Sender Policy Framework (SPF) for Virtual host

Sender Policy Framework (SPF)  เป็นวิธีการหนึ่งที่จะช่วยให้ตรวจสอบว่าอีเมลที่เราได้รับนั้น เป็นอีเมลที่มาจากโดเมนของผู้ส่งจริงหรือไม่  โดยที่ผู้ที่เป็นเจ้าของโดเมนจะต้องทำการเพิ่ม SPF record ให้กับโดเมนของตนเอง  ด้วยการระบุลงไปว่าอีเมลที่มาจากโดเมนนั้นๆ จะถูกส่งออกมาจากเซิร์ฟเวอร์เครื่องใด หมายเลข IP Address อะไรบ้าง วิธีการนี้จะช่วยให้สามารถกลั่นกรองบรรดาสแปมเมลทั้งหลายได้ดียิ่งขึ้น  เพราะสแปมเมอร์ทั้งหลายมักจะปลอมตัวแอบใช้โดเมนของคนอื่นในการส่งสแปมเมล  ดังนั้นเมื่อตรวจสอบได้ว่าเป็นการปลอมแปลงโดเมน การคัดแยกอีเมลให้ไปอยู่ในกลุ่มของสแปมเมลก็ทำได้มีประสิทธิภาพขึ้น ผู้ให้บริการเว็บเมลเช่น Gmail ก็ได้นำวีธีการตรวจสอบ SPF ไปใช้นานแล้ว   หากคุณมี Gmail สามารถเปิดดูรายละเอียดของการตรวจสอบ SPF ได้  ด้วยการคลิกที่ปุ่ม drop down เมนูรูปสามเหลี่ยม ข้างๆ คำว่า Reply   และเลือกที่ Show original  หลังจากนั้นจะมีหน้าต่างใหม่ซึ่งแสดงรายละเอียด header ของอีเมลฉบับนั้นว่ามีการเดินทางเมื่อไหร่อย่างไร  ส่งที่เราต้องมองหาก็คือ บรรทัดที่ขึ้นต้นด้วย “Received-SPF:“ ดังเช่นตัวอย่างนี้ แสดงให้เห็นว่าเซิร์ฟเวอร์ IP address หมายเลข 203.xxx.xxx.xxx ซึ่งส่งอีเมล ภายใต้โดเมน domain.org นั้น ไม่ผ่านการตรวจสอบ … อ่านต่อ …

True Internet – Spammer ISP in Thailand

ลองดูสิครับ ผลจากการบล็อก IP ของ TRUE Client hosts rejected 568 Time(s) 203-118-69-100.static.asianet.co.th[203.118.69.100] 2 Time(s) 203-144-187-18.static.asianet.co.th[203.144.187.18] 1 Time(s) 61-90-140-114.static.asianet.co.th[61.90.140.114] 1 Time(s) gb.ja.238.195.revip.asianet.co.th[61.90.238.195] 6 Time(s) ppp-124.120.0.238.revip2.asianet.co.th[124.120.0.238] 1 Time(s) ppp-124.120.0.91.revip2.asianet.co.th[124.120.0.91] 1 Time(s) ppp-124.120.10.155.revip2.asianet.co.th[124.120.10.155] 4 Time(s) ppp-124.120.133.129.revip2.asianet.co.th[124.120.133.129] 15 Time(s) ppp-124.120.161.44.revip2.asianet.co.th[124.120.161.44] 3 Time(s) ppp-124.120.166.45.revip2.asianet.co.th[124.120.166.45] 1 Time(s) ppp-124.120.168.126.revip2.asianet.co.th[124.120.168.126] 1 Time(s) ppp-124.120.182.234.revip2.asianet.co.th[124.120.182.234] 1 Time(s) ppp-124.120.182.236.revip2.asianet.co.th[124.120.182.236] 9 Time(s) ppp-124.120.2.228.revip2.asianet.co.th[124.120.2.228] 1 Time(s) ppp-124.120.2.5.revip2.asianet.co.th[124.120.2.5] 16 Time(s) … อ่านต่อ …

วิธีการบล็อก IP ของ Asianet (True Internet Co.,LTD)

เนื่องจาก True Internet ปล่อยให้มีการส่ง spam ออกมาจากเครือข่าย ซึ่งคิดเป็นประมาณ 40% ของ spam mail ที่ผมได้รับ ผมใช้ postfix ก็เลยบล็อกโดยใช้ smtpd_client_restrictions ดังนี้ ในไฟล์ main.cf smtpd_client_restrictions = check_client_access hash:/etc/postfix/maps/access_client ในไฟล์ access_client ก็ใส่ revip2.asianet.co.th REJECT static.asianet.co.th REJECT เท่านี้ก็จะบล็อกพวก spammer คนไทยได้ระดับหนึ่ง Jul 17 16:39:43 hostname postfix/smtpd[16733]: NOQUEUE: reject: RCPT from ppp-124.120.132.145.revip2.asianet.co.th[124.120.132.145]: 554 : Client host rejected: Access denied; from=< seo@training.com.th> to=< abc@def.com> update … อ่านต่อ …

ISP ของสแปมเมอร์

ตั้งแต่วันที่ 11 มิ.ย. 49 จนถึง 10 ก.ค. 49 ที่ผ่านมา ผมสามารถบล็อกสแปมเมลที่เป็นภาษาไทย ได้ประมาณ 8,989 ฉบับ เฉลี่ยแล้วตกวันละประมาณ 300 ฉบับ เมื่อเข้าไปดูรายละเอียด พบว่ามี 3,559 ฉบับที่ส่งมาจาก IP ของ True Internet Co., Ltd. คิดเป็น 39.6% ของสแปมเมลทั้งหมด ช่วงที่ผ่านมามีสแปมเมลตลกๆ อยู่อันหนึ่ง เขียนอะไรมาก็ไม่ทราบครับ เขียนไป….ไปด้วย…คงเป็น…แนวทาง…การเขียนสแปม…แบบใหม่… ที่สำคัญเขาบอกว่าสแปมเมลนี้ถูกส่งอย่างอัตโนมัติโดยแม่ข่าย(SERVER) หึหึหึ … แล้วก็ถ้าจะบอกยกเลิกไม่รับอีเมลจากเขาเนี่ย ต้องส่งคำขอไปด้วยนะครับ โอ้…ตอนจะส่งมาให้เราเนี่ย ไม่ยักกะขอเราสักคำ แต่ถ้าจะให้ยกเลิกเนี่ยต้องขอเขาก่อนนะ 🙂 อ้อ มีอีกอย่างก็คือ เดี๋ยวนี้สแปมเมอร์จะลงท้ายคล้ายๆ กัน คือ กราบขออภัยที่ส่งอีเมลมารบกวน หวังว่าอีเมลนี้จะเป็นประโยชน์ต่อท่านในอนาคต และ บางทีก็ให้ช่วยส่งต่อให้ด้วย รับจัดแสดงโชว์ มายากลคณะ “XXX” (รองแชมป์ประเทศไทยอันดับ … อ่านต่อ …

Sender Policy Framework (SPF)

ผมหยิบ eweekthailand ขึ้นมาอ่าน มีบทความตอนหนึ่งชื่อ”ระบบตรวจสอบผู้ส่งอีเมลยังไม่สดใส” ในบทความบอกว่ามีงานประชุม Email Authentication Implementation Summit 2005 ซึ่งถูกจัดขึ้นเพราะธรุกิจต่างๆ กำลังได้รับผลกระทบจากพวกสแปม ฟิชชิ่ง และไวรัส เขาบอกว่าในงานมีการพูดถึง Sender Policy Framework (SPF), Sender ID Framework (SIDF) จากไมโครซอฟท์ และ DomainKeys Identification Mail (DKIM) จากความร่วมมือระหว่าง Cisco และ Yahoo! หลักการของทั้ง 3 อย่างนั้นไม่แตกต่างกัน ก็คือใช้วิธีการที่จะตรวจสอบว่าอีเมลที่รับเข้ามาจากนั้น เป็นอีเมลที่มาจากต้นตอจริงๆ ไม่ใช่ถูกปลอมมาจากพีซีของพวกสแปมเมอร์ ซึ่งแน่นอนว่าเจ้าของโดเมนก็ต้องทำการเพิ่มข้อมูลหรือแก้ไขให้ผู้รับสามารถตรวจสอบความถูกต้องได้ DKIM ถูก submit กับ Internet Engineering Task Force (IETF) และถูกพิจาณาในช่วง 31 ก.ค. – 5 ส.ค. … อ่านต่อ …

เอา Postfix มาสู้กับ spammer ไทย

ผมเบื่อพวกสแปมเมลของคนไทยสุดๆ เลยครับ มาทุกวันเรื่องซ้ำๆ เดิมๆ บางที่มาบ่อยมาก เช่น UNSEENForum MGA และ Boston Network ที่จัดสัมนาเรื่องการตลาดอะไรนี่แหละ ลองดูสถิตินะครับ ในช่วงระยะเวลาประมาณ 1 เดือนที่ผ่านมา มีจำนวนสแปมเมลของไทยที่โดนผมบล๊อกไว้ได้ทั้งหมด 1067 ฉบับ เป็นสแปมของ UNSEENForum เสีย 179 ฉบับ คิดเป็น 16.8% ของสแปมเมลทั้งหมด เป็นสแปมของ MGA เสีย 131 ฉบับ คิดเป็น 12.3% ของสแปมเมลทั้งหมด และ Boston Network อีก 99 ฉบับ คิดเป็น 9.3% ของสแปมเมลทั้งหมด แค่ของ 3 เจ้านี้รวมกันก็เกือบ 40% เข้าไปแล้ว นอกจากสัมนาแล้วก็มีพวก ทำอย่างไรถึงจะรวย ลดน้ำหนัก และอื่นๆ ที่ลงท้ายว่า “ต้องขออภัยหากอีเมลนี้รบกวนจิตใจท่าน” … อ่านต่อ …

ติดตั้ง SpamAssassin Rules Emporium (SARE)!

หลังจากติดตั้ง Razor ไปแล้ว คราวนี้ก็มาเพิ่ม rules ให้กับ SA บ้าง โดยใช้ rule จาก http://www.rulesemporium.com/index.html และใช้ script จาก Rules Du Jour (http://www.exit0.us/index.php?pagename=RulesDuJour) ในการทำให้ rules update อัตโนมัติ 1. สร้างไดเรกทอรี /etc/rulesdujour 2. สร้างไฟล์ config ภายใต้ /etc/rulesdujour 3. ในไฟล์ conig ให้ใส่คำสั่งต่อไปนี้เพื่อระบุว่าต้องการใช้ rules อะไรบ้าง TRUSTED_RULESETS=”TRIPWIRE EVILNUMBERS SARE_RANDOM”; 4. สร้าง bash script ชื่อ rules_du_jour และเอา script ไว้ที่ /etc/rulesdujour 5. แก้ค่าตัวแปรใน scirpt rules_du_jour SA_DIR=”/etc/mail/spamassassin” … อ่านต่อ …

ติดตั้ง Razor สู้กับ Spam

ผมยังหาทางสู้กับ spam อยู่ครับ คราวนี้มาติดตั้ง Razor วิธีติดตั้งอยู่ที่นี่ http://razor.sourceforge.net/docs/install.php 1. Download the latest v2 razor-agents tarball from http://sourceforge.net/project/showfiles.php?group_id=3978 2. Download the latest v2 razor-agents-sdk tarball from http://sourceforge.net/project/showfiles.php?group_id=3978 Untar and run: perl Makefile.PL make make test make install If you are not root, run perl Makefile.PL with a “PREFIX=~” option, like so: perl Makefile.PL PREFIX=~ OR 2. Instead … อ่านต่อ …

Update: Postfix + Spamassassin + SPF + Greylist

ผม upgrade postfix ใหม่ ทีแรกนึกว่าจะยุ่งยาก แต่ก็แค่ #make #make upgrade ทีนี้พอลงใหม่ SPF ที่เคยติดตั้งไว้ก็อันตระธารหายไปด้วย พอดีไปเจอวิธีการติดตั้ง postfix + SpamAssassin + Procmail ที่นี่ Postfix + site-wide SpamAssassin + Procmail for individual ‘spam’ mailboxes. (http://www.geekly.com/entries/archives/00000155.htm) วิธีข้างล่างนี้เอามาจากเว็บข้างบนครับ ผมใส่รายละเอียดเพิ่มเติมลงไป 1. Install postfix and get it working for your domain. See http://www.postfix.org for details. 2. Install SpamAssassin. The easiest way to do this … อ่านต่อ …

Spammer โดนพิพากษาจำคุก 9 ปี

เมื่อวันศุกร์ที่ 8 เมษายน 2548 ที่ผ่านมา นาย Jeremy Jaynes อายุ 30 ปี(ซ้ายมือในรูป) เป็นคนแรกที่ถูกศาลของรัฐเวอร์จิเนีย ประเทศสหรัฐอเมริกา พิพากษาให้จำคุกเป็นเวลา 9 ปี ภายใต้กฎหมายการต่อต้านสแปมเมล์ซึ่งประกาศใช้ตั้งแต่ปี พ.ศ. 2546 สิ่งที่นาย Jeremy ทำก็คือ เขาได้ทำการส่งอีเมล์ล์ขยะ เป็นจำนวนมากถึงวันละ 10 ล้านฉบับ โดยใช้อินเทอร์เน็ตความเร็วสูงจำนวน 16 เส้น ด้วยปริมาณการส่งอีเมล์ขยะจำนวนมหาศาลนี้ ส่งผลให้เขาติดอันดับที่ 8 ใน 10 อันดับของผู้ที่ส่งอีเมล์ขยะมากที่สุดของโลก ซึ่งสร้างรายได้ให้เขามากถึง 750,000 เหรียญสหรัฐต่อเดือน หลังจากได้รับฟังคำพิพากษา นาย Jeremy ได้ยื่นอุทรณ์ และเนื่องจากเป็นกฎหมายใหม่ที่เพิ่งจะถูกบังคับใช้ ศาลจึงได้เลื่อนการจำคุกเขาออกไปก่อน โดยได้กำหนดวงเงินประกันไว้สูงถึง 1 ล้านเหรียญสหรัฐ (AP Photo/Abigail Pheiffer)