Genvejsmenu:
S - Indhold
1 - Forside
2 - Aktuelt
3 - Oversigt
4 - Søg

Sorter efter emne

01.11.10   |   kl. 12:41   |   Aktuelt, Prosabladet

E-mail-høstere udnytter venlige servere

E-mailservere er som regel venlige. For venlige, som PROSA har måttet sande.

"I'm afraid I wasn't able to deliver your message to the following addresses. 
This is a permanent error; I've given up. Sorry it didn't work out."

Hvis du har prøvet at skrive en forkert e-mail-adresse i en e-mail, har du sikkert set en meddelelse som ovenstående blive sendt som retur-e-mail efter et lille stykke tid.

Man får nærmest medlidenhed med den venlige e-mailserver, som ganske givet meget ihærdigt har forsøgt at videresende din e-mail til den indtastede e-mail-adresse. Udmattet og undskyldende bliver e-mailserveren nu nødt til at give op.

Det er lige før, man bliver nervøs for, at e-mailserveren helt opgiver ævred; skuffet over sin egen utilstrækkelighed.

Som i det virkelige liv kan den venlige og ydmyge indstilling desværre også blive udnyttet af ondsindede personer.

De høster især i foråret

Eksempelvis har ondsindede spammere prøvet at narre PROSAs e-mailserver. Spammerne har bombarderet e-mail-serveren med e-mails. E-mailene er alle adresseret til @prosa.dk eller @gw.prosa.dk og har alle mulige og ikke mindst umulige kombinationer som præfix i e-mail-adressen. Eksempelvis sdc8f096.069@gw.prosa.dk.

Forbundssekretær Erik Klausen, der står for PROSAs e-mailserver, har set mange eksempler på det.

Jeg har set det flere gange. I foråret var der især mange forsøg.

E-mail-bombardementet med underlige e-mail-adresser er en måde at høste en masse rigtige e-mail-adresser, der kan anvendes af spammere. Spammeren får en masse fejlmeddelelser tilbage, men de smides blot væk. E-mails, som ikke udløser undskyldende retur-e-mail fra e-mailserveren, er penge værd. Det er nemlig en eksisterende e-mail-adresse, som enten kan misbruges af spammeren selv og/eller videresælges til andre spammere.

Det så umiddelbart ud, som om de prøvede hvert 10. sekund eller noget i den størrelsesorden. Det kom i perioder. Nogle gange var der stille, og andre gange kørte de løs, siger Erik Klausen.

Interessant nok var det et domæne, som ikke havde været brugt af PROSA i mange år, som især blev bombarderet af e-mail-høsterne.

– Det var gw.prosa.dk. "Gw" er en forkortelse for Groupwise, vores daværende postsystem, men bogstaverne blev droppet, siger Erik Klausen.

Gennem de fire år, Erik Klausen har stået for PROSAs e-mailservere, har gw.prosa.dk ikke været anvendt.

Skal fejlmeddelelse slås fra?

Prosa overvejer for tiden, om e-mail-serverens returmeddelelse skal slås fra. Hvis e-mail-høsterne ikke får returmeddelelser, kan de ikke si de rigtige eksisterende e-mail-adresser fra. 

– Vi regner med, at spammerne opdager det og så opgiver at blive ved med at bombardere det domæne. Det er den langsigtede effekt af det, siger Erik Klausen.

Det vil dog også betyde, at folk, der kommer til at skrive en forkert e-mail-adresse, når de sender en e-mail til PROSA, vil være uvidende om, at den sendte e-mail rent faktisk ikke er kommet frem til den tiltænkte modtager.

– Vi overvejer det kraftigt, men det vil betyde, at medlemmer, der eksempelvis skriver til PROSAs faglige postkasse, aldrig vil få svar, hvis de skriver en forkert e-mail-adresse, siger Erik Klausen.

Hvis PROSA slår autosvaret fra, vil det på sigt betyde, at der vil være færre spammere, der får fat i PROSAs e-mail-adresser, og dermed potentielt mindre spam fremover. En lille gevinst, som nok overskygges af ulempen for medlemmer, der aldrig får svar på et fagligt spørgsmål.

– Vi beskytter os imod at få spam i fremtiden. Spammen skal også igennem spamfilteret, så risikoen ved at sende svaret er måske til at overse. Ulempen for medlemmer, der skriver forkert, er straks større, siger Erik Klausen.

PROSA modtog i august måned 36.000 e-mails, heraf blev 93 procent fanget af spamfilteret. Blandt de resterende 7 procent e-mails var der også en del spam, som spamfilteret ikke fangede. 

– Lige i øjeblikket er der nok hver dag eller hver anden dag, at der slipper noget igennem, siger Erik Klausen.

 

 

  • Facebook-høst med billeder

    E-mail-høstning er en gammelkendt teknik, der stadig florerer. En nyere er høstning af Facebook-profiler. I august 2009 demonstrerede Ronen Zilberman et såkaldt Cross Site Request Forgery (CSRF)-angreb på Facebook, der blev anvendt til at få fat på Facebook-medlemmers navne, profilbilleder og vennelister.

    Selve hacket bestod blot i at poste et billede på et tilfældigt webforum. Hvis en Facebook-bruger besøgte det pågældende webforum, og Facebook-brugeren stadig var autentikeret hos Facebook, kunne Ronen Zilberman få adgang til navn, profilbillede og venneliste. Facebook-brugeren behøvede ikke at have en aktiv, åben Facebook-session. Hvis brugeren ikke eksplicit havde logget ud af sidste Facebook-session og havde valgt "Forbliv logget på", var brugeren sårbar over for hacket.

  • Honningkrukke tiltrækker e-mail-høstere

    PROSA er selvfølgelig ikke alene om at blive udnyttet af e-mail-høstere, der også anvender andre metoder til at høste e-mail-adresser. Spammerne anvender eksempelvis såkaldte spambots til at høste e-mail-adresser fra websites. Project Honeypot har siden 2004 forsøgt at identificere e-mail-høsterne og spammerne, der ofte er én og samme.

    Indtil dato har projektet identificeret 86.620 e-mail-høstere.

    Læs mere på www.projecthoneypot.org .

  • Brute force til at finde e-mail-adresser

    E-mail-høstere anvender ofte ikke de mest sofistikerede angrebsmetoder. Som det ses af nedenstående udsnit af loggen fra PROSAs gamle e-mailserver, bliver der prøvet en kombination af tilfældige tal og bogstaver. En e-mail modtages klokken 05:42:24 på fire forskelllige ikke-eksisterende adresser. Fem minutter senere bliver fem andre adresser afprøvet.

    05:42:24 8A2 MSG 1511800 Processing inbound message: FS-2-KBH/GW:\SYSDOM\WPGATE\GWIA\receive\B394CAB4.687

    05:42:24 8A2 MSG 1511800 Sender: rationalityok@boungo.com

    05:42:24 8A2 MSG 1511800 Recipient: sdc8f096.069@gw.prosa.dk

    05:42:24 8A2 MSG 1511800 Recipient: sde4b992.054@gw.prosa.dk

    05:42:24 8A2 MSG 1511800 Recipient: sde4ceb6.038@gw.prosa.dk

    05:42:24 8A2 MSG 1511800 Recipient: sde5188b.043@gw.prosa.dk

    05:42:24 8A2 MSG 1511800 Building message: sbac4940.090

    05:42:25 8DE DMN: MSG 1511801 Connected to [10.5.16.22] (10.5.16.22)

    05:42:25 8DE DMN: MSG 1511801 SMTP session ended: [10.5.16.22] (10.5.16.22)

    05:47:00 8DE DMN: MSG 1511802 SMTP session ended: [10.5.16.22] (mail.prosa.dk)

    05:47:04 8A2 MSG 1511802 Processing inbound message: FS-2-KBH/GW:\SYSDOM\WPGATE\GWIA\receive\45A4CAB4.688

    05:47:04 8A2 MSG 1511802 Sender: chipjdj9@justinfawcett.com

    05:47:04 8A2 MSG 1511802 Recipient: sfb0b7d5.019@gw.prosa.dk

    05:47:04 8A2 MSG 1511802 Recipient: sfb104c6.021@gw.prosa.dk

    05:47:04 8A2 MSG 1511802 Recipient: sfbb6874.006@gw.prosa.dk

    05:47:04 8A2 MSG 1511802 Recipient: sfdefb3b.032@gw.prosa.dk

    05:47:04 8A2 MSG 1511802 Recipient: sfdf0c5a.072@gw.prosa.dk

    05:47:04 8A2 MSG 1511802 Building message: sbac4a58.091

    05:47:04 8A2  Recipient: sfb0b7d5.019@gw.prosa.dk

    05:47:04 8A2  Recipient: sfb104c6.021@gw.prosa.dk

    05:47:04 8A2  Recipient: sfbb6874.006@gw.prosa.dk

    05:47:04 8A2  Recipient: sfdefb3b.032@gw.prosa.dk

    05:47:04 8A2  Recipient: sfdf0c5a.072@gw.prosa.dk

    05:47:04 8DE DMN: MSG 1511802 Connected to [10.5.16.22] (10.5.16.22)

    05:47:04 8DE DMN: MSG 1511802 SMTP session ended: [10.5.16.22] (10.5.16.22)

    05:47:04 7AF DMN: MSG 1511803 SMTP session ended: [10.5.16.22] (mail.prosa.dk)

PRINT

Kommentarer

1

19.02.11   |   kl.20:21   |   Michael

Edge-serveren sættes til ikke at sende NDR.
På Transport-serveren sættes en transport-regel, der tjekker om der i de mails, der resulterer i en NDR, er danske ord i. Hvis der er danske ord, sendes en NDR til afsenderen.

God tone i debatten

Deltag i debatten

CAPTCHA billede for SPAM beskyttelse

Relevante links