The post ISP’ler için SPAM istatistiği çıkarma first appeared on Complexity is the enemy of Security.
]]>ISP tarafından bakıldığında elimizde sınırlı ip adresi olduğu için müşterilerin her bağlantısında farklı ip adresi veriliyor ve eğer bir ip adresi spam kara listelerine girdiyse o ip adresini başka müşteri aldığında mail gönderemiyor ya da gönderdiği mailler Junk, Spam klasörlerine düşüyor.
ISP ortamında yüzbinlerce kullanıcı olduğu için ve bu yüzbinlerce kullanıcı milyonlarca mail gönderdiği için hangi mailin spam hangisinin normal olduğunu bulmanın kolay bir yolu yok. Tabi patronların lügatında yok/olmaz diye bir sözcük yer almadığı için iş başa düştü ve milyonlarca mailin aktığı bir sistemde %kaç oranında SPAM mail gidiyor, %kaç oranında ip adresi spam listelerine girmiş sorularına cevap aramaya koyulduk.
Teknik olarak cevaplandırmaya çalıştığımız sorular: ağımızdan ne kadar spam gönderiliyor, hangi ip adresleri spam gönderiyor ve ötesinde spam gönderen ip adreslerinin kaç tanesi kara listelere girmiş durumdadır?
İlk olarak bir ip adresinin spammer olup olmadığını bulacak mantık düşündük. Spammer mantığımız şöyle çalışıyor: bir ip adresi belirli değerden fazla(örneğin 500) SMTP bağlantısı kurmaya çalışıyorsa bu ip adresi spam göndermeye çalışıyor demektir.
Adım adım Spam listesi çıkarma
İlk olarak TCP/25 portuna yapılan bağlantı isteklerini(SYN paketi) loglamamız gerekiyor
# tcpdump -nntttt -i lagg0 -w hamlog.pcap \( src net 199.0.0.0/17 src net 192.0.0./16 \) and dst port 25 and ‘tcp[13] & 2 != 0’ &
Yukardaki komutu tüm SMTP trafiğini görecek bir konumda çalıştırmak gerekir. Bunun için TAP cihazları ya da Switchlerden mirror alarak Linux sistemler kullanılabilir.
hamlog.pcap dosyası bizim ip bloğumuzdan yapılan tüm SMTP bağlantılarını içermektedir.
Bu dosya içerisinden hangi ip adresinin kaç adet SMTP bağlantısı başlatmak istediği bilgisini çıkaralım
#tcpdump -nn -r hamlog>textlog
#cut -f3 -d” ” cuma |cut -f1,2,3,4 -d”.”|sort -n|uniq -c |sort -nr>liste
Listeye bakacak olursak aslında spam gönderici ip adresleri hemen belli oluyor. Bir ip adresinin 32.000 SMTP bağlantısı başlatma isteğinde bulunması bormal değildir.
326189 88.101.218.151
220194 99.79.22.97
218239 99.79.63.9
189308 17.17.16.131
144264 99.79.43.122
142219 99.79.13.25
122556 99.57.67.104
121786 99.79.102.70
120254 99.79.91.239
119938 99.79.126.59
119047 99.79.79.183
103905 99.79.76.173
103525 99.79.91.221
Bu dosya hangi ip adresinin kaç adet STMP bağlantısı kurmaya çalıştığını da içermektedir. Bize sadece hangi ip adresleri spam gönderiyor bilgisi lazım. Bu bilgiyi de aşağıdaki komutla alabiliriz.
#akw -F ” ” ‘{print $2}’ >liste
Sonra ortaya çıkan ip adreslerini RBL sorgulaması yaparak hangilerinin SPAM kara listelerine girdiğini bulabiliriz.
Komut satırından RBL sorgulaması için rblcheck yazılımını kullanıyorum.
#for a in `cat sorgu`;do rblcheck -m $a |grep -v “not listed”;done >>SONUC
SONUC dosyasi icerigine bakacak olursak hangi ip adreslerinin hangi karalistelere girdiğini görebiliriz.
11.22.111.243 listed by xbl.spamhaus.org
11.22.60.245 listed by pbl.spamhaus.org
11.22.81.66 listed by pbl.spamhaus.org
11.22.35.151 listed by xbl.spamhaus.org
11.22.94.254 listed by xbl.spamhaus.org
11.22.31.0 listed by pbl.spamhaus.org
11.22.78.254 listed by pbl.spamhaus.org
1.23.4.175 listed by xbl.spamhaus.org
11.22.76.9 listed by pbl.spamhaus.org
11.22.71.101 listed by xbl.spamhaus.org
11.22.54.221 listed by xbl.spamhaus.org
11.22.81.27 listed by pbl.spamhaus.org
7.7.27.29 listed by xbl.spamhaus.org
NOT: Burada uygulanan yöntem tüm SMTP trafiğini TAP cihazlarıyla kaydedilmesi ve kaydedilen trafik üzerinde işlem yapılmasıyla gerçekleştirilmiştir.
The post ISP’ler için SPAM istatistiği çıkarma first appeared on Complexity is the enemy of Security.
]]>The post E-posta başlıklarından bilgi toplama first appeared on Complexity is the enemy of Security.
]]>Aynı belgenin pdf’i http://www.guvenlikegitimleri.com/calismalar/mail_headers.pdf adresinden indirilebilir.
The post E-posta başlıklarından bilgi toplama first appeared on Complexity is the enemy of Security.
]]>The post Gmail ve(SENT_EHLO): Connection timed out hatasi first appeared on Complexity is the enemy of Security.
]]>Uzun sure sistemde bir degisiklik yapmadigim icin hatanin nereden kaynaklanacagini dusunerek bulamadim. Gmail’in dondugu hataya gore gmail sistemleri benim sunucuma baglaniyor ve bir sekilde islemlerini tamamlayamadan sistemin baglantilari kopariyordu(ya da gmail’in sistemi fazla bekleyemeden baglantiyi kopariyor).
Ben de klasik mantikla aradaki bilesenleri teker teker sorunun nerden kaynaklanabilecegini bulmaya calistim. Aradaki bilesenler: (Firewall, Spam filter, qmail vb ) . Sansim yaver gitti Firewall’u durdurunca mail trafigi akmaya basladi. Firewall’u tekrar acip mail gondermeyi denedim (emin olmak icin) mailler gelmeye basladi… Sonra Firewall üzerinde buna sebep olabilecek bilesenleri teker teker kurcalamaya basladim.
Sistemdeki degerleri olabilecegi kadar esnetmeye calistim fakat sonuc degismedi. Simdilik firewall’u sistemden kaldirarak sorunu gecici olarak cozdum fakat icim rahat etmedi… Benim tarafimda bir degisiklik olmadan bu hatayi aliyorsam Gmail tarafi birseyleri degistirmis olmali. Bakalim ilerleyen gunlerde bulabilecek miyim kesin problemi.
Packet Filter’da Timeout degerlerim;TIMEOUTS:
tcp.first 120s
tcp.opening 60s
tcp.established 3600s
tcp.closing 600s
tcp.finwait 45s
tcp.closed 90s
tcp.tsdiff 30s
udp.first 60s
udp.single 30s
udp.multiple 60s
icmp.first 20s
icmp.error 10s
other.first 60s
other.single 30s
other.multiple 60s
frag 30s
interval 10s
adaptive.start 0 states
adaptive.end 0 states
src.track 0sLIMITS:
states hard limit 20000
src-nodes hard limit 10000
frags hard limit 20000
Gmail’in verdigi hata…
This is an automatically generated Delivery Status Notification
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipient has been delayed:
Message will be retried for 2 more day(s)
Technical details of temporary failure: Unspecified Error (SENT_EHLO): Connection timed out —– Message header follows —–
Received: by 10.210.144.8 with SMTP id r8mr2719062ebd.102.
The post Gmail ve(SENT_EHLO): Connection timed out hatasi first appeared on Complexity is the enemy of Security.
]]>