smtp | Complexity is the enemy of Security

ISP’ler için SPAM istatistiği çıkarma

Huzeyfe ONAL — Mon, 22 Feb 2010 17:20:33 +0000

ISP sistemlerini yöneten arkadaşların günümüzdeki temel sıkıntılarının başında dinamik ip kullanan müşterilerin bilgisayarlarından SPAM gönderilmesi(bilgisayarlara bulaşan çeşitli zararlı yazılımlar sonucu) ve bu ip adreslerinin kara listelere girmesi sonucu aynı ip adresini alacak diğer müşterilerin e-posta göndermede sorun yaşaması gelmektedir.

ISP tarafından bakıldığında elimizde sınırlı ip adresi olduğu için müşterilerin her bağlantısında farklı ip adresi veriliyor ve eğer bir ip adresi spam kara listelerine girdiyse o ip adresini başka müşteri aldığında mail gönderemiyor ya da gönderdiği mailler Junk, Spam klasörlerine düşüyor.

ISP ortamında yüzbinlerce kullanıcı olduğu için ve bu yüzbinlerce kullanıcı milyonlarca mail gönderdiği için hangi mailin spam hangisinin normal olduğunu bulmanın kolay bir yolu yok. Tabi patronların lügatında yok/olmaz diye bir sözcük yer almadığı için iş başa düştü ve milyonlarca mailin aktığı bir sistemde %kaç oranında SPAM mail gidiyor, %kaç oranında ip adresi spam listelerine girmiş sorularına cevap aramaya koyulduk.

Teknik olarak cevaplandırmaya çalıştığımız sorular: ağımızdan ne kadar spam gönderiliyor, hangi ip adresleri spam gönderiyor ve ötesinde spam gönderen ip adreslerinin kaç tanesi kara listelere girmiş durumdadır?

İlk olarak bir ip adresinin spammer olup olmadığını bulacak mantık düşündük. Spammer mantığımız şöyle çalışıyor: bir ip adresi belirli değerden fazla(örneğin 500) SMTP bağlantısı kurmaya çalışıyorsa bu ip adresi spam göndermeye çalışıyor demektir.

Adım adım Spam listesi çıkarma

İlk olarak TCP/25 portuna yapılan bağlantı isteklerini(SYN paketi) loglamamız gerekiyor

# tcpdump -nntttt -i lagg0 -w hamlog.pcap $ src net 199.0.0.0/17 src net 192.0.0./16 $ and dst port 25 and ‘tcp[13] & 2 != 0’ &

Yukardaki komutu tüm SMTP trafiğini görecek bir konumda çalıştırmak gerekir. Bunun için TAP cihazları ya da Switchlerden mirror alarak Linux sistemler kullanılabilir.

hamlog.pcap dosyası bizim ip bloğumuzdan yapılan tüm SMTP bağlantılarını içermektedir.

Bu dosya içerisinden hangi ip adresinin kaç adet SMTP bağlantısı başlatmak istediği bilgisini çıkaralım

#tcpdump -nn -r hamlog>textlog

#cut -f3 -d” ” cuma |cut -f1,2,3,4 -d”.”|sort -n|uniq -c |sort -nr>liste

Listeye bakacak olursak aslında spam gönderici ip adresleri hemen belli oluyor. Bir ip adresinin 32.000 SMTP bağlantısı başlatma isteğinde bulunması bormal değildir.

326189 88.101.218.151
220194 99.79.22.97
218239 99.79.63.9
189308 17.17.16.131
144264 99.79.43.122
142219 99.79.13.25
122556 99.57.67.104
121786 99.79.102.70
120254 99.79.91.239
119938 99.79.126.59
119047 99.79.79.183
103905 99.79.76.173
103525 99.79.91.221

Bu dosya hangi ip adresinin kaç adet STMP bağlantısı kurmaya çalıştığını da içermektedir. Bize sadece hangi ip adresleri spam gönderiyor bilgisi lazım. Bu bilgiyi de aşağıdaki komutla alabiliriz.

#akw -F ” ” ‘{print $2}’ >liste

Sonra ortaya çıkan ip adreslerini RBL sorgulaması yaparak hangilerinin SPAM kara listelerine girdiğini bulabiliriz.

Komut satırından RBL sorgulaması için rblcheck yazılımını kullanıyorum.

#for a in `cat sorgu`;do rblcheck -m $a |grep -v “not listed”;done >>SONUC

SONUC dosyasi icerigine bakacak olursak hangi ip adreslerinin hangi karalistelere girdiğini görebiliriz.

11.22.111.243 listed by xbl.spamhaus.org
11.22.60.245 listed by pbl.spamhaus.org
11.22.81.66 listed by pbl.spamhaus.org
11.22.35.151 listed by xbl.spamhaus.org
11.22.94.254 listed by xbl.spamhaus.org
11.22.31.0 listed by pbl.spamhaus.org
11.22.78.254 listed by pbl.spamhaus.org
1.23.4.175 listed by xbl.spamhaus.org
11.22.76.9 listed by pbl.spamhaus.org
11.22.71.101 listed by xbl.spamhaus.org
11.22.54.221 listed by xbl.spamhaus.org
11.22.81.27 listed by pbl.spamhaus.org
7.7.27.29 listed by xbl.spamhaus.org

NOT: Burada uygulanan yöntem tüm SMTP trafiğini TAP cihazlarıyla kaydedilmesi ve kaydedilen trafik üzerinde işlem yapılmasıyla gerçekleştirilmiştir.

The post ISP’ler için SPAM istatistiği çıkarma first appeared on Complexity is the enemy of Security.

E-posta başlıklarından bilgi toplama

Huzeyfe ONAL — Fri, 21 Aug 2009 13:36:10 +0000

E-posta başlıklarından(mail headers) bilgi toplama konulu hazırladığım belgeye http://www.beyazsapka.org/makaleler/e-posta-basliklarindan-bilgi-toplama adresinden erişebilirsiniz.

Aynı belgenin pdf’i http://www.guvenlikegitimleri.com/calismalar/mail_headers.pdf adresinden indirilebilir.

The post E-posta başlıklarından bilgi toplama first appeared on Complexity is the enemy of Security.

Gmail ve(SENT_EHLO): Connection timed out hatasi

Huzeyfe ONAL — Sat, 20 Dec 2008 19:59:17 +0000

Yaklasik bir haftadir Gmail’den yonettigim sunucuya mail gelmedigi konusunda sikayetler aliyordum. Kendi hesaplarimdan test yapinca gercekten Gmail’in sunucuma mail gondermedigini ve bir iki gun sonra ekteki gibi bir hata ile denemeyi biraktigini gordum.

Uzun sure sistemde bir degisiklik yapmadigim icin hatanin nereden kaynaklanacagini dusunerek bulamadim. Gmail’in dondugu hataya gore gmail sistemleri benim sunucuma baglaniyor ve bir sekilde islemlerini tamamlayamadan sistemin baglantilari kopariyordu(ya da gmail’in sistemi fazla bekleyemeden baglantiyi kopariyor).

Ben de klasik mantikla aradaki bilesenleri teker teker sorunun nerden kaynaklanabilecegini bulmaya calistim. Aradaki bilesenler: (Firewall, Spam filter, qmail vb ) . Sansim yaver gitti Firewall’u durdurunca mail trafigi akmaya basladi. Firewall’u tekrar acip mail gondermeyi denedim (emin olmak icin) mailler gelmeye basladi… Sonra Firewall üzerinde buna sebep olabilecek bilesenleri teker teker kurcalamaya basladim.

Sistemdeki degerleri olabilecegi kadar esnetmeye calistim fakat sonuc degismedi. Simdilik firewall’u sistemden kaldirarak sorunu gecici olarak cozdum fakat icim rahat etmedi… Benim tarafimda bir degisiklik olmadan bu hatayi aliyorsam Gmail tarafi birseyleri degistirmis olmali. Bakalim ilerleyen gunlerde bulabilecek miyim kesin problemi.

Packet Filter’da Timeout degerlerim;TIMEOUTS:

tcp.first                   120s
tcp.opening                  60s
tcp.established            3600s
tcp.closing                 600s
tcp.finwait                  45s
tcp.closed                   90s
tcp.tsdiff                   30s
udp.first                    60s
udp.single                   30s
udp.multiple                 60s
icmp.first                   20s
icmp.error                   10s
other.first                  60s
other.single                 30s
other.multiple               60s
frag                         30s
interval                     10s
adaptive.start                0 states
adaptive.end                  0 states
src.track                     0s

LIMITS:
states     hard limit 20000
src-nodes hard limit 10000
frags      hard limit 20000

Gmail’in verdigi hata…

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Delivery to the following recipient has been delayed:

[email protected]

Message will be retried for 2 more day(s)

Technical details of temporary failure: Unspecified Error (SENT_EHLO): Connection timed out —– Message header follows —–

Received: by 10.210.144.8 with SMTP id r8mr2719062ebd.102.

1229628697723; Thu, 18 Dec 2008 11:31:37 -0800 (PST) Received: by 10.210.129.9 with HTTP; Thu, 18 Dec 2008 11:31:37 -0800 (PST) Message-ID: <[email protected]> Date: Thu, 18 Dec 2008 21:31:37 +0200 From: “Huzeyfe ONAL(Gmail)” <[email protected]> To: [email protected] Subject: q1w2e3 MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 7bit Content-Disposition: inline

The post Gmail ve(SENT_EHLO): Connection timed out hatasi first appeared on Complexity is the enemy of Security.