cs:services:uceprot

Systém UCEPROT sítě CESNET2

Cílem projektu UCEPROTECT®-Network (dále jen 'UCEPROTECT') je zastavit šíření nevyžádané hromadné pošty - spamu. UCEPROTECT provozuje celosvětovou síť serverů, které zaznamenávají přijatý spam, jiné síťové útoky a špatně nakonfigurované poštovní servery. Informace o přijatém spamu a jiných síťových útocích zařazují do databáze a zveřejňují je např. prostřednictvím RBL (Real-Time Blackhole List) nebo DNS serveru.

Podrobné informace o schopnostech UCEPROTECTu i návody k vyřešení problémů lze najít např. zde.

UCEPROTECT provozuje i službu BACKSCATTERER; ta zaznamenává a publikuje informace o špatně nakonfigurovaných poštovních serverech, které:

  • rozesílají zprávy typu `misdirected bounce' - typicky poté, co přijmou poštu pro neexistující poštovní adresu a teprve poté chtějí odesilatele informovat, že adresa je neplatná, místo aby ji odmítly už v průběhu SMTP handshake;
  • provozují autorespondery, které bezhlavě odpovídají na každý přijatý dopis;
  • při kontrole platnosti adresy odesilatele přijímaných dopisů používají metodu tzv. Sender Address Verification (Sender Callout). Tato metoda sice může odhalit neplatnou adresu odesilatele, ale:
    • zatěžuje poštovní server;
    • nedokáže odhalit, že adresa je zfalšovaná (ukradená);
    • nelze ji odlišit od slovníkového útoku spammera.

Bezpečnostní tým CESNET-CERTS má přístup k informacím UCEPROTECTu o IP adresách strojů patřících do sítě CESNET2, které jsou uvedeny v seznamech RBL jako spamující, zavirované nebo špatně nakonfigurované. Systém CESNET UCEPROT tyto informace každý všední den rozesílá příslušným správcům sítí, kteří za tyto stroje odpovídají. Hlášení jsou setříděna podle IP adres strojů a v případě spamu nebo jiného útoku i podle času detekce nejnovějšího incidentu. Časové pásmo = GMT.

Typ problému, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

B - Backscatter Report

Hlásí, že BACKSCATTERER před maximálně 28 dny detekoval špatně nakonfigurovaný poštovní server. Stroj bude ze seznamu RBL automaticky vyřazen po 28 dnech od posledního detekovaného incidentu. Podrobné informace o problémech typu B na jednotlivých strojích je prozatím nutné zjišťovat ručně zde, protože BACKSCATTERER dosud neimplementoval slíbené rozesílání těchto dat a neumožňuje jejich hromadné stahování.

Význam polí záznamu:

IP adresa stroje | kód=B

Příklad:

192.0.2.235 B

Text zobrazený na uvedené adrese může vypadat asi takto:

This IP IS CURRENTLY LISTED in our Database.

Please note that this listing does NOT mean you are a spammer, it means
your mailsystem is either poorly configured or it is using abusive
techniques. This kind of abuse is known as BACKSCATTER (Misdirected Bounces
or Misdirected Autoresponders or Sender Callouts). Click the links above to
get clue how and why to stop that kind of abuse.

To track down what happened investigate your smtplogs near 28.07.2012 03:29
CEST +/-1 minute.

You will either find that your system tried to send misdirected bounces or
misdirected autoresponders to claimed but in reality faked senders, or your
system tried sender verify callouts against our members near that time.

So you should look for outgoing emails that have a NULL SENDER or POSTMASTER
in MAIL FROM.

Reading your logs carefully it shouldn't be a big deal to figure out what
caused or renewed your listing.

History:
27.02.2009 14:11 CET	listed	
26.05.2009 19:09 CEST	expired	
30.11.2009 21:18 CET	listed	
19.01.2010 14:25 CET	expired	
06.02.2010 02:14 CET	listed	
21.05.2010 00:25 CEST	expired	
26.09.2011 22:56 CEST	listed	
29.10.2011 14:25 CEST	expired	
06.02.2012 11:23 CET	listed	
05.03.2012 11:25 CET	expired	
04.05.2012 17:36 CEST	listed	
01.06.2012 18:25 CEST	expired	
04.06.2012 04:54 CEST	listed	
03.07.2012 04:25 CEST	expired	
28.07.2012 03:29 CEST	listed	

A total of 1 Impacts were detected during this listing. Last was
28.07.2012 03:29 CEST +/- 1 minute.
Earliest date this IP can expire is 25.08.2012 03:29 CEST.

S - Spam Report

Hlášení o spamu nebo o jiném útoku pocházejícím např. ze zavirovaného počítače. Uvádí IP adresu stroje, čas nejnovějšího detekovaného incidentu a také čas, kdy bude tento stroj automaticky vyřazen ze seznamu, pokud UCEPROTECT nedetekuje žádný další incident.

Význam polí záznamu:

IP adresa stroje | čas detekce incidentu | čas vyřazení ze seznamu | kód=S

Příklad:

192.0.2.245 | 2012-04-26_12:11:09 | 2012-05-03_15:00 | S

CESNET-CERTS hodlá projekt UCEPROT dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě své připomínky nebo stížnosti na tuto adresu uceprot@cesnet.cz. CESNET UCEPROT už nyní nabízí tyto možnosti:

  • posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy;
  • ignorovat jednotlivé IP adresy (těch strojů, o kterých si nepřejete dostávat žádná hlášení);
  • ignorovat celé sítě (pokud nemáte zájem o zasílání informací týkajících se vaší sítě).

Ode dne 18.9.2014 se systém UCEPROT sítě CESNET2 snaží rozesílat hlášení bez zbytečných opakování. Znamená to, že:

  • hlášení o SPAMu posílá jen 1*, a to okamžitě po přijetí zprávy od UCEPROTECTu
  • hlášení o BACKSCATTERu posílá celkem 2*, a to:
    • okamžitě po stažení souboru od BACKSCATTERERu (v Po - Pá ráno)
    • následující pondělí ráno (tj. se zpožděním 3 - 10 dní od stažení souboru).

Všechny zprávy, které systém CESNET UCEPROT rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.

Last modified:: 01.12.2014 12:23