1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

ROZWIĄZANE Czy skaner antywirusowy działa na skrzynkach e-mail w home.pl?

Dyskusja w 'Poczta home.pl' rozpoczęta przez użytkownika MichalBednarski, 11 Marzec 2016.

  1. MichalBednarski

    MichalBednarski Bywalec

    Wiadomości:
    16
    Docenione treści:
    0
    Czy skaner antywirusowy na kontach home.pl w ogóle działa?
    Mogę podać przykłady wykrytych w mailach wirusów przez NODa:
    - JS/TrojanDownloader.Nemucod.IZ
    - JS/TrojanDownloader.Nemucod.IM
    - JS/TrojanDownloader.Nemucod.IK
    - JS/TrojanDownloader.Nemucod.ID
    - JS/TrojanDownloader.Nemucod.HV
    - Win32/PSW.Papras.EH
    To tylko kilka ostatnich dni, czy to nie przesada?
    I proponowałby zająć się tym szybciej niż moim poprzednim wpisem:
    https://forum.home.pl/threads/powid...uoty-dla-innych-kont-w-domenie.294/#post-1496
     
  2. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    Temat przekazany do weryfikacji, już wyjaśniam co się dzieje.
     
  3. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    @MichalBednarski czy możesz podać nazwę konta/serwera na który takie wiadomości zostały dostarczone?

    Jeśli chodzi o drugi temat, a więc powiadomienia administratora, monitoruję to ale nie posiadam żadnych informacji o docelowym rozwiązaniu tej kwestii. Prawdopodobnie w tym półroczu czekać nas będzie sporo aktualizacji obejmujących zmiany w panelu administracyjnym i konfiguracji usług, zwiększenia funkcjonalności serwerów itp. co może zostać zrealizowane nawet przy pomocy jednej dużej aktualizacji. Gdy tylko pojawią się jakieś informacje, lub uda mi się coś więcej dowiedzieć, poinformuję o tym.
     
    Ostatnia modyfikacja: 14 Marzec 2016
  4. MichalBednarski

    MichalBednarski Bywalec

    Wiadomości:
    16
    Docenione treści:
    0
    np. jf.firmafrankiewicz, biuro.firmafrankiewicz, logistyka.firmafrankiewicz
     
  5. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    520
    a to nie przypadkiem zipy zawierające te wirusy? jeśli tak to u mnie tak jest często i to całkiem normalne, wolę aby mi antywirus pocztowy nie wywalał takiej poczty bo tylko w zipach ludzie mogą mi wysyłać potencjalnie zainfekowane ich strony do sprawdzenia.
     
  6. MichalBednarski

    MichalBednarski Bywalec

    Wiadomości:
    16
    Docenione treści:
    0
    Tak, zipy ale bez haseł więc NOD spokojnie zagrożenia w nich znajduje.
    Ani ja ani moi klienci nie zaliczamy się do testerów rozwiązań antywirusowych chociaż home.pl trochę nas do tego zmusza :)
     
  7. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    @MichalBednarski ostatnia prośba, o ile będzie szansa na jej realizację: wiadomość w formacie .eml z tego typu załącznikiem. Musimy konkretny przypadek sprawdzić, po samych nazwach załączników nigdzie nie dojdziemy. Zapraszam Cię do przesłania przez formularz kontaktowy np. w panelu administracyjnym (wiadomość będzie autoryzowana). Możesz w treści dopisać: zgodnie z prośbą z forum. Wklej numer zgłoszenia, temat jest już w realizacji podrzucę to do odpowiedniej osoby.
     
  8. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 363
    Docenione treści:
    520
    @MichalBednarski przy okazji zapytam, czy te maile to takie z a'la fakturami? :)
     
  9. MichalBednarski

    MichalBednarski Bywalec

    Wiadomości:
    16
    Docenione treści:
    0
    Nr sprawy GVSC-59483-794
     
  10. MichalBednarski

    MichalBednarski Bywalec

    Wiadomości:
    16
    Docenione treści:
    0
    Tak jest.
     
  11. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 555
    Docenione treści:
    325
    Problem z załącznikami .zip oraz ich zawartością (oraz setek innych plików, nawet .pdf itp) polega na tym, że systemy antywirusowe, które monitorują przepływ danych, korzystają z baz sygnatur, które mogą, ale nie muszą odwoływać się i do faktycznych zagrożeń, ale i potencjalnych zagrożeń. Efektem tego może być sytuacja, w której bezpieczne archiwum, zawierające np. spakowaną stronę WWW, projekty itp. zostanie uznane za niebezpieczne i odwrotnie, antywirus przepuści załącznik, co do którego nie znajdzie żadnych przeciwwskazań lub załącznik, który posiada elementy, które mogą ale nie muszą być zagrożeniem.

    Sytuacja w której załącznik może ale nie musi być zagrożeniem, jest sytuacją trudną. Analogicznie karta papieru nie jest niebezpieczna, ale odpowiednio złapana lub nieumiejętnie chwycona, może nam odciąć palec. Zawsze też niebezpieczne dla nas może być to co na niej się znajduje. Wybaczcie przykład, staram się wyjaśnić to najprościej jak się da.

    Nie jest w tej sytuacji wykluczone, że baza sygnatur została pozbawiona informacji o plikach (pisząc ogólnie) które np. statystycznie częściej okazywały się zwykłymi plikami, bezpiecznymi, niż wirusami. Przypomnę tu sytuację z przed 2-3 lat, gdy jeden z wiodących producentów programów antywirusowych (nie, nie mamy go w ofercie) dodał do bazy wirusów informacje i plikach, skryptach i innych niebezpiecznych elementach stron WWW. Na efekty nie trzeba było długo czekać, bo tego samego dnia wielu użytkowników odwiedzających strony WWW postawione na WordPress, otrzymało komunikat o tym że strona jest zawirusowana (z programu antywirusowego zainstalowanego na komputerze). Oczywiście pierwsze zgłoszenie szło do nas, jako hostingodawcy, serwery były czyste, FTP sprawdzone, więc zgłoszenia były przekazywane dalej. Rozwiązaniem była aktualizacja bazy i usunięcie sygnatur, które stwarzały problemy. Jak się okazało to co autorzy uznali za niebezpieczne, w innych okolicznościach było częścią składową "zdrowego" mechanizmu.

    Zabezpieczenie serwerów jest jednym z elementów systemu bezpieczeństwa, a kolejnym jest posiadanie np. dodatkowych zabezpieczeń bezpośrednio na komputerze (zapomniane przez wielu programy antywirusowe). System bezpieczeństwa jest więc składową wielu elementów, silnych haseł, zabezpieczeń serwera, zabezpieczenia stanowisk pracy, pomieszczeń itp.

    Sytuacja przedstawiona wyżej, została zgłoszone do zespołu technicznego. Znaleźliśmy załącznik, znaleźliśmy pliki i faktycznie, wiadomość otrzymała punktację SPAM, co zakwalifikowało ją do umieszczenia w stosownym folderze (a więc krok pierwszy) ale załącznik, nawet po rozpakowaniu, nie stanowił zagrożenia (krok 2 identyfikacja załącznika). Dopiero lokalny program antywirusowy zidentyfikował zawartość jako wirusa (krok 3 skorzystanie z innych zabezpieczeń, ze względu na wcześniejsze uznanie wiadomości jako SPAM).

    Temat jest otwarty i będzie na pewno przekazany dalej do sprawdzenia, być może aktualizacji. Ja natomiast zachęcam wszystkich użytkowników, to korzystania z programów antywirusowych oraz innych zabezpieczeń czy pomocy (menadżery haseł, połączenia szyfrowane, itp).
     
  12. ulalee

    ulalee Zaglądacz

    Wiadomości:
    14
    Docenione treści:
    2
    Odświeżam temat,
    dostajemy ostatniego czasu maile z wirusami, wyglądają jakby były zarejestrowane w naszej domenie domeny (ale nie są), tak sobie dyskutujemy jak zablokować tego typu wiadomosci... Czy jak dodam @(mojadomena).pl do czarnej listy a następnie dodam do białej listy wszystkie adresy które zarejestrowałam w mojej domenie to zadziała? Czy jest może jakiś inny, skuteczny sposób na zablokowanie?

    Przykładowy nagłówek:
    Return-Path: <Kristi74@(mojadomena).pl>
    Received: from dsl-189-176-248-210-dyn.prod-infinitum.com.mx (189.176.248.210) (HELO dsl-189-176-248-210-dyn.prod-infinitum.com.mx)
    by serwer1678487.home.pl (188.128.138.34) with SMTP (IdeaSmtpServer v0.80.3)
    id 33a5bfb3a4aa4795; Fri, 28 Oct 2016 16:43:11 +0200
    From: "Kristi" <Kristi74@(mojadomena).pl>
    To: "ula@(mojadomena).pl" <ula@(mojadomena).pl>
    Subject: IMG_3234
    Thread-Topic: IMG_3234
    Thread-Index: AQHR0EVgSHNNDbli0E2HJufOrcol2Q==
    Date: Fri, 28 Oct 2016 07:43:09 -0700
    Message-ID: <F2815964A701DCFDEFAAEE4CED0D6054296EA8@F2815964A701D.(mojadomena).pl>
    Accept-Language: en-GB, en-US
    Content-Language: en-GB
    Content-Type: multipart/mixed;
    boundary="_003_F2815964A701DCFDEFAAEE4CED0D6054296EA8F2815964A701Dnamp_"
    MIME-Version: 1.0
     
    Ostatnia modyfikacja: 2 Listopad 2016
  13. Adam

    Adam Social Media home.pl home.pl Administrator forum

    Wiadomości:
    262
    Docenione treści:
    73
    Z tego co widzę to w nagłówku masz pochodzenie wiadomości:

    Received: from dsl-189-176-248-210-dyn.prod-infinitum.com.mx (189.176.248.210) (HELO dsl-189-176-248-210-dyn.prod-infinitum.com.mx)


    To jakiś dynamiczny adres IP i pewnie jego blokada niewiele da, ale zastanowiłbym się nad ustawieniem na czarnej liście blokady dla hostów *.com.mx lub ogólnie *.mx. Jeżeli nie masz kontaktów z kontrahentami z Meksyku to raczej niewiele stracisz, a wiele zyskasz :)
     
    ulalee lubi to.
  14. ulalee

    ulalee Zaglądacz

    Wiadomości:
    14
    Docenione treści:
    2
    Pochodzenie tych maili jest przeróżne więc moze się okazać że to walka z wiatrakami... Spróbować jednak nie zaszkodzi. Moze bedzie tego mniej...
     
  15. Adam

    Adam Social Media home.pl home.pl Administrator forum

    Wiadomości:
    262
    Docenione treści:
    73
    Pochodzenie może być różne, bo tak działa niestety spam - zazwyczaj wysyłka jest intensywna, szybka, z jednego adresu IP powiązanego z egzotyczną domeną. Wiesz, to jest tak jak z tradycyjną skrzynką na listy. Możesz się dwoić i troić a i tak po pracy znajdziesz w niej tonę gazetek ze sklepów i kupon do pizzerii :)
     
  16. ulalee

    ulalee Zaglądacz

    Wiadomości:
    14
    Docenione treści:
    2
    Akurat o kupon do pizzerii bym się nie obraziła :) No dobra. Ale skąd to się bierze? Nagle, jednego dnia wszyscy zjawiamy się w pracy, otwieramy pocztę a tam zawirusowane maile: Hong-kong, Indie, Meksyk, Wenezuela, Włochy, Francja, wszystkie podobne i podszywające się pod naszą domenę, a właściwie obie nasze domeny.
    Ten myk o którym pisałam powyżej z czarną i białą listą przejdzie, czy raczej niekoniecznie? Wszystkich zagranicznych hostów nie mogę blokować bo jednak mamy też zagranicznych kontrahentów.
     
  17. Adam

    Adam Social Media home.pl home.pl Administrator forum

    Wiadomości:
    262
    Docenione treści:
    73
    To klasyczne fałszowanie nagłówka, ale skąd się to bierze - wypada zapytać samych twórców takich "niespodzianek". Powodów może być wiele, od pobrania nazwy domeny z Googla (zindeksowane adresy email ze stron www to jeden z głównych powodów), aż po rozbudowane, autorskie generatory spamu - ty dostajesz spam z własną domeną, a kolega z firmy obok dostaje to samo ale z innym adresem :) Wpisywanie swojej domeny na czarną listę działa zabójczo więc nie polecam :)

    Tak naprawdę to warto jednak trochę wyedukować swoich pracowników, aby zwracali uwagę na szczegóły wiadomości i sprawdzali nagłówki. Mimo rozbudowanych zabezpieczeń antyspamowych na serwerach na całym świecie powstają cały czas nowe sposoby na dystrybucję szkodliwej treści.

    Wszystkich zagranicznych hostów nie mogę blokować - dodaj ich adresy na białą listę (same adresy email, również w schemacie *@domenakontrahenta.com).
     
  18. ulalee

    ulalee Zaglądacz

    Wiadomości:
    14
    Docenione treści:
    2
    Okazało się, że filtry antyspamowe home działają prawidłowo i te maile kwalifikowały poprawnie jako spam - jedna z wiadomości dostała aż 12912 punktów (dopuszczalna norma to 120 pkt). Nie trafiałyby do naszych skrzynek... gdyby nie to że dodałam nasze domeny na białą listę (wcześniej maile z kilku naszych adresów trafiały do spamu). Już nic nie dostajemy - dzięki za pomoc :D
     
    Mariusz i Adam lubią to.

Poleć forum znajomym