Vlákno názorů k článku
Mall.cz resetuje hesla, k části databáze se mohli dostat hackeři [AKTUALIZOVÁNO]
od Mr. McFly - X-Amavis-Alert: BAD HEADER SECTION, Missing required header field:...
-
X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"
X-Spam-Flag: YES
X-Spam-Score: 5.311
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.311 tagged_above=-10 required=5
tests=[DCC_CHECK=2.8, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.105,
MISSING_DATE=1.396, SPF_PASS=-0.001, T_KAM_HTML_FONT_INVALID=0.01]
autolearn=disabled -
Ano, jediná opravdu problematická a podezřelá věc je ten přímý odkaz na password recovery. To by podobný mail, je-li pravý, nikdy obsahovat neměl.
Proč by ho obsahovat neměl? Uživatel si má samozřejmě zkontrolovat, že odkaz vede na správnou doménu. Problém by byl, pokud by e-mail uživatele nabádal k tomu, aby zadali heslo do nějakého nestandardního formuláře – ale to ten e-mail nedělá, naopak začíná tím, že staré heslo je neplatné. -
Michal Kubeček (neregistrovaný)
Ano, jediná opravdu problematická a podezřelá věc je ten přímý odkaz na password recovery. To by podobný mail, je-li pravý, nikdy obsahovat neměl.
Pak tedy ještě drobnost, že v
text/plainvariantě toho druhého mailu (poté, co kliknu na "zapomněl jsem heslo") je sice odkaz rozepsaný (to bohužel není tak samozřejmé, jak by se zdálo), ale ampersand je v něm nahrazený entitou, takže copy&paste do prohlížeče nefunguje a je potřeba URL opravit. -
Když ty e-maily čtete nepozorně, jste na nejlepší cestě na nějaký naletět. V tomhle e-mailu nebylo nic o tom, že máte někam zadávat své přihlašovací údaje, naopak je tam napsáno, že vám heslo zrušili. Kdybyste nic neřešil, taky se nic nestane, akorát byste si to heslo musel nastavit až při příštím přihlášení.
-
Jirka (neregistrovaný)
Daleko logičtější vysvětlení ovšem je, že tam ta hlavička opravdu nebyla a něco ji přidalo. Což je celkem rozumné chování a zamyslím se, jestli ho nechci také implementovat u sebe (pochopitelně až poté, co proženu mail spamassassinem). Rozhodně to ale neznamená, že spamassassin má zásadní bug, já nevím, co mi chodí za maily a jen p. Jirsák to má správně.
-
Jirka (neregistrovaný)
Pokud tomu spamassassin dal MISSING_DATE, tak tam datum při přijetí nebylo a hlavičku přidalo až něco dál po cestě (možná gmail?). Já přijímám maily na vlastním serveru, takže mi do zpráv nikdo tímto způsobem nehrabe, což asi vysvětluje, proč tuto prasárnu vy nevidíte a já ano.
-
Mně přišlo tohle (předcházejí tomu další hlavičky doplněné poštovními servery po cestě):
Received: from [127.0.0.1] (localhost [127.0.0.1]) by smtp3.mall.cz (Postfix) with ESMTP id A6081858798 for <xxx@xxx>; Sun, 27 Aug 2017 12:33:22 +0200 (CEST) DKIM-Filter: OpenDKIM Filter v2.10.3 smtp3.mall.cz A6081858798 From: "MALL.cz" <bezpecnost@mall.cz> Reply-To: bezpecnost@mall.cz To: xxx@xxx Message-ID: <468260030.73887.1503830002686@d4519.masterinter.net> Subject: =?UTF-8?Q?D=C5=AFle=C5=BEit=C3=A9_bezpe=C4=8Dnos?= =?UTF-8?Q?tn=C3=AD_upozorn=C4=9Bn=C3=AD:_Zv?= =?UTF-8?Q?olte_si_pros=C3=ADm_nov=C3=A9_heslo_do_Mall.cz.?= MIME-Version: 1.0 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Precedence: bulk Date: Sun, 27 Aug 2017 13:39:05 +0300 (EEST)
V těle e-mailu jsou pak vedle toho uváděného odkazu ještě odkazy na Mall.cz (přes logo), Váš účet a MALL.CZ Plus (oba vedou na doménu mall.cz), dále je v textu odkaz na https://www.mall.cz/user/password-recovery/recovery (takhle rozepsaný) a odkaz „u nás na blogu“, který vede na zápisek zmíněný i dvakrát ve zprávičce.
-
No já v mailu hlavičku date mám:
"Date: Sun, 27 Aug 2017 04:14:57 -0700 (PDT)"Nicméně antispamům se to nelíbí -mail dostává docela vysoké score (i za chybějící date)
X-Spam-Flag: NO
X-Spam-Score: 3.112
X-Spam-Level: ***
X-Spam-Status: No, score=3.112 tagged_above=-1000 required=5
tests=[HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.105, MISSING_DATE=1.396,
RCVD_IN_DNSWL_MED=-1.5, RP_MATCHES_RCVD=-0.6, SO_NIC=0.6,
SO_PUB_URIBL_NS_40=1.001, SPF_PASS=-0.001,
T_KAM_HTML_FONT_INVALID=0.01, _AUTOMATED_LINK=0.1,
_EXTERNAL_CONTENT=0.5, _EXTERNAL_IMG=0.4, _HASH_LINK=0.1] -
Email přišel z:
From: "MALL.cz" <bezpecnost@mall.cz>
Received: from smtp4.mall.cz (smtp4.mall.cz. [92.43.56.177])
Received-SPF: pass (google.com: domain of bezpecnost@mall.cz designates 92.43.56.177 as permitted sender) client-ip=92.43.56.177;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of bezpecnost@mall.cz designates 92.43.56.177 as permitted sender) smtp.mailfrom=bezpecnost@mall.czSPF je tedy v pořádku
Zpráva nemá DKIM...na yottly vede odkaz z emailu "Je-li tento email nečitelný, zobrazte si jej":
zobrazte si jej </span><span style=3D=
"color: rgb(204, 0, 0); font-size: 12px; line-height: 14px;"><a style=3D"co=
lor:#0068A5;text-decoration: none; color: rgb(204, 0, 0);" href=3D"https://=
external-link-mall.yottly.com/1234..." rel=3D"=
noopener noreferrer">zde > -
Jirka (neregistrovaný)
Tak mi ten mail přišel. Vypadá jako spam.
1. Chybí hlavička Date (!!!)
2. Chybí plaintext část, mail je jen HTML. Všechny české znaky jsou jako HTML entity.
3. Odkaz z mailu vede na jakési "yottly.com".Husté. Amatérismus nejvyšší úrovně. Pokud jim takhle fungují všechny interní systémy, dotyční hackeři s tím nejspíš neměli moc práce.
ČLÁNKY DO MAILU