94 ответов в этой теме

[basid]

by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

И что с того?
Каким боком всё это означает взлом вашего ящика?
Простейший вариант может быть таким.
Если пользоваться веб-интерфейсом из браузера, то во From автоматически подставляется адрес того, кто отправляет письмо, если формировать http-запросы к веб-интерфейсу самостоятельно - можно прописать разную фигню в разные места.

[KWhale]

by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400

И что с того?
Каким боком всё это означает взлом вашего ящика?
Простейший вариант может быть таким.
Если пользоваться веб-интерфейсом из браузера, то во From автоматически подставляется адрес того, кто отправляет письмо, если формировать http-запросы к веб-интерфейсу самостоятельно - можно прописать разную фигню в разные места.

Я уже писал, что при отправке письма, даже внутри Рамблера, заголовки "Received" получаются другие. Именно такой заголовок удалось воспроизвести только у неотправленного письма.

Рамблер вообще не позволяет менять адрес отправителя ("From") при работе через веб-интерфейс. Даже в настройках учётной записи такого нет. Через скрытое поле в форме адрес не передаётся, если вы об этом. Впрочем, допускаю, что могут быть недокументированные параметры CGI-программы.

Наконец, как поставили отметку важности, не пользуясь заголовками?

[mrbelyash]

Что скажете вот по этому письму?
Я его точно не отправлял....а вот мейлы все из моей адресной книги

...

Извините, мы вынуждены информировать Вас, что письмо, которое Вы отправили, не может быть доставлено одному или нескольким адресатам. Оно находится в прикрепленном файле. Переводы и объяснения наиболее распространенных сообщений об ошибках можно посмотреть здесь: http://help.rambler....=25678&id=25702 Данное сообщение создано автоматически почтовой системой. Отвечать на него не нужно. We are sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. This message was created automatically by mail system, don't reply. <web-1800@i.ua>: host mx8.i.ua[91.198.36.54] said: 550 User not found. See http://mail.i.ua/err/2/ (in reply to RCPT TO command) <bezpervogovznosa@bk.ru>: host mxs.mail.ru[94.100.176.20] said: 550 Message was not accepted -- invalid mailbox. Local mailbox bezpervogovznosa@bk.ru is unavailable: user not found (in reply to end of DATA command) <pologiy@mail.ru>: host mxs.mail.ru[94.100.176.20] said: 550 spam message rejected. Please visit http://mail.ru/notspam/ or report details to abuse@corp.mail.ru. Error code: 7A54F868D9B95DF34F657228646D8E2A929FC0C47D44629CFDF76E12151D8667FD5F6CF6CABC932212F1A2A5B4DA18A1DD9C7E0F3154871177C1B01E540E06FD (in reply to end of DATA command) Reporting-MTA: dns; mx-out-wr-1.rambler.ru X-Postfix-Queue-ID: E03EC13FD89D X-Postfix-Sender: rfc822; mrbelyash@rambler.ru Arrival-Date: Thu, 20 Oct 2011 11:26:56 +0400 (MSK) Final-Recipient: rfc822; web-1800@i.ua Original-Recipient: rfc822;web-1800@i.ua Action: failed Status: 5.0.0 Remote-MTA: dns; mx8.i.ua Diagnostic-Code: smtp; 550 User not found. See http://mail.i.ua/err/2/ Final-Recipient: rfc822; bezpervogovznosa@bk.ru Original-Recipient: rfc822;bezpervogovznosa@bk.ru Action: failed Status: 5.0.0 Remote-MTA: dns; mxs.mail.ru Diagnostic-Code: smtp; 550 Message was not accepted -- invalid mailbox. Local mailbox bezpervogovznosa@bk.ru is unavailable: user not found Final-Recipient: rfc822; pologiy@mail.ru Original-Recipient: rfc822;pologiy@mail.ru Action: failed Status: 5.0.0 Remote-MTA: dns; mxs.mail.ru Diagnostic-Code: smtp; 550 spam message rejected. Please visit http://mail.ru/notspam/ or report details to abuse@corp.mail.ru. Error code: 7A54F868D9B95DF34F657228646D8E2A929FC0C47D44629CFDF76E12151D8667FD5F6CF6CABC932212F1A2A5B4DA18A1DD9C7E0F3154871177C1B01E540E06FD (без темы) Открыть отдельноОт кого: Max Sokulsky <mrbelyash@rambler.ru> Кому: admin@virusinfo.info , pastuhal@rambler.ru , web-1800@i.ua , pologiy@mail.ru , it@ok.ru , rudik.alexey@yahoo.com , bezpervogovznosa@bk.ru Дата: Thu, 20 Oct 2011 11:26:56 +0400 http://igizevyje.mad...m/dema3810.html

[basid]

Наконец, как поставили отметку важности, не пользуясь заголовками?

Надоело, честно говоря, переливать из пустого в порожнее ...
Примите как данность - появления в вашем ящике странных писем не означает что кто-то знает пароль вашей учётки.

[basid]

Что скажете вот по этому письму?
Я его точно не отправлял....а вот мейлы все из моей адресной книги

Есть два способа известить о недоставке:
1. Коды ответов SMTP-сесси;
2. D(eliviry)S(tatus)N(otification).
Первое работает "оперативно", т.е. отправляющий MTA указывает получателей, а (первый) принимающий - выносит вердикт (приму/перенаправлю/пошлю лесом).
Второе - позволяет конечному MTA отчитаться о результатах доставки почты в ящик получателя в стандартном формате, пригодном для "удобного представления".
Так вот, в случае спама, получателем отчётов по второму сценарию будет тот, чей адрес был подделан. Не украден или взломан, а именно подделан. И который, конечно же, никаких таких писем "точно не отправлял".
Про "адреса из книги" - даже комментировать не хочу.

[mrbelyash]

Про "адреса из книги" - даже комментировать не хочу.

Ээээ..почему?

[basid]

Ээээ..почему?

Потому, что есть куча троянов, которые воруют персональные данные.
Имея доступ к почте того или иного пользователя легко собрать не просто кучу адресов, а нормальные ассоциативные списки - "ему пишут Иванов и Петров, значит не надо отправлять на этот адрес письма от имени Сидорова".

[KWhale]

Наконец, как поставили отметку важности, не пользуясь заголовками?

Надоело, честно говоря, переливать из пустого в порожнее ...
Примите как данность - появления в вашем ящике странных писем не означает что кто-то знает пароль вашей учётки.

У вас есть возражения по существу представленных мной аргументов?

Я не утверждаю, что кто-то знает мой пароль. Сейчас я, прежде всего, анализирую возможные способы создания письма, подобного рассматриваемому.

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

[basid]

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

Т.е. то, что я процитировал в выдержке whois о вебхостинге из сети которого отправлялось письмо - до вас не дошло?

[KWhale]

Можете ли вы предложить не менее обоснованный альтернативный способ создать такое письмо? Желательно не содержащий труднопроверяемых допущений, вроде взлома серверов Рамблера.

Т.е. то, что я процитировал в выдержке whois о вебхостинге из сети которого отправлялось письмо - до вас не дошло?

Так и что? Я вам выше писал, что эти письма рассылаются из сетей нескольких разных хостингов. Программа, рассылающая письма, вполне может сидеть на хостинге и пользоваться несанкционированным доступом в ящик. Если же у неё нет такого доступа, тогда как она отправляет письма, находясь снаружи сети Рамблера?

[basid]

Так и что? Я вам выше писал, что эти письма рассылаются из сетей нескольких разных хостингов. Программа, рассылающая письма, вполне может сидеть на хостинге и пользоваться несанкционированным доступом в ящик. Если же у неё нет такого доступа, тогда как она отправляет письма, находясь снаружи сети Рамблера?

Ну почему вы такой трудный ...
Вот есть веб-майл. Это набор страничек, предоставляющий браузеру ограниченный доступ к тексту письма. Скажем, набивать адреса в To - можно, а во From - нет.
Ну и что с того? Кто сказал, что отправить почту можно только через браузер?
В примитивном случае будет оправлен HTTP-запрос вида:

POST /ресурс?возможные-параметры HTTP/1.x
...
Content-Type: text/rfc822
 
From: поддельный@отправитель
To: реальный@получатель
X-забыл-как: Urgent
Subject: Нечто заумно-внушительное
 
Дорогой пользователь
Твой ящик взломан - гони бабло

И вы получите ровно то письмо, которое вас так анноит.

P.S. Нет, я не собираюсь обсуждать насколько всё плохо у рамблера и плохо ли там всё вообще.
Я этого просто не знаю и даже не собираюсь узнавать.

Сообщение было изменено Василий А. Сидоров: 24 Октябрь 2011 - 19:44

[KWhale]

Ну почему вы такой трудный ...
Вот есть веб-майл. Это набор страничек, предоставляющий браузеру ограниченный доступ к тексту письма. Скажем, набивать адреса в To - можно, а во From - нет.
Ну и что с того? Кто сказал, что отправить почту можно только через браузер?
В примитивном случае будет оправлен HTTP-запрос вида:

POST /ресурс?возможные-параметры HTTP/1.x
...
Content-Type: text/rfc822
 
From: поддельный@отправитель
To: реальный@получатель
X-забыл-как: Urgent
Subject: Нечто заумно-внушительное
 
Дорогой пользователь
Твой ящик взломан - гони бабло

И вы получите ровно то письмо, которое вас так анноит.

P.S. Нет, я не собираюсь обсуждать насколько всё плохо у рамблера и плохо ли там всё вообще.
Я этого просто не знаю и даже не собираюсь узнавать.

1. При отправке письма получаются другие заголовки "Received".
2. Заголовка повышенного приоритета ("X-забыл-как: Urgent") в моём письме не было.
3. Я снял дамп запроса на отправку и сохранение черновика письма через веб-интерфейс. Поле "From" не отсылается вообще (по-видимому, подставляется потом из базы). Заголовки в тело письма не включаются.

Возможность существования неизвестных мне параметров и режимов работы CGI-программы я не отрицаю, но это не отменяет п. 1 и 2. Если же программа позволяет не отправить, а сохранить письмо в чужой ящик и поставить отметку, то данная версия может быть принята, однако это всё равно несанкционированный доступ, а не просто баловство с подменой адреса отправителя.

[KWhale]

В общем, получаются три основные версии:
1. Несанкционированный доступ в ящик через кражу пароля или других идентификаторов безопасности или обход аутентификации.
2. Доступ к инфраструктурным серверам Рамблера снаружи. Поскольку набор функций и степень защищённости этих серверов неизвестны, возможны любые варианты.
3. Использование уязвимости в веб-клиенте, позволяющей манипулировать чужим ящиком.

[HHH]

4. XSS?

[KWhale]

4. XSS?

Как способ осуществления п. 1, возможно.