Toon posts:

[Win2003] Hoe voorkom ik reverse NDR spam aanvallen?

Pagina: 1
Acties:
  • 316 views sinds 30-01-2008
  • Reageer

vrijdag 7 mei 2004 12:52

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Topicstarter
Ok, de situatie: ik heb thuis een Windows 2003 Enterprise Edition server staan, met daarop oa. de standaard IIS SMTP server. Deze is geheel dichtgespijkerd, zodat ik alleen van mijn netwerk er mail vanaf kan verzenden. (Hostname: totallyl33t.net, probeer maar te relayen)

Nou, dit werkt dus allemaal prima, op die manier is ie wel spamproof. Echter, de nieuwste truuk van spammerts is reverse NDR spam, en daarvoor is mijn server dus ook gevoelig.

Nou is er wel software (Praetor, MailWasher) die dat enigzins voorkomt, maar dat kost weer klauwen vol met geld. En dat heb ik als student niet. :) Veel simpeler is natuurlijk de NDR's uitzetten. Maar hoe ik dat voor elkaar krijg... :?

Mijn uiteindelijke vraag is dus: zijn er al Tweakers die ervaring hebben met reverse NDR spam attacks, en hoe voorkomen jullie deze?

Het gaat hier dus om de standaard SMTP van Win2003, niet Exchange.

vrijdag 7 mei 2004 23:33

Acties:

Verwijderd

Professional Networking & Servers -> Beveiliging & Virussen :)

vrijdag 7 mei 2004 23:57

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Praetor gebruikt AFAIk een sort-of catch-all adres om het te omzeilen - dat is iets dat naar ik aanneem ook met de hand goed aan te maken in W2k3 SMTP (hoewel ik die niet echt ken).
Stuur deze catch-all naar /dev/null de grote datahemel en je hebt hetzelfde effect.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 8 mei 2004 01:02

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Topicstarter
En hoe zou ik dat catch-all moeten toepassen? Bij een reverse NDR spam aanval gaat het dus niet om een emailadres op mijn domein wat gespamt wordt, maar een account op een geheel ander domein.

Ik zal even kort uitleggen hoe reverse NDR werkt:
1) Een spammer maakt verbinding met mijn SMTP
2) Geeft als MAIL FROM: het te spammen emailadres op
3) Als RCPT TO: een niet bestaande user op een bestaand domein op
4) Vult z'n spam in bij DATA
5) Verstuurt de mail

Resultaat, de mail server kan de mail niet afleveren, stuurt de mail terug naar de FROM gebruiker, en de spam komt dus als attachement van het NDR (Non-Delivery Report) binnen.

Een voorbeeldje van een Telnet sessie naar een willekeurige SMTP server onder Win2003:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

220 domein.tld Microsoft ESMTP MAIL Service, Version: 6.0.3790.0 ready at
Datum, tijd, blabla...
HELO me
250 domein.tld Hello [***.***.***.***]
MAIL FROM: <Adres waar de spam naar toe moet>
250 2.1.0 user@domein.tld....Sender OK
RCPT TO: nietbestaandeuser@bestaanddomein.tld
250 2.1.5 nietbestaandeuser@bestaanddomein.tld
DATA
354 Start mail input; end with <CRLF>.<CRLF>
<Heel spamverhaal hier>
.
250 2.6.0 <Servernaam> Queued mail for delivery


Laat duidelijk zijn dat ik op zoek ben naar een oplossing voor dit probleem, niet om anderen hier te informeren over hoe ze spam moeten versturen!

Catch all zou dus alleen toe te passen zijn op de mailserver van de RCPT TO:, en dat valt dus niet echt te raden. :X

zaterdag 8 mei 2004 01:08

Acties:
  • ajhvdb
  • Registratie: April 2004
  • Laatst online: 11-11 22:56

ajhvdb

Heb je een optie "POP3 before smtp" in IIS

Een vraag op het forum - is vragen aan mensen die al gezocht hebben - dus sneller en beter dan google

zaterdag 8 mei 2004 01:10

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Topicstarter
ajhvdb schreef op 08 mei 2004 @ 01:08:
Heb je een optie "POP3 before smtp" in IIS
Ok, geef eens wat meer info... Wat zou dit moeten doen bijv.? Hoe zou dit bijdragen aan de oplossing van het probleem?

zaterdag 8 mei 2004 02:41

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

King_Louie schreef op 07 mei 2004 @ 12:52:
Ok, de situatie: ik heb thuis een Windows 2003 Enterprise Edition server staan,
[...]
Nou is er wel software (Praetor, MailWasher) die dat enigzins voorkomt, maar dat kost weer klauwen vol met geld. En dat heb ik als student niet. :)
Misschien dan Windows 2003 Standard kopen ipv Enterprise, had je geld over voor bovengenoemde tools. Evt. SBS zodat je Exchange had.
Mijn uiteindelijke vraag is dus: zijn er al Tweakers die ervaring hebben met reverse NDR spam attacks, en hoe voorkomen jullie deze?
Ik heb zojuist getest met mijn mailserver, MDaemon 6.5. Deze accepteert de door jouw voorgestelde berichten niet, omdat ik geen valid local sender opgeef. Dat is een security optie binnen MDaemon, die bij mij al tijden aanstaat.
Daar zit dan ook de kern van de oplossing: zorg dat je alleen kan mailen naar valid local senders. Catchall is dan een workaround om de berichten naar not-valid local senders te onderscheppen.

Kan me voorstellen dat IIS SMTP dat allemaal niet ondersteunt, zo uitgebreid is het geloof ik niet, hoewel ik er weinig ervaring mee heb.

Je gaf al aan dat je niet precies wist hoe en wat over catch-all, misschien kun je wat meer vinden over valid local users.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 8 mei 2004 10:35

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Topicstarter
Ik heb Enterprise onder een educatieve licentie, heeft me dus niet echt veel gekost. :)

Verder, je hebt het over versturen NAAR valid local senders. Het lijkt mij dat je juist mail verstuurd VANAF valid local senders. Dat ik bijv. opgeef dat alleen adressen eindigend op '@totallyl33t.net' toe sta als sender. En dan idd in combinatie met een catch-all naar een spambox die alle rotzooi afvangt.

Prima oplossing. Kan helaas niet in de standaard SMTP server. Ik zal eens kijken of Exchange deze optie wel biedt. Mochten er dus Exchange (2003) gebruikers zijn hier, laat even weten of deze optie er is. :)

edit:
Ik heb op de site van Ome Bill inmiddels iets gevonden over Sender Filtering, misschien dat dat het is

[ Voor 10% gewijzigd door Victor op 08-05-2004 10:37 ]

zaterdag 8 mei 2004 11:32

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

King_Louie schreef op 08 mei 2004 @ 10:35:
Verder, je hebt het over versturen NAAR valid local senders. Het lijkt mij dat je juist mail verstuurd VANAF valid local senders. Dat ik bijv. opgeef dat alleen adressen eindigend op '@totallyl33t.net' toe sta als sender.
Nee, kijk eens naar regel 3 in jouw schema?
Je stuurt een bericht met als From: het te spammen adres, en To: een onjuiste local sender (een user die niet bestaat), waardoor het bericht gebounced wordt. Als je in de To: alleen valid local senders (een user die wel bestaat) accepteert, weet je zeker dat er geen bounce gaat optreden.

Wanneer je gaat checken of de From: een valid local sender (user die bestaat) is, kun je alleen maar mail ontvangen wat vanaf jouw domein komt, gericht naar iedereen.
To: iemand(at)totallyl33t.net en From: iemand(at)xs4all.nl komt dan niet meer aan. En dat is toch niet wat je wilt ;).

In Exchange is het een ander verhaal. Je kan inderdaad een catchall aanmaken, maar je kan ook naar andere zaken kijken:

Sender Filtering, waar jij het over hebt, gaat weer over het checken van die From header, en dat wil je niet:
Sender Filtering
Exchange Sender Filter can be configured to examine the From address of each incoming e-mail message and compare it with a blocked sender list. If there is a match, Exchange can be configured to drop the connection or archive the message.
Kijk je iets verder naar beneden op diezelfde page:
Inbound Recipient Filtering
Administrators can set recipient filtering to block e-mail messages destined to invalid recipients (addresses not present in Windows Active Directory® directory service) or to restricted e-mail addresses.

Because spam typically originates from false addresses, resources were wasted in the past whenever Exchange returned a non-delivery report (NDR) to the sender. Exchange 2003, with the recipient filter applied, rejects messages for nonexistent or blocked recipients during the SMTP protocol session. This filter saves Exchange from tying up valuable resources returning an NDR to the sender.
daar kan je wel wat mee. Misschien ook een edu licentie Exchange?

Succes :).

[ Voor 4% gewijzigd door blackd op 08-05-2004 11:34 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zaterdag 8 mei 2004 11:54

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Topicstarter
Nee, kijk eens naar regel 3 in jouw schema?
Je stuurt een bericht met als From: het te spammen adres, en To: een onjuiste local sender (een user die niet bestaat), waardoor het bericht gebounced wordt. Als je in de To: alleen valid local senders (een user die wel bestaat) accepteert, weet je zeker dat er geen bounce gaat optreden.

Wanneer je gaat checken of de From: een valid local sender (user die bestaat) is, kun je alleen maar mail ontvangen wat vanaf jouw domein komt, gericht naar iedereen.
To: iemand(at)totallyl33t.net en From: iemand(at)xs4all.nl komt dan niet meer aan. En dat is toch niet wat je wilt ;).
Je hebt gelijk. :) Ik zat te slapen. 8)7
daar kan je wel wat mee. Misschien ook een edu licentie Exchange?
Die ga ik volgende week meteen even ritselen. B)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq