Panagiotis

http://msexchangeteam.com/

Καταπληκτικό βιβλίο της Microsoft γραμμένο από τους Russinovich και Solomon. Θεωρώ πως είναι ένα βιβλίο που όλοι πρέπει να έχουμε στη βιβλιοθήκη μας. "Delve inside the Windows kernel with noted internals experts Mark Russinovich and David Solomon, in collaboration with the Microsoft Windows product development team. This classic guide—fully updated for Windows Server 2003, Windows XP, and Windows 2000, including 64-bit extensions—describes the architecture and internals of the Windows operating system. You’ll find hands-on experiments you can use to experience Windows internal behavior firsthand, along with advanced troubleshooting information to help you keep your systems running smoothly and efficiently. Whether you’re a developer or a system administrator, you’ll find critical architectural insights that you can quickly apply for better design, debugging, performance, and support." http://www.microsoft.com/MSPress/books/6710.asp

[Από το http://blogs.technet.com/pamal/] Αυτό είναι το δεύτερο μέρος του αφιερώματος για το email spoofing. Στο πρώτο μέρος περιγράψαμε τι είναι το spoofing και πως κάποιος κακόβουλος χρήστης χρησιμοποιεί αυτή τη μέθοδο για να μας κοροϊδέψει έτσι ώστε να του δώσουμε απόρρητες η εμπιστευτικές πληροφορίες. Σε αυτό το δεύτερο μέρος θα δούμε πως μπορούμε να χρησιμοποιήσουμε το Microsoft Outlook 2003 SP2 έτσι ώστε να καταλάβουμε εάν ένα μήνυμα είναι spoofed.<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Κάθε μήνυμα που φτάνει στο mailbox μας από το internet περιέχει τα λεγόμενα Internet Headers. Αυτά τα headers περιλαμβάνουν πληροφορίες για τη διαδρομή που ακολούθησε το μήνυμα μέχρι να φτάσει στο mailbox μας. Παρακάτω θα δούμε πως μπορούμε να διαβάσουμε τα internet headers ενός μηνύματος για να επιβεβαιώσουμε πως έχει έρθει από εκεί που πραγματικά θα περιμέναμε να έρθει. Επιλέγουμε ένα μήνυμα που θέλουμε να εξετάσουμε και κάνουμε διπλό κλικ για να το ανοίξουμε. Από το μενού επιλέγουμε View και μετά Options . Στη βάση του παραθύρου Message Options μπορούμε να δούμε τα Internet Headers. Για να μπορούμε να τα διαβάσουμε ευκολότερα θα ήταν καλό να τα κάνουμε Copy/Paste στο Notepad. Σχετικά με τα Internet Headers Όταν στέλνετε ένα email από τον υπολογιστή σας, ο mail server με το οποίο επικοινωνεί το Outlook αναλαμβάνει τη δρομολόγηση του μηνύματος στους σωστούς παραλήπτες. Εάν το mailbox του παραλήπτη δεν είναι στον ίδιο server με αυτό του αποστολέα, ο mail server προωθεί το μήνυμα σε κάποιον άλλο mail server. Το μήνυμα ενδέχεται να περάσει από αρκετούς mail servers μέχρι να φτάσει στο mailbox του παραλήπτη. Κάθε φορά που το μήνυμα περνάει από κάποιον mail server, τεχνικές πληροφορίες προστίθενται στα internet headers του μηνύματος. Πληροφορίες όπως ημερομηνία και ώρα που το μήνυμα πέρασε από κάθε σύστημα, την έκδοση του email client που χρησιμοποίησε ο αποστολέας κλπ. Ας δούμε ένα παράδειγμα των Internet Headers ενός μηνύματος που στέλνει η [email protected] στον [email protected]. Στο παρακάτω παράδειγμα έχουμε αριθμήσει όλες τις γραμμές έτσι ώστε να τις περιγράψουμε μία προς μία. Να σημειώσουμε σε αυτό το σημείο πως στην πραγματικότητα ίσως να δείτε περισσότερες γραμμές αλλά οι παρακάτω είναι οι ποιο κοινές. 1) Microsoft Mail Internet Headers Version 2.0 2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:39:22 -0800 3) Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:38:49 -0800 4) From: "Kelly Weadock" <[email protected]> 5) To: <[email protected]> 6) Subject: Review of staff assignments 7) Date: Wed, 15 Dec 2004 13:38:31 -0800 8) MIME-Version: 1.0 9) Content-Type: multipart/mixed; 10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510 11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA== 13) Return-Path: [email protected] 14) Message-ID: <[email protected]> 15) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC] Ανάλυση του Internet Header Microsoft Mail Internet Headers Version 2.0 Αυτός ο header μπαίνει από το Outlook του αποστολέα. Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:39:22 -0800 Αυτός ο header μας ενημερώνει πως κάποιος υπολογιστής με όνομα mail.litwareinc.com πήρε το μήνυμα τον υπολογιστή με όνομα mail.proseware.com στις 13:39:22 την 15η Δεκεμβρίου 2004. Λογικά αυτοί οι δύο υπολογιστές είναι mail servers. Received: from mail ([10.54.108.23] RDNS failed) by mail.litware.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:38:49 -0800 Αυτός ο header μας ενημερώνει πως με τη σειρά του, ο mail.litware.com πήρε το μήνυμα από κάποιον υπολογιστή με όνομα mail στις 13:38:49 την ίδια ημέρα. Από τη στιγμή που στη συνέχεια δεν έχουμε κάποιο άλλο header που να ξεκινάει με “Received:” θεωρούμε πως ο υπολογιστής με όνομα mail και διεύθυνση IP 10.54.108.23 είναι ο υπολογιστής από τον οποίο ξεκίνησε το μήνυμα (αν και αυτό δεν πάντοτε έτσι καθώς υπάρχουν τρόποι να γίνει απόκρυψη του υπολογιστή που αρχικοποιεί το μήνυμα). From: "Kelly Weadock" [email protected] Ο συγκεκριμένος header μας ενημερώνει πως το μήνυμα φαίνετε να έχει έρθει από κάποιο χρήστη με διεύθυνση email [email protected] To: <[email protected]> Εδώ βλέπουμε το όνομα του παραλήπτη του μηνύματος. Subject: Review of staff assignments Αυτός ο header περιέχει το subject του μηνύματος. Date: Wed, 15 Dec 2004 13:38:31 -0800 Ο συγκεκριμένος header περιέχει την ημερομηνία που ο αποστολέας έστειλε το μήνυμα. Η ημερομηνία αυτή έγινε generate στον υπολογιστή του αποστολέα έτσι αν ο αποστολέας είχε λανθασμένη ημερομηνία στον υπολογιστή του αυτό θα φανεί στον συγκεκριμένο header. MIME-Version: 1.0 Αυτός ο header μπαίνει από το Outlook και περιγράφει την έκδοση του πρωτοκόλλου MIME που χρησιμοποίησε ο αποστολέας Content-Type: multipart/mixed; Ο σκοπός του συγκεκριμένου header είναι να δώσει οδηγίες στον email client του παραλήπτη για να μπορέσει να κάνει format το μήνυμα σωστά. X-Mailer: Microsoft Office Outlook, Build 11.0.5510 Αυτός ο header αναφέρει την ακριβή έκδοση του Outlook που χρησιμοποιήθηκε για να σταλεί αυτό το μήνυμα. X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 Περισσότερες πληροφορίες για τον email client που χρησιμοποίησε ο αποστολέας Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA== Αυτός ο header χρησιμοποιείτε για να γίνει λογική σύνδεση μηνύματος που ανήκουν στο ίδιο thread. Αυτό μπορεί να χρησιμοποιηθεί για παράδειγμα από το Outlook όταν κάνουμε group τα μηνύματα βάση conversation (από το κεντρικό μενού του Outlook επιλέγουμε View – Arrange by – Conversation). Return-Path: [email protected] Ο συγκεκριμένος header μας ενημερώνει πως μπορούμε να επικοινωνήσουμε με τον αποστολέα (πχ όταν επιλέγουμε να του στείλουμε ένα reply). Message-ID: [email protected] Κάθε μήνυμα παίρνει ένα message-ID από τον server του αποστολέα. Ο μήνυμα κρατάει το ίδιο message id καθ’ όλη τη διάρκεια της ζωής του. Επειδή ακριβώς το μήνυμα μπαίνει από τον originating mail server, συνήθως θα παρατηρήσουμε ότι διατηρεί και κάποιο χαρακτηριστικό γνώρισμα (πχ @mail.litware.com) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC] Αυτός είναι ένας header που μπαίνει στο μήνυμα την πρώτη φορά που θα περάσει από έναν Microsoft Exchange Server. Πως θα ήταν τα Internet Headers ενός spoofed μηνύματος; Τώρα που περιγράψαμε τα βασικά ενός internet header ας δούμε πως θα φαινόταν ο internet header ενός spoofed μηνύματος. Στο παρακάτω παράδειγμα ένας κακόβουλος χρήστης στέλνει ένα spoofed μήνυμα στον [email protected] ως [email protected]. Η λογική που πρέπει να ακολουθήσουμε είναι πως κοιτάμε τους internet headers για να διαπιστώσουμε αν υπάρχουν πληροφορίες που θεωρούμε “ξένες” προς το δικό μας δίκτυο. 1) Microsoft Mail Internet Headers Version 2.0 2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:39:22 -0800 3) Received: from spoofer ([10.10.105.123]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:38:49 -0800 4) From: "Company CEO" <[email protected]> 5) To: <[email protected]> 6) Subject: Please send me my dialup password at [email protected] 7) Date: Wed, 15 Dec 2004 13:38:31 -0800 8) MIME-Version: 1.0 9) Content-Type: multipart/mixed; 10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510 11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA== 13) Message-ID: <[email protected]> 14) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC] Παρατηρούμε τα εξής: Α) Οι headers στις γραμμές 2 και 3 αναφέρουν δρομολόγηση από servers που δεν θα έπρεπε να είναι εκεί. Το μήνυμα θεωρητικά είναι εσωτερικό (από τον [email protected] προς τον [email protected]) έτσι δεν υπάρχει κανένας λόγος να βλέπουμε άσχετους προς το δίκτυο μας servers. Β) Ο header στη γραμμή 13 (το message id) περιέχει κάποιο χαρακτηριστικό που είναι “ξένο” προς το δίκτυο μας. Η ίδια λογική μπορεί να εφαρμοστεί ακόμα και σε μηνύματα που δεν είναι εσωτερικά αλλά από το Internet. Εκεί απλά ψάχνουμε για headers που αναφέρουν επίσης “ξένες” προς το originating δίκτυο πληροφορίες. Ας δούμε ένα παράδειγμα όπου λαμβάνουμε ένα μήνυμα όπου αποστολέας φέρετε να είναι η τεχνική υποστήριξη της Microsoft με διεύθυνση email [email protected] 1) Microsoft Mail Internet Headers Version 2.0 2) Received: from mail.litwareinc.com ([10.54.108.101]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:39:22 -0800 3) Received: from spoofer ([10.10.105.123]) by mail.spoofers.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 15 Dec 2004 13:38:49 -0800 4) From: "Microsoft Technical Support" <[email protected]> 5) To: <[email protected]> 6) Subject: Change in security policy requires that you change your Hotmail password to p@ssw0rd 7) Date: Wed, 15 Dec 2004 13:38:31 -0800 8) MIME-Version: 1.0 9) Content-Type: multipart/mixed; 10) X-Mailer: Microsoft Office Outlook, Build 11.0.5510 11) X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 12) Thread-Index: AcON3CInEwkfLOQsQGeK8VCv3M+ipA== 13) Message-ID: <[email protected]> 14) X-OriginalArrivalTime: 15 Dec 2004 21:38:50.0145 (UTC) FILETIME=[2E0D4910:01C38DDC] Για να διαπιστώσουμε αν αυτό το μήνυμα είναι spoofed ακολουθούμε την ίδια λογική με το προηγούμενο παράδειγμα. Στο τρίτο μέρος αυτού το αφιερώματος θα δούμε πως ο Microsoft Exchange Server 2003 μπορεί να μας προστατέψει από τέτοιες επιθέσεις.

Καλησπέρα Γιώργο, Λογικά ο EventViewer θα σου λέει κάτι παραπάνω στο Application Log για τον λόγο που δεν μπορεί να σηκωθεί το Information Store. Μήπως δουλεύεις πάνω σε cluster; Αν ναι τότε θα πρέπει να κάνεις δεξί click πάνω στο group του Exchange και να πεις upgrade. Είναι λίγο διαφορετικό το installation από αυτό του Exchange 2000 και γι' αυτό αρκετοί χρήστες "την πάτησαν" σε clustered εγκαταστάσεις. Αν δεν έχεις cluster τότε απλά πες μας τι βλέπεις στον event viewer. Υπάρχει πιθανότητα να μην μπήκε σωστά το Service Pack. Ξανακατέβασε μία νέα κόπια (αν το είχες κάνει download) και ξανακάνε εγκατάσταση. Βεβαιώσου πως έχεις κάνει disable το antivirus γιατί καμιά φορά αυτό είναι που δημιουργεί τα προβλήματα.

Καταπληκτικό εργαλείο για να κάνετε bulk αλλαγές σε χρήστες. http://workspaces.gotdotnet.com/ADModify http://blogs.technet.com/exchange/archive/2004/08/04/208045.aspx Αν μπορέσετε να μάθετε και πως να φτιάχνετε LDAP filters τότε η ζωή σας θα γίνει τρομερά εύκολη. Υπάρχει ένα site στο msdn που έχει το syntax και πολλά παραδείγματα σχετικά με τα LDAP Filters http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/search_filter_syntax.asp Υπάρχει και σχετικό RFC (2254) το οποίο θα βρείτε σε μορφή pdf εδώ. Παναγιώτης Μαλακούδης

Από το Pamal's weblog: Message Encoding στο Outlook Web Access 2003 Η Θεωρία…<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Το Outlook Web Access, σε αντίθεση με το παραδοσιακό Outlook δεν έχει φαινομενικά κάποιο σημείο στο οποίο να μπορούμε να ορίσουμε το encoding των μηνυμάτων που στέλνουμε. Άρα η ερώτηση είναι πως μπορούμε να το ελέγξουμε. Η απάντηση είναι: Με τη λίστα Language Preference του Internet Explorer. Όταν συνδεόμαστε στο Outlook Web Access, o web server (IIS) ζητάει από τον client (Internet Explorer) να μάθει ποια γλώσσα θεωρεί σαν πρωτεύουσα (χρησιμοποιώντας τον ειδικό header HTTP_ACCEPT_LANGUAGE). Αυτό που θα κάνει ο client είναι να κοιτάξει ποια γλώσσα είναι πρώτη στη λίστα του Language Preference (Tools – Internet Options – Languages) και να στείλει την απάντηση στον web server. Σαν αποτέλεσμα ο web server θα βάζει το αντίστοιχο encoding στα εξερχόμενα μηνύματα. Αν για παράδειγμα η πρώτη στη λίστα γλώσσα είναι τα Ελληνικά (el) τότε τα εξερχόμενα μηνύματα θα έχουν ISO-8859-7 encoding. Αν η πρώτη στη λίστα γλώσσα είναι τα Αγγλικά (en) τότε τα εξερχόμενα μηνύματα θα έχουν ISO-8859-1 encoding. Τόσα απλά. Κενή Λίστα; Τι συμβαίνει όμως όταν δεν υπάρχει καμία γλώσσα στη λίστα; O Internet Explorer δεν βγάζει κάποιο μήνυμα λάθους άμα βγάλετε όλες τις γλώσσες από τη λίστα άρα αυτό είναι κάτι που μπορεί να συμβεί. Σε αυτή την περίπτωση ο Internet Explorer θα ορίσει σαν preferred language τη γλώσσα που θα δει σαν default User Locale των Windows (στα XP αυτό το βλέπετε από το Control Panel – Regional and Language Options – Standards and Formats). Αν για παράδειγμα έχετε σαν default User Locale τα Ελληνικά (Greek) τότε ο Internet Explorer θα θεωρήσει πως σαν preferred language έχει το el. Αν αντίστοιχα έχετε English (United States), ο Internet Explorer θα αναγνωρίσει την γλώσσα en-us. Το registry key AcceptLanguage… Όταν αλλάζουμε τη λίστα στο Language Preference ενημερώνετε ένα κλειδί στη registry το συστήματος. Το κλειδί είναι το AcceptLanguage (τύπου “Reg_Sz”) και βρίσκετε στο HKEY_Current_User\Software\Microsoft\Internet Explorer\International. Ο παρακάτω πίνακας δείχνει τη τιμή του AcceptLanguage ανάλογα με τη λίστα του Language Preference. Language Preference AcceptLanguage Greek el English en Πρώτα Greek και μετά English el,en;q=0.5 Πρώτα English και μετά Greek en,el;q=0.5 Άδεια λίστα Το κλειδί είναι κενό Στην περίπτωση που υπάρχουν περισσότερες από μία γλώσσες στη λίστα, κάθε γλώσσα θα πρέπει να βαθμολογηθεί. Γι’ αυτό όπως βλέπετε στον παραπάνω πίνακα υπάρχει η παράμετρος q (Quality). Το q είναι ένα κλάσμα και μπορεί να πάρει τιμές από το 0 μέχρι το 1. Όσο μεγαλύτερο το q τόσο μεγαλύτερο και το preference. Αν κάποια γλώσσα δεν έχει q τότε θεωρούμε ότι έχει q = 1. Ας δούμε ένα παράδειγμα: en-us,ja;q=0.8,fr;q=0.5,de;q=0.3 Η παραπάνω λίστα μεταφράζετε ως εξής… Πρώτη γλώσσα είναι το en-us με q=1.0 (μιας και δεν έχει καθόλου q) Δεύτερη γλώσσα είναι το ja με q=0.8 Τρίτη γλώσσα είναι το fr με q=0.5 Τέταρτη γλώσσα είναι το de με q=0.3 Παρατηρήστε την τελευταία περίπτωση όπου η λίστα Preferred Language είναι κενή. Το registry key υπάρχει αλλά δεν έχει περιεχόμενα. Σε αυτή την περίπτωση θεωρούμε πως πάλι η γλώσσα που θα στείλει ο Internet Explorer στον server είναι η γλώσσα που έχουμε σαν default user locale. Αυτό μπορούμε να το επιβεβαιώσουμε αν απλά σβήσουμε το κλειδί και δούμε τι θα κάνει ο Internet Explorer: Σβήστε το registry key Στον Internet Explorer κάντε click στο Tools – Internet options – Languages Θα δείτε πως η γλώσσα που αντιστοιχεί στο default user locate έχει προστεθεί στη λίστα αυτόματα ενώ ταυτόχρονα ενημερώθηκε και το AcceptLanguage registry key. Πηγές: “Ask Dr. International” blog (Column #12) How To Hard Code the Language of OWA Interface Exchange Web Forms - Registry Language Fallback

Χαχαχα... Απίστευτο... :-) Δίνει άλλη διάσταση στο πρόβλημα του "bandwidth bottleneck"

Από το Pamal's WebLog Περί email-spoofing Αυτό είναι το πρώτο μέρος ενός αφιερώματος που μιλάει για τις μεθόδους προστασίας από κακόβουλους χρήστες που θα προσπαθήσουν να μας κοροϊδέψουν μέσω email έτσι ώστε να τους δώσουμε απόρρητες η εμπιστευτικές πληροφορίες. Σε αυτό το πρώτο μέρος θα αναφέρουμε λεπτομέρειες για το τι είναι και πως δημιουργείτε ένα spoofed μήνυμα. Στο δεύτερο μέρος θα δούμε πως σαν χρήστες μπορούμε να καταλάβουμε αν ένα μήνυμα είναι spoofed χρησιμοποιώντας το Outlook 2003 ενώ στο τρίτο μέρος θα δούμε πως ο Microsoft Exchange Server 2003 μπορεί να μας προστατέψει από τέτοιες επιθέσεις.<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> Spoofing ονομάζουμε τη μέθοδο κατά την οποία ένας κακόβουλος χρήστης παραποιεί τη διεύθυνση του αποστολέα σε ένα ηλεκτρονικό μήνυμα που στέλνει ο ίδιος με απώτερο σκοπό να εκμαιεύσει πληροφορίες ή να αναγκάσει το θύμα να κάνει κάτι (όπως πχ να καταστρέψει κάποιο έγγραφο). Για παράδειγμα το πραγματικό μου email είναι [email protected] αλλά τη στιγμή που στέλνω το μήνυμα, αλλάζω την email διεύθυνση μου σε [email protected]. Όσο περίεργο και αν φαίνεται αυτό δεν αποτελεί παραβίαση του SMTP Standard. Το πρωτόκολλο SMTP από τη φύση του δεν παρέχει κάποια ασφάλεια (βλ. RFC 2821 - section 7.1 [1]), έτσι οποιοσδήποτε μπορεί να αλλάξει το πεδίο From: του ηλεκτρονικού του μηνύματος. Η πρακτική αυτή χρησιμοποιείτε συνήθως από κακόβουλα άτομα που θέλουν να εκμαιεύσουν πληροφορίες από ανυποψίαστους χρήστες (πχ κωδικούς ή κάποια απόρρητη πληροφορία). Έχουν αναπτυχθεί διάφορες συμπληρωματικές μέθοδοι για να αποτρέψουν αυτές τις επιθέσεις αλλά θα τις συζητήσουμε στο τρίτο μέρος αυτού του αφιερώματος. Στην απλούστερη μορφή της επίθεσης, το κακόβουλο άτομο (από τώρα και στο εξής ο “cracker”) ανοίγει μία σύνδεση στην πόρτα επικοινωνίας του SMTP (tcp-25) server του θύματος και δίνει τις εξής εντολές: [Cracker] telnet victims.mailserver.org [server] 220 victims.mailserver.org [Cracker] helo otidipote.org [server] 250 victims.mailserver.org Hello otidipote.org [crackers ip sender], pleased to meet you [Cracker] mail from:[email protected] [server] 250 [email protected]... Sender ok [Cracker] rcpt to:[email protected] [server] 250 [email protected]... Recipient ok [Cracker] data [server] 354 Enter mail, end with "." on a line by itself [Cracker] From: [email protected] [Cracker] To: [email protected] [Cracker] Subject: Please send me the password [Cracker] <μία κενή γραμμή> [Cracker] Hello my employee. I forgot the password for our banking application and I’m abroad with no access to the corporate network. Please send me the password to my hotmail account at [email protected]. [Cracker] Thank you [Cracker] <CR><LF>.<CR><LF> (αυτή η ακολουθία ουσιαστικά είναι ένα enter (Carriage Return – Line Feed), μετά μία τελεία και μετά πάλι ένα enter. Δεν θα γράψετε τα CR κλπ αλλά απλά θα πατήσετε την παραπάνω ακολουθία πλήκτρων) [server] 250 Message accepted for delivery Θα πρέπει να σημειώσουμε πως τα στοιχεία αποστολέα και παραλήπτη που βλέπουμε στον mail client μας (πχ Outlook 2003) είναι αυτά που μπήκαν μετά το κομμάτι DATA έτσι στο παραπάνω παράδειγμα βλέπουμε πως ο cracker άλλαξε το From: έτσι ώστε να φαίνεται σαν το αφεντικό του θύματος. Όπως είναι λογικό, το email του recipient δεν μπορεί να είναι άσχετο. Δεν μπορούμε για παράδειγμα να κάνουμε spoofing στον mail server της Microsoft και σαν παραλήπτη να βάλουμε κάποιο χρήστη του οποίου το email τελειώνει σε @asxeto-domain.net. Επειδή τώρα το spoofing δεν σημαίνει απαραίτητα πως ο cracker θα μπορεί να διαβάζει τα μηνύματα του αφεντικού βλέπουμε πως προσπαθεί να κοροϊδέψει το θύμα έτσι ώστε να πάρει την απάντηση σε κάποιο άλλο email account (hotmail, gmail κλπ). Αυτό το “τρικ” έχει ονομαστεί “social engineering” [2] γιατί ουσιαστικά χειραγωγείς το θύμα. Ένας ανυποψίαστος χρήστης δεν έχει λόγο να αμφισβητήσει την εντολή του προϊσταμένου του. Στο επόμενο μέρος αυτού του αφιερώματος θα δούμε πως μπορεί κάποιος χρήστης να δει μέσα από το Outlook αν ένα μήνυμα είναι spoofed ή όχι. [1] Request for Comment 2821 – Simple Mail Transfer Protocol [2] Wikipedia – Social Engineering (Computer Security) Παναγιώτης Μαλακούδης Rapid Response Engineer Microsoft Premier Field Engineering

Το "The Internet Protocol Journal" είναι μία προσπάθεια της Cisco η οποία μετράει ήδη αρκετά χρόνια. Προτείνω σε όλους τους φίλους του AutoExec να κάνουν subscribe είτε στην ηλεκτρονική είτε στην έντυπη έκδοση (δεν έχει κόστος). Το τελευταίο τεύχος έχει δύο πολύ καλά άρθρα σχετικά με το anti-spamming και τις διάφορες μεθόδους αντιμετώπισης αυτού του προβλήματος. Άρθρο 1 - Challenges in Anti-Spam Efforts Άρθρο 2 - Taking Another Look at the Spam Problem Το τελευταίο τεύχος σε pdf

Απολαυστικό :-) Και φυσικά θα πρέπει να στρώσεις το δάπεδο και με το ειδικό "Tux" χαλί ;-) http://www.hellug.gr/archive/photos/oct-2003-infosystem/DSCF0091.JPG/view

Να προσθέσω και το τρομερό feature (αν χρησιμοποιείς IMF) που σου επιτρέπει να βλέπεις το Spam Confidence Level (SCL rating) των μυνημάτων σου. Exposing the Spam Confidence Level (SCL) in OWA http://blogs.technet.com/exchange/archive/2004/05/27/143297.aspx

Αρχικά θα πρότεινα να χρησιμοποιήσεις τον Exchange Best Practices Analyzer για να δεις τι θα σου πει. Θα τον βρείς στο http://www.exbpa.com/ (κάθε φορά που ξεκινάει προσπαθεί να κάνει update από το internet. Καλό θα ήταν να το αφήσεις να πάρει τα τελευταία best practices). Μία περίπτωση είναι να έχεις κάποιο corruption στην database του Exchange. Δοκίμασε να κάνεις ένα logical integrity check στο priv1.edb (έτσι λογικά θα είναι το όνομά του αν έχεις μονάχα ένα store). Θα πρέπει πρώτα να κάνεις dismount το mailbox store και μετά να δώσεις την εντολή isinteg -fix -s servername -test alltests (το isinteg δεν είναι στο path by-default). Θα πρέπει να το τρέξεις τόσες φορές ώστε να σταματήσει να κάνει report για warnings και errors. Από εκεί και πέρα θα πρέπει ίσως να κοιτάξεις και το configuration του antivirus. Δεν θα πρέπει να σκανάρει directories του Exchange και ορισμένα του IIS (περισσότερα στο http://support.microsoft.com/kb/245822/). Κάτι τέτοιο μπορεί να δημιουργήσει corruption στα message queues και γι' αυτό να τα ξαναστέλνει ο Exchange όταν τον κάνεις reboot.