto, SPF non serve per bloccare backscatter

Citazione:

Originariamente Inviato da EvolutionCrazy

e soprattutto gli ISP nostrani hanno il vizietto di permettere l'invio solo agli utenti connessi con le loro connessioni... quindi è la norma che poi moltissima gente invii con smtp di altri provider annullando in questo modo la protezione (del loro account... non penso la gente sia contenta vedere il proprio indirizzo come mittente di una mail che pubblicizza software "oem wholesale", viagra o porno...)...

Mai pensato che è una questione di marketing? Se vuoi usare la mia mail devi usare la mia connessione?

Citazione:

Originariamente Inviato da EvolutionCrazy

l'importante comunque è usarlo sulle proprie macchine e sui propri...
cosi' se qualcuno ti risponde incazzato dicendogli che gli mandi spam basta che gli dici di svegliarsi e controllare l'spf in quanto l'ip che aveva inviato quella mail non era autorizzato ad inviare messaggi per conto del tuo dominio

Se l'interlocutore non riesce a capire che non sei tu ad inviare spam, dubito proprio che conosca SPF

[Uno]

Premesso che effettivamente l'argomento è fuori tema sulla necessità effettiva ed immediata di Fillo, in ogni caso se spf fosse conosciuto eviterebbe (o diminuirebbe sensibilmente) questi problemi.
Che sia inutile è opinabile, caso mai sarà poco efficace finchè pochi lo utilizzeranno, ma sicuramente non è costoso, anzi se fosse usato da tutti (o tanti) ridurrebbe il traffico perchè a differenza degli antispam (che tamponano un pò il problema, ma non lo potranno mai risolvere) fa il controllo sul server di partenza (che dovrebbe essere di partenza) e se non corrisponde non riceve neanche il messaggio.

Microsoft usa sender id e non spf, anche se funzionano entrambi con le stesse politiche, e francamente mi infastidiva mica poco quando a volte miei utenti non ricevevano mail se erano su hotmail, yahoo e simili, almeno in uscita si sta un secondo ad aggiungere un record al dns


Invece concordo sulla politica degli Isp e posso anche comprenderla, in qualche modo dovranno guadagnarci qualcosa, visto poi l'uso che viene generalmente fatto da quelle caselle fanno pure più che bene.

[Derevko]

Citazione:

Originariamente Inviato da Uno

Premesso che effettivamente l'argomento è fuori tema sulla necessità effettiva ed immediata di Fillo, in ogni caso se spf fosse conosciuto eviterebbe (o diminuirebbe sensibilmente) questi problemi.

Quali problemi? Backscatter? Ma assolutamente no, non è quello lo scopo di SPF.

Citazione:

Originariamente Inviato da Uno

Che sia inutile è opinabile, caso mai sarà poco efficace finchè pochi lo utilizzeranno, ma sicuramente non è costoso, anzi se fosse usato da tutti (o tanti) ridurrebbe il traffico perchè a differenza degli antispam (che tamponano un pò il problema, ma non lo potranno mai risolvere) fa il controllo sul server di partenza (che dovrebbe essere di partenza) e se non corrisponde non riceve neanche il messaggio.

Guarda che non è affatto semplice implementare SPF bene (e non mi riferisco a mettere il record nel DNS), perchè praticamente nessuno implementa SRS (e fanno bene), con la conseguenza del fallimento in caso di forwarding.
Poi ci sono un sacco di altre problematiche, come ad esempio istruire gli utenti ad usare un server smtp diverso per ogni account. Tutto ciò sta facendo morire SPF (più che altro io direi che non è mai nato )

Citazione:

Originariamente Inviato da Uno

Microsoft usa sender id e non spf, anche se funzionano entrambi con le stesse

Qualcuno ti risponderebbe che è un sofismo In pratica hotmail è l'unica entità rilevante che spinge (la loro versione bastarda) di SPF.
Ed il fatto che ci siano differenze nell'uso fatto dei record SPF, è un altro punto a sfavore.

Citazione:

Originariamente Inviato da Uno

politiche, e francamente mi infastidiva mica poco quando a volte miei utenti non ricevevano mail se erano su hotmail, yahoo e simili, almeno in uscita si sta un secondo ad aggiungere un record al dns

Non mi risulta che hotmail faccia uso di SPF per le email in uscita, solo in entrata e con smtp che mandano migliaia di mail al giorno.

[EvolutionCrazy]

il problema era:

Citazione:

Oggi mi arrivano quintali di email di "failure notice" .. dove il mittente è il mio indirizzo principale (info@) e il testo è la classica email di spam.

se uno parla di "failure notice" le considero failure vere di email il cui invio è fallito...

presumo quindi ci sia uno spammer che come sender usa il suo indirizzo email... dei milioni di email che invia qualche centinaia di migliaia sicuramente torna indietro (perchè filtrata da antispam, o indirizzi non validi etc...)

è successo anche a me su certi domini di avere il mio indirizzo come sender e lo spam non era diretto a me tramite "failure notice" di rimbalzo ma semplicemente lo usavano mandando come sender il mio indirizzo.

se usi spf e qualcuno tenta di inviare una email a gmail mettendo come sender il tuo indirizzo gmail penso la rifiuti (se hai impostato l'spf con l'hard fail o come si chiama) e in quel modo il mio problema è risolto...
io metto a disposizione tutte le info per impedire che il mio indirizzo email sia usato come sender nello spam...

a quel punto sta all'isp che riceve verificare l'spf... i servizi di email seri lo fanno (gmail)...

ovviamente nessun ISP il cui target è l'"utente rimbambito ma che si lamente se riceva spam" lo fa in uscita perchè è pieno di poveretti che inviano email usando smtp "random" e non quelli forniti dall'isp stesso...
li è semplicemente un problema di incompetenza degli utilizzatori e non mi tocca minimamente... io l'spf come record del dominio ce l'ho... se l'utente non vuole verificarlo perchè non ne è capace o non lo ritiene opportuno sono affari suoi... basta che non si lamenti e soprattutto CHE NON MANDI FAILURE NOTICE A ME ma che rifiuti immediatamente il messaggio anzichè accettarlo nella coda...

il discorso del

Citazione:

Mai pensato che è una questione di marketing? Se vuoi usare la mia mail devi usare la mia connessione?

è giustissimo... quindi? teniamo lo spam con mittente @poste.it ma inviato da isp koreani e facciamo a meno di usare SPF perchè tanto è pieno di morti di fame che si fanno la mail libero.it accessibile solo via webmail?