我已经设置了Postfix来阻止欺骗你的电子邮件(你只能自己发送电子邮件): smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch 我已经在服务器上设置了Sieve和ManageSieve。 我的用户现在可以configuration自己的Sieve脚本,将传入的电子邮件redirect到其他外部邮件帐户。 这有一个不需要的副作用: 我的用户现在可以将所有邮件redirect到[email protected]。 要从我的服务器发送垃圾邮件,他们可以设置自己的邮件服务器。 从他们的邮件服务器,他们可以发送垃圾邮件到我的服务器上的帐户。 然后这个邮件被Sieveredirect到他们自己的欺骗邮件服务器指定的FROM地址。 这意味着我的用户可以从我的服务器发送邮件假装成任何人。 这就是为什么我想让Sieve将FROM地址更改为用户的电子邮件,并将原始地址放在括号中。 这可能吗?
我有一个与Exchange有趣的问题,它似乎检查和戳记来自外部域的欺骗邮件,但没有安装发送来的邮件。 例如,我可以伪造来自[email protected]的邮件,其中example.com具有有效的SPFlogging,Exchange将检查该邮件并在Outlook中将其标记为垃圾邮件。 当我发送来自[email protected]的欺骗性电子邮件Exchange似乎没有检查SPF,因为它不会移动到垃圾邮件。 环境是Exchange 2013,两个SPFlogging在外部DNS上,一个在内部有一些额外的IP,所以打印机等都可以运行。 内部logging是必要的,因为内部域和外部域都是一样的。 Exchange服务器上的nslookup显示mydomain.com的文本logging v=spf1 include:spf.hes.trendmicro.com -all v=spf1 ip4:10.0.0.1/16 ip4:$external include:spf.hes.trendmicro.com -all 交换SenderIdConfig如下 RunspaceId : e71ca342-a96a-4af4-a278-e423c3952af9 SpoofedDomainAction : StampStatus TempErrorAction : StampStatus BypassedRecipients : {} BypassedSenderDomains : {} Name : SenderIdConfig Enabled : True ExternalMailEnabled : True InternalMailEnabled : False 我已经用InternalMailEnabled设置为$ true进行了testing,但是这似乎并没有帮助,坦率地说,我正在想什么在这里发生什么。 如果任何人有兴趣,或者如果它有什么区别,我欺骗消息使用我自己的networking服务器上的mutt,所以绝对不包括在SPFlogging以任何方式,我试图这样做的原因是,一个骗子设法欺骗他们的方式几乎从我们的会计师之一假装成为首席执行官获得一些财务信息。 如果任何人都可以提供一些build议,我可以改变什么,或者我可以在哪里寻找更多的信息发生什么事情的消息,我将非常感谢。
在这里拼命地需要一些帮助。 我一直在使用Google Apps作为我的域(2qubed.co.uk)超过2年,直到最近都没有任何问题。 在过去的几个月中,我一直在从我的域名获取大量反弹的电子邮件,甚至从来没有从甚至没有创build的不存在的电子邮件地址发送邮件。 我相信谷歌是想把它当作垃圾邮件,但由于某种原因,它不是。 我每天至less收到超过50封电子邮件。 我不知道我的帐户是否被黑客入侵? 这是我得到一个典型的电子邮件的例子: from Mail Delivery Subsystem <[email protected]> to [email protected] date 12 November 2010 10:35 subject Delivery Status Notification (Failure) mailed-by mail-yw0-f66.google.com hide details 10:35 (31 minutes ago) Delivery to the following recipient failed permanently: [email protected] Technical details of permanent failure: Google tried to deliver your message, but it was […]
今天早上我收到一封networking钓鱼电子邮件,似乎是从我的一个地址发送给自己的。 看着标题,我发现了一些有趣的东西。 DomainKey-Status: no signature X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mydomain.com X-Spam-Level: X-Spam-Status: No, score=-1.0 required=5.0 tests=BAYES_00,HTML_MESSAGE, HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,MISSING_MID,SPF_PASS autolearn=no version=3.2.5 Received: (qmail 10412 invoked by uid 110); 6 Aug 2012 09:59:17 -0400 Delivered-To: [email protected] DomainKey-Status: no signature Received: (qmail 10390 invoked by uid 110); 6 Aug 2012 09:59:17 -0400 Delivered-To: [email protected] DomainKey-Status: no signature Received: […]
我的数据库服务器上的iptables规则是: -A INPUT -p tcp –dport 6432 -s 10.115.0.150 -j ACCEPT 我有其他规则(回环等),但我想知道如果这个具体的规则可以“黑客”。 有人可以“欺骗”IP地址(即使它是一个专用的networking地址 – 同样,如果它是一个公共地址,是否会有所不同)? 有些不同?
我的电子邮件帐户,对于我称为“VeryCoolCompany”的私人业务,已经开始接受不存在的用户的反弹,如下所示: [email protected] [email protected] 总之,有人正在发送假装来自我公司的电子邮件。 不,他们没有使用我的服务器来做到这一点。 准确地说,我的企业电子邮件实际上是一个伪装的g-mail帐户; 它被assembly到我的公司域名。 不过,如果有什么我可以或应该做的 – 我想知道。 例如,联系谷歌是否有意义? 如果是这样,那么怎么样? 或者我需要吸收并忽略这个潜在的后果?
我收到从我自己的域发送到我自己的域的垃圾邮件。 我正在使用Exchange 2013。 例: 正在使用[email protected]将垃圾邮件发送到[email protected] 。 我可以通过从任何外部IP telneting到服务器成功地复制该问题。 telnet <external-ip-of-server> 25 helo anydomain.com 250 myserver.mydomain.com Hello [External-IP] mail from:[email protected] 250 2.1.0 Sender OK rcpt to:[email protected] 250 2.1.5 Recipient OK data 354 Start mail input; end with <CRLF>.<CRLF> some text here . 250 2.6.0 <[email protected]> [InternalId=20890720927751, Hostname=myserver.mydomain.com] Queued mail for delivery 我有这样的SPFlogging设置: v=spf1 ip4:External.IP.of.MyServer -all 我还在Exchange […]
所以我正在做一份新的工作,他们对networking,硬件和操作系统的安全性非常严格。 :-(我是一个web开发人员,但是我不得不使用IE7进行开发,因为他们不希望任何人安装除了样板操作系统安装以外的其他任何东西,任何web开发人员都知道,你可以“ “虽然这很麻烦 – 但大多数情况下都是这样开发的,但是有时候,您需要额外的一两个程序来查看发送/接收的请求,看看您的客户端(浏览器)如何与服务器我有我的个人笔记本电脑上的所有程序,但它没有被授权连接到公司networking。 现在我没有networking专家,但我有这样的想法:如果我可以欺骗我的工作桌面的MAC地址和IP地址在我的个人笔记本电脑,拔掉我的桌面,然后插入我的笔记本电脑到networking,应该不能连接? 但似乎没有工作。 networking如何“知道”有什么变化? 我以为MAC地址是唯一的“东西”,一旦你请求并分配了一个IP地址,就可以在networking上识别你。 编辑 :顺便说一句,我已经权衡了在工作中“惹上麻烦”的风险,所以没有必要提醒我,这可能是“违反networking政策”等我已经知道! 我真正的问题不是“你能告诉我该怎么做”,而是“为什么这不起作用,因为我显然误解了networking的运作方式”。 🙂
Linux上的我的Apachenetworking服务器正在被一个不存在的文件的大量请求所淹没。 直接的影响是访问和错误日志的快速增长。 我已经通过不logging这些请求(如果它匹配特定string)来照顾这一点。 我们正在讨论来自多个IP地址每秒40到50个请求(对于同一个文件)。 我最初认为它是一个僵尸networking,但我相信这是一个脚本小子欺骗源IP。 我正在服务器上运行iptables,我想知道,这些数据包如何绕过TCP / IP初始握手到达应用层(HTTP服务器)? 如果我有: –Default Policy for INPUT chain is to DROP <snip> iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT <…> <snip> iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT …不应该在我的服务器的SYN / ACK响应 – 初始连接请求后发送到欺骗性IP? 所以输了? 如果数据包是精心devise的,似乎是来自已build立的连接,netfilter的状态跟踪机制不应该通过上面的RELATED,ESTABLISHED行来处理它,并且将它们识别为不是已build立会话的一部分,因此删除它们(通过默认策略:DROP)? 在此先感谢,Craconia 这些请求来自有效的互联网地址。
在我需要在局域网之外访问的一些生产系统中,我有时会在边缘添加一个防火墙限制,以允许来自特定源IP地址或块的RDP通信。 当然,IP需要是静态的(或者我需要在更新的时候更新),但是我的问题是,作为防止攻击者访问这个系统的手段,这个可靠性有多高呢? 在RDP(最常见的)的情况下仍然有用户名/密码authentication,但是依靠这些基于IP的防火墙限制是一个坏主意? 我的想法最初是IP欺骗在拒绝服务方面更为有用,当你不关心数据包回到发起者身上时,但是为了获得更高的访问权限,对于攻击者来说真的很容易欺骗他的IP, 并有数据包以某种方式路由回到他的真实地址?