====== Systém UCEPROT sítě CESNET2 ====== Cílem projektu [[http://www.uceprotect.net/|UCEPROTECT®-Network]] (dále jen 'UCEPROTECT') je zastavit šíření nevyžádané hromadné pošty - spamu. UCEPROTECT provozuje celosvětovou síť serverů, které zaznamenávají přijatý spam, jiné síťové útoky a špatně nakonfigurované poštovní servery. Informace o přijatém spamu a jiných síťových útocích zařazují do databáze a zveřejňují je např. prostřednictvím RBL (Real-Time Blackhole List) nebo DNS serveru. Podrobné informace o schopnostech UCEPROTECTu i návody k vyřešení problémů lze najít např. [[http://www.uceprotect.net/en/index.php?m=4&s=0|zde]]. UCEPROTECT provozuje i službu [[http://www.backscatterer.org/|BACKSCATTERER]]; ta zaznamenává a publikuje informace o špatně nakonfigurovaných poštovních serverech, které: * rozesílají zprávy typu [[http://www.backscatterer.org/?target=bounces|`misdirected bounce']] - typicky poté, co přijmou poštu pro neexistující poštovní adresu a teprve poté chtějí odesilatele informovat, že adresa je neplatná, místo aby ji odmítly už v průběhu SMTP handshake; * provozují [[http://www.backscatterer.org/?target=autoresponders|autorespondery]], které bezhlavě odpovídají na každý přijatý dopis; * při kontrole platnosti adresy odesilatele přijímaných dopisů používají metodu tzv. [[http://www.backscatterer.org/?target=sendercallouts|Sender Address Verification (Sender Callout)]]. Tato metoda sice může odhalit neplatnou adresu odesilatele, ale: * zatěžuje poštovní server; * nedokáže odhalit, že adresa je zfalšovaná (ukradená); * nelze ji odlišit od slovníkového útoku spammera. Bezpečnostní tým [[http://csirt.cesnet.cz/|CESNET-CERTS]] má přístup k informacím UCEPROTECTu o IP adresách strojů patřících do sítě CESNET2, které jsou uvedeny v seznamech RBL jako spamující, zavirované nebo špatně nakonfigurované. Systém CESNET UCEPROT tyto informace každý všední den rozesílá příslušným správcům sítí, kteří za tyto stroje odpovídají. Hlášení jsou setříděna podle IP adres strojů a v případě spamu nebo jiného útoku i podle času detekce nejnovějšího incidentu. Časové pásmo = GMT. Typ problému, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto: ==== B - Backscatter Report ==== Hlásí, že BACKSCATTERER před maximálně 28 dny detekoval špatně nakonfigurovaný poštovní server. Stroj bude ze seznamu RBL automaticky vyřazen po 28 dnech od posledního detekovaného incidentu. Podrobné informace o problémech typu B na jednotlivých strojích je prozatím nutné zjišťovat ručně [[http://www.backscatterer.org/?target=test|zde]], protože BACKSCATTERER dosud neimplementoval slíbené rozesílání těchto dat a neumožňuje jejich hromadné stahování. Význam polí záznamu: IP adresa stroje | kód=B Příklad: 192.0.2.235 B Text zobrazený na uvedené adrese může vypadat asi takto: This IP IS CURRENTLY LISTED in our Database. Please note that this listing does NOT mean you are a spammer, it means your mailsystem is either poorly configured or it is using abusive techniques. This kind of abuse is known as BACKSCATTER (Misdirected Bounces or Misdirected Autoresponders or Sender Callouts). Click the links above to get clue how and why to stop that kind of abuse. To track down what happened investigate your smtplogs near 28.07.2012 03:29 CEST +/-1 minute. You will either find that your system tried to send misdirected bounces or misdirected autoresponders to claimed but in reality faked senders, or your system tried sender verify callouts against our members near that time. So you should look for outgoing emails that have a NULL SENDER or POSTMASTER in MAIL FROM. Reading your logs carefully it shouldn't be a big deal to figure out what caused or renewed your listing. History: 27.02.2009 14:11 CET listed 26.05.2009 19:09 CEST expired 30.11.2009 21:18 CET listed 19.01.2010 14:25 CET expired 06.02.2010 02:14 CET listed 21.05.2010 00:25 CEST expired 26.09.2011 22:56 CEST listed 29.10.2011 14:25 CEST expired 06.02.2012 11:23 CET listed 05.03.2012 11:25 CET expired 04.05.2012 17:36 CEST listed 01.06.2012 18:25 CEST expired 04.06.2012 04:54 CEST listed 03.07.2012 04:25 CEST expired 28.07.2012 03:29 CEST listed A total of 1 Impacts were detected during this listing. Last was 28.07.2012 03:29 CEST +/- 1 minute. Earliest date this IP can expire is 25.08.2012 03:29 CEST. ==== S - Spam Report ==== Hlášení o spamu nebo o jiném útoku pocházejícím např. ze zavirovaného počítače. Uvádí IP adresu stroje, čas nejnovějšího detekovaného incidentu a také čas, kdy bude tento stroj automaticky vyřazen ze seznamu, pokud UCEPROTECT nedetekuje žádný další incident. Význam polí záznamu: IP adresa stroje | čas detekce incidentu | čas vyřazení ze seznamu | kód=S Příklad: 192.0.2.245 | 2012-04-26_12:11:09 | 2012-05-03_15:00 | S ---- CESNET-CERTS hodlá projekt UCEPROT dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě své připomínky nebo stížnosti na tuto adresu [[uceprot@cesnet.cz]]. CESNET UCEPROT už nyní nabízí tyto možnosti: * posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy; * ignorovat jednotlivé IP adresy (těch strojů, o kterých si nepřejete dostávat žádná hlášení); * ignorovat celé sítě (pokud nemáte zájem o zasílání informací týkajících se vaší sítě). ---- Ode dne 18.9.2014 se systém UCEPROT sítě CESNET2 snaží rozesílat hlášení bez zbytečných opakování. Znamená to, že: * hlášení o SPAMu posílá jen 1*, a to okamžitě po přijetí zprávy od UCEPROTECTu * hlášení o BACKSCATTERu posílá celkem 2*, a to: * okamžitě po stažení souboru od BACKSCATTERERu (v Po - Pá ráno) * následující pondělí ráno (tj. se zpožděním 3 - 10 dní od stažení souboru). ---- Všechny zprávy, které systém CESNET UCEPROT rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.