Yop

Aller au contenu | Aller au menu | Aller à la recherche

mercredi, 16 septembre 2009

munpack - Extraction de pièces jointes

Pour ceux qui se retrouvent avec des sources de mails au format RFC 2822.. et qui veulent extraire les pièces jointes (encodées dans le source en base64)...


$ munpack monSourceDeMail
image01.jpg (image/pjpeg)
image02.jpg (image/pjpeg)
$

Ici les 2 pièces jointes sont extraites et enregistrées dans le répertoire courant. Bien plus rapide que tailler le source à coups de "openssl enc -d base64"


The munpack program (Package "mpack") reads each RFC-822 message filename and writes all non-text MIME parts or split-uuencoded files as files.

samedi, 15 novembre 2008

McColo débranché

  • Résumé de l'histoire

McColo Corp est un hébergeur basé en Californie, surtout connu pour sa part importante dans tout ce qui touche à des activités "cyber criminelles"...
Depuis 4 mois, Security Fix récoltait (auprès de diverses sociétés de sécurité) un maximum d'informations sur McColo pour monter un dossier sur leurs activités.
Lundi, le rapport est envoyé aux 2 principaux providers de McColo...
Mardi, l'un des deux, Hurricane Electric, coupe tous les accès Internet de McColo.. Depuis, impossible de joindre toutes leurs machines...
Et, ce qui était prévu ce produit, une baisse de 2/3 des spams dans le monde.
(Bon, je doute, comme d'autres, que cela ai été aussi simple, mais on n'a pas plus d'infos actuellement).


  • Les chiffres

Ci dessous le graph de SpamCop qui était disponible à la date de ce post à cette adresse.

Il résume assez bien tous les graphs que j'ai pu voir sur le sujet, et correspond exactement à ce que j'ai également contasté ( -75% de spams en moyenne jusqu'à ce jour)) sur les serveurs mails dont j'ai la gestion. (Des serveurs dont le nombre de spams quotidiens ce compte toujours en plusieurs millions).


  • Divers

Biensur, les spams n'étaient pas envoyés depuis les serveurs de McColo (çà aurait un peu trop simple à bloquer).
Par contre, les serveurs qui controlaient toutes les machines infectées dans le monde, elles, étaient chez McColo...
Depuis qu'elles ne peuvent plus joindre leur serveurs "maitres", ces machines infectées n'envoient plus de spams...(pour l'instant)...

Il n'est qu'une question de temps avant que les activités ne reprennent par d'autres providers ou sur d'autres hébergeurs... Mais quand même ça fait drôle de voir à quel point couper un seul hébergeur peut faire chuter instantanément un nombre si important de spams... A quand le retour des spams à leur niveau précédent ?


  • Updates

20Nov2008- L'ISP suédois TeliaSonera a laisser passer du traffic vers McColo en Californie quelques heures.
Ceci semble avoir permis à McColo de reconfigurer ses bots pour pointer vers une IP en Russie...

21Nov2008- Les botnets Asprox/Ozdok/Mega-D sont de retour... pas encore de signes de Srizbi/Rustock..


  • Références

WashingtonPost: Lien 1 Lien 2 Lien 3 Lien 4
F-Secure
Sophos
Un rapport de HostExploit sur McColo.
McColo up again, down again
Le botnet pointe vers la Russie
Le point par CBL

jeudi, 10 juillet 2008

OfflineIMAP - Synchronisation Imap/Maildir

J'ai eu besoin de backuper les mails d'un serveur IMAP.. J'ai utilisé pour cela OfflineIMAP qui permet de synchroniser un serveur IMAP et une boîte au format Maildir.
A noter qu'il permet également de faire l'inverse pour propager des modifications locales vers le serveur (je n'ai pas testé pour l'instant).

Le but initial d'OfflineIMAP étant de pouvoir accéder localement au contenu total de ses mails (et pas seulement les en-têtes) et de pouvoir y faire des modifications qui seront propagées vers le serveur (même sans connexion disponible au moment de la lecture ou des modifications).

La sauvegarde en cours:

Vérification de l'accès aux mails par la commande:

$ mutt -m maildir -f "Backup/tototo"

vendredi, 28 mars 2008

ORDB se rebelle

Ordb a cessé son activité en 2006 (cf ce billet)......Mais depuis 2 jours, leurs serveurs DNS répondent une IP pour tout sous domaine demandé. Ceci a pour conséquence de ne laisser passer aucun mail pour ceux qui auraient oubliés d'enlever relays.ordb.org de la liste des RBLs de leur serveur AntiSpam.

$ dig 1.2.3.4.relays.ordb.org +short
127.0.0.2
$ dig 11.222.3.4444.relays.ordb.org +short
127.0.0.2
$


L'info sur Slashdot:

At noon today (Eastern Standard Time), the long dead ORDB spam identification system began returning false positives as a way to get sleeping users to remove the ORDB query from their spam filters. The net effect: all mail is blocked on servers still configured to use the ORDB service, which was taken out of commission in December of 2006. So if you're not getting any mail, check your spam filter configuration!"

vendredi, 1 février 2008

smtp-sink - multi-threaded SMTP/LMTP test server

Ce billet fait suite à celui présentant smtp-source

smtp-sink permet de recevoir des mails pour des tests, par exemple de performances...

Example:

- Le serveur en écoute:

$ smtp-sink -4c -d "%Y%m%d%H/%M." :2525 1024

- L'envoi de mails par exemple avec smtp-source:

$ smtp-source -c -l 50 -m 5 -f test@example.org -t aaa@bbb.org -S Test -M www.example.org 127.0.0.1:2525

Les mails peuvent êtres stoqués sur le "serveur" dans des fichiers (ou pas).

$ ls 2008012700/
31.02381c00 31.5e1a0566 31.62b49729 31.66cc641f 31.7241899a
$

$ cat 2008012700/31.02381c00
X-Client-Addr: 127.0.0.1
X-Client-Proto: SMTP
X-Helo-Args: www.example.org
X-Mail-Args: <test@example.org>
X-Rcpt-Args: <aaa@bbb.org>
Received: from www.example.org ([127.0.0.1])
by smtp-sink (smtp-sink) with SMTP id 02381c00;
Sun, 27 Jan 2008 00:31:10 +0100 (CET)
From: <test@example.org>
To: <aaa@bbb.org>
Date: Sun, 27 Jan 2008 00:31:10 +0100 (CET)
Message-Id: <31d3.0003.0003@www.example.org>
Subject: Test

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

$

Bref... un "honeypot SMTP" sans risque, possible en 1 ligne...

- page 1 de 7