rpz zones for the few not the many

Bananas was interested in rpz zones which nothing to do with car parking or planning regulations but dns zones, they look quite simple until you try and get one.

seocrookHowever with a bit searching rpz zones could be manually created and work but then its a little out of date, most threat zones are small rather than large so having a good mail server is way more important than a rpz zone blocking a specific url sent in a scammy email say.

bank.barclays.co.uk.olb-auth-loginlink.action. asdasd45.as4d56asdas.da 4s65d46asdasdsd. ta77lia. com _b

Whois says Egypt owner and hosted in DE  and  I guess it depends on how dumb your network users are, how money grabbing and unethical an ssl certificate provider is and how long it takes them to ignore abuse emails to the hosting provider to shutdown something.

Getting bad site data is quite easy once you start but making it rpz friendly is another  Theme and user content directories are popular for bad permissions and like the link above look shady.

Some malware domains just use an ip address so whether or not an rpz zone would work is a little more questionable.  A general and unscientific match of mail server abuse to phlishing domains (a grep) seems that these are tasked to one job only so there is no overlap by domain name.

rpz’s sound great but with freshness and everybody playing catch up perhaps its best that there left as something that just cisco users have.

even more dmarc fun

winnerChina wins again as top spoofer (my blog) Exciting stuff this honest, and since the quantity outweighs the more interesting single entries (these are all crooks and scammers) and they have mentioned before lets admire the Chinese trying again and again.

Its a shame we know but they still dont know.   Dont tell them please

I like dmarc

        1    CN    101.71.192.51    101.64.0.0/13AS4837, China Unicom Zhejiang Province Network        
        1    CN    101.71.192.96            
        1    CN    101.71.192.99            
        1    CN    101.71.193.19            
        1    CN    101.71.193.235            
        1    CN    101.71.194.100            
        1    CN    101.71.194.166            
        1    CN    101.71.194.191            
        1    CN    101.71.194.198            
        1    CN    101.71.194.207            
        1    CN    101.71.194.240            
        1    CN    101.71.195.125            
        1    CN    101.71.195.171            
        1    CN    101.71.196.140            
        1    CN    101.71.196.203            
        1    CN    101.71.196.208            
        1    CN    101.71.196.214            
        1    CN    101.71.196.233            
        1    CN    101.71.196.49            
        1    CN    101.71.196.63            
        1    CN    101.71.196.66            
        1    CN    101.71.196.70            
        1    CN    101.71.196.8            
        1    CN    101.71.196.90            
        1    CN    101.71.197.149            
        1    CN    101.71.197.22            
        1    CN    101.71.197.248            
        1    CN    101.71.197.4            
        1    CN    101.71.197.41            
        1    CN    101.71.197.60            
        1    CN    101.71.216.162            
        1    CN    101.71.216.234            
        1    CN    101.71.216.50            
        1    CN    101.71.216.64            
        1    CN    101.71.216.84            
        1    CN    101.71.217.144            
        1    CN    101.71.217.15            
        1    CN    101.71.217.192            38
        1    CN    116.216.28.57    116.216.0.0/16AS4837 CNC Group CHINA169 Sichuan Province Network        
        1    CN    116.216.28.62            2
        1    CN    118.244.252.36    118.244.0.0/16 CNC Group CHINA169 Sichuan Province network        1
        1    CN    123.158.32.39    123.152.0.0/13AS4837 CNC Group CHINA169 Zhejiang Province Network        
        1    CN    123.158.32.43            
        1    CN    123.158.33.124            
        1    CN    123.158.33.139            
        1    CN    123.158.33.145            
        1    CN    123.158.33.197            
        1    CN    123.158.33.45            
        1    CN    123.158.33.73            8
        1    CN    124.90.194.179    124.90.0.0/15AS4837 CNC Group CHINA169 Zhejiang Province Network        
        1    CN    124.90.194.31            
        1    CN    124.90.197.44            
        1    CN    124.90.198.239            
        1    CN    124.90.199.159            
        1    CN    124.90.199.235            
        1    CN    124.90.68.112            
        1    CN    124.90.68.131            
        1    CN    124.90.68.21            
        1    CN    124.90.68.223            
        1    CN    124.90.69.208            
        1    CN    124.90.69.226            
        1    CN    124.90.69.93            
        1    CN    124.90.70.193            
        1    CN    124.90.70.21            
        1    CN    124.90.70.61            
        1    CN    124.90.70.78            
        1    CN    124.90.70.79            
        1    CN    124.90.71.50            
        1    CN    124.90.71.85            20
        1    CN    218.109.10.216    WASU-BB        
        1    CN    218.109.102.29            
        1    CN    218.109.103.0            
        1    CN    218.109.104.62            
        1    CN    218.109.105.249            
        1    CN    218.109.106.230            
        1    CN    218.109.106.253            
        1    CN    218.109.106.74            
        1    CN    218.109.107.134            
        1    CN    218.109.107.152            
        1    CN    218.109.10.75            
        1    CN    218.109.108.84            
        1    CN    218.109.17.115            
        1    CN    218.109.17.7            
        1    CN    218.109.17.73            
        1    CN    218.109.220.125            
        1    CN    218.109.220.97            
        1    CN    218.109.221.247            
        1    CN    218.109.225.31            
        1    CN    218.109.228.236            
        1    CN    218.109.230.63            
        1    CN    218.109.243.110            
        1    CN    218.109.243.207            
        1    CN    218.109.253.141            
        1    CN    218.109.97.191            
        1    CN    218.109.98.81            
        1    CN    219.82.112.145            
        1    CN    219.82.112.65            
        1    CN    219.82.160.124            
        1    CN    219.82.160.96            
        1    CN    219.82.163.10            
        1    CN    219.82.164.18            
        1    CN    219.82.165.3            
        1    CN    219.82.166.132            
        1    CN    219.82.184.136            
        1    CN    219.82.185.146            
        1    CN    219.82.186.176            
        1    CN    219.82.187.68            
        1    CN    219.82.189.21            
        1    CN    219.82.190.230            
        1    CN    219.82.190.57            
        1    CN    219.82.35.1            
        1    CN    219.82.48.40            
        1    CN    219.82.50.249            
        1    CN    219.82.51.206            
        1    CN    219.82.51.75            
        1    CN    219.82.52.52            
        1    CN    219.82.54.106            
        1    CN    219.82.55.214            
        1    CN    219.82.57.167            
        1    CN    219.82.61.107            
        1    CN    219.82.62.50            52
        1    CN    58.100.0.105    Huashu media&Network Limited        
        2    CN    58.100.0.110            
        1    CN    58.100.0.130            
        1    CN    58.100.0.14            
        1    CN    58.100.0.152            
        1    CN    58.100.0.166            
        1    CN    58.100.0.173            
        1    CN    58.100.0.205            
        1    CN    58.100.0.207            
        1    CN    58.100.0.236            
        1    CN    58.100.0.252            
        1    CN    58.100.0.26            
        1    CN    58.100.0.32            
        1    CN    58.100.0.37            
        1    CN    58.100.0.41            
        2    CN    58.100.0.46            
        1    CN    58.100.0.61            
        2    CN    58.100.0.71            
        1    CN    58.100.0.73            
        1    CN    58.100.1.124            
        1    CN    58.100.1.142            
        1    CN    58.100.1.145            
        1    CN    58.100.1.155            
        1    CN    58.100.1.168            
        1    CN    58.100.1.190            
        1    CN    58.100.1.192            
        1    CN    58.100.1.194            
        1    CN    58.100.1.211            
        1    CN    58.100.1.217            
        1    CN    58.100.1.242            
        1    CN    58.100.1.251            
        1    CN    58.100.1.254            
        1    CN    58.100.1.26            
        1    CN    58.100.1.30            
        1    CN    58.100.1.44            
        1    CN    58.100.180.106            
        1    CN    58.100.180.237            
        1    CN    58.100.180.90            
        1    CN    58.100.1.81            
        1    CN    58.100.182.224            
        1    CN    58.100.1.97            
        1    CN    58.100.201.100            
        1    CN    58.100.201.104            
        2    CN    58.100.201.105            
        1    CN    58.100.201.109            
        1    CN    58.100.201.117            
        1    CN    58.100.201.121            
        1    CN    58.100.201.131            
        2    CN    58.100.201.138            
        1    CN    58.100.201.140            
        1    CN    58.100.201.147            
        1    CN    58.100.201.152            
        1    CN    58.100.201.155            
        1    CN    58.100.201.162            
        2    CN    58.100.201.163            
        2    CN    58.100.201.175            
        1    CN    58.100.201.189            
        1    CN    58.100.201.199            
        1    CN    58.100.201.207            
        1    CN    58.100.201.236            
        1    CN    58.100.201.244            
        1    CN    58.100.201.246            
        1    CN    58.100.201.253            
        1    CN    58.100.201.255            
        1    CN    58.100.201.40            
        1    CN    58.100.201.59            
        1    CN    58.100.201.81            
        1    CN    58.100.201.86            
        1    CN    58.100.201.88            
        2    CN    58.100.2.100            
        1    CN    58.100.2.108            
        1    CN    58.100.2.118            
        1    CN    58.100.2.119            
        1    CN    58.100.2.128            
        1    CN    58.100.2.153            
        1    CN    58.100.2.156            
        1    CN    58.100.2.170            
        1    CN    58.100.2.176            
        1    CN    58.100.2.186            
        1    CN    58.100.2.187            
        2    CN    58.100.2.19            
        1    CN    58.100.2.192            
        1    CN    58.100.2.197            
        1    CN    58.100.2.2            
        1    CN    58.100.2.201            
        1    CN    58.100.2.216            
        1    CN    58.100.2.220            
        1    CN    58.100.2.223            
        1    CN    58.100.2.240            
        1    CN    58.100.2.253            
        1    CN    58.100.2.29            
        1    CN    58.100.2.3            
        1    CN    58.100.2.31            
        1    CN    58.100.2.34            
        1    CN    58.100.24.0            
        1    CN    58.100.24.171            
        1    CN    58.100.24.219            
        1    CN    58.100.24.4            
        1    CN    58.100.24.57            
        1    CN    58.100.24.8            
        1    CN    58.100.24.95            
        1    CN    58.100.2.52            
        1    CN    58.100.2.55            
        1    CN    58.100.2.69            
        1    CN    58.100.2.81            
        1    CN    58.100.2.82            
        1    CN    58.100.2.94            
        1    CN    58.100.2.97            
        2    CN    58.100.3.10            
        1    CN    58.100.3.105            
        1    CN    58.100.3.107            
        1    CN    58.100.3.113            
        2    CN    58.100.3.13            
        1    CN    58.100.3.132            
        1    CN    58.100.3.14            
        1    CN    58.100.3.140            
        1    CN    58.100.3.147            
        1    CN    58.100.3.15            
        1    CN    58.100.3.154            
        1    CN    58.100.3.16            
        1    CN    58.100.3.175            
        1    CN    58.100.3.179            
        1    CN    58.100.3.184            
        2    CN    58.100.3.194            
        1    CN    58.100.3.196            
        1    CN    58.100.3.20            
        3    CN    58.100.3.208            
        1    CN    58.100.3.211            
        2    CN    58.100.3.215            
        1    CN    58.100.3.216            
        1    CN    58.100.3.218            
        1    CN    58.100.3.242            
        2    CN    58.100.3.27            
        1    CN    58.100.3.34            
        1    CN    58.100.3.4            
        1    CN    58.100.3.40            
        1    CN    58.100.3.45            
        1    CN    58.100.3.50            
        1    CN    58.100.3.51            
        1    CN    58.100.3.55            
        1    CN    58.100.3.64            
        1    CN    58.100.3.80            
        1    CN    58.100.3.9            
        1    CN    58.100.3.90            
        1    CN    58.100.4.14            
        1    CN    58.100.4.170            
        1    CN    58.100.4.177            
        1    CN    58.100.4.18            
        1    CN    58.100.4.218            
        1    CN    58.100.4.237            
        1    CN    58.100.4.248            
        1    CN    58.100.4.35            
        1    CN    58.100.4.5            
        1    CN    58.100.5.105            
        2    CN    58.100.5.13            
        1    CN    58.100.5.146            
        1    CN    58.100.5.15            
        1    CN    58.100.5.18            
        1    CN    58.100.5.180            
        1    CN    58.100.5.200            
        1    CN    58.100.5.24            
        1    CN    58.100.5.34            
        1    CN    58.100.5.72            
        1    CN    58.100.5.94            
        1    CN    58.100.6.106            
        1    CN    58.100.6.110            
        1    CN    58.100.6.124            
        1    CN    58.100.6.132            
        1    CN    58.100.6.135            
        1    CN    58.100.6.145            
        1    CN    58.100.6.198            
        1    CN    58.100.6.216            
        1    CN    58.100.6.219            
        1    CN    58.100.6.22            
        1    CN    58.100.6.247            
        1    CN    58.100.6.254            
        1    CN    58.100.6.39            
        1    CN    58.100.7.107            
        1    CN    58.100.7.113            
        1    CN    58.100.7.135            
        1    CN    58.100.7.149            
        1    CN    58.100.7.169            
        1    CN    58.100.7.18            
        1    CN    58.100.7.22            
        1    CN    58.100.7.228            
        1    CN    58.100.7.56            
        1    CN    58.100.7.84            204
        1    CN    58.101.107.89    Huashu media&Network Limited        
        1    CN    58.101.149.134            
        1    CN    58.101.149.139            
        1    CN    58.101.149.140            
        1    CN    58.101.149.143            
        1    CN    58.101.149.148            
        1    CN    58.101.149.158            
        1    CN    58.101.149.160            
        2    CN    58.101.149.177            
        1    CN    58.101.149.180            
        1    CN    58.101.149.191            
        1    CN    58.101.149.220            
        1    CN    58.101.149.221            
        1    CN    58.101.149.222            
        1    CN    58.101.149.223            
        1    CN    58.101.149.228            
        2    CN    58.101.149.233            
        3    CN    58.101.149.234            
        1    CN    58.101.149.245            
        1    CN    58.101.149.254            
        1    CN    58.101.208.115            
        1    CN    58.101.208.41            
        1    CN    58.101.211.1            
        1    CN    58.101.213.197            
        1    CN    58.101.214.24            
97% 355 1    CN    58.101.215.223            30
0.28%   1    HK    59.148.253.2    abuse@hkbn.net        1
        1    JP    114.148.3.208    OCN,JP        1
0.55% 2 1    JP    202.181.99.15    SRS SAKURA Internet Inc.        1
0.28%   1    None    228.143.204.76    Dmarc report error (not my mistake)        1
        1    US    128.238.7.189    nyu.edu        1
        1    US    131.44.184.194    754th electronic systems group 7esg        1
        1    US    140.28.152.236    disa.columbus.ns.mbx.hostmaster-dod-nic@mail.mil        1
1.10% 4 1    US    65.20.0.12    saas.noc@cp.net        1
                            
100.00%    363                        363

 

An ill-informed and a rather late look at dns security logs

teamamericaSome months ago i switched on dns logging and promptly forgot about it as fail2ban (my blog) was using it and was doing stuff to my satisfaction with the stuff.

Months later and i still have that data and 13000+ events logged, and in my quick and dirty attempts at geolocating (my blog) i wanted to know what troublesome hosts where and from which my first attempts where poor due to the horrid log format used but it appears from some back of an enveloped grep’s that America was in the top percentile of probers.

Team America fuck yeah – alas no .kp (north korea) but i suppose after they supposedly hacked Sony nothing else is of interest to them on the internet

malletMost attempts where under 5 events, thirteen ip’s had counts of 100 events (including a tribe of native american’s reservation ip range) and over, with two 500+ so i found 15 ip addresses that persistently probed and action was taken with our mallet of choice.   Mallets are cool.

We can excuse some issues from some hosts but clearly constant probing from some means they do not really seek an honest response from the zoo’s dns servers and do not look at the results so they are bad actors despite there ‘security’ credentials.

Since this has been posted i had some fun with python (my blog)  and i can now make spreadsheet importable data which is where bash scripting failed me,  so once a week the computer sends me a report where i will add to the fifteen still blocked and i doubt those spotted as persistent abusers will ever be removed.

So keep probing.

fun with postfix tls and user certs

hipsterSo you have a dane (my blog) compatible dnssec setup (my blog) running on all the mx’s in the domain list which entails at least two certificate authorities so what else can you do ?

Well being a bored ape one day i decide to test user certificates in postfix not simply three extra lines to enable tls support in postfix which requires more steps with some hairy eyeballs on the postfix tls support document.

danehttpsresultIt does work although its just mentioned in the headers. Reports can be semi informative

8 Anonymous: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
1 Untrusted: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)

mafia run the british red crossThat is a self certified tls with ‘Untrusted’. Signed tls (eg bought) it seems impossible to issue client certificates like you can with self signed ssl. so it seems unlikely that i will ever get ‘Trusted’.   The setiing ‘Anonymous’ is dane tls in default.

Bloody mafia (my blog).

Self certified user certs are nice if a little extra mile and something that does need a mammal at a keyboard.  So it sort of explains why it is not popular although our friends at the nsa (my blog) probably helped.

No wonder user certificates (opposed to server instances) are missing from most postfix setups and even Google get untrusted status.

Received: from mail-*.google.com (unknown [ip])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
(Client CN "smtp.gmail.com", Issuer "Google Internet Authority G2" (not verified))
by mail2.zoo (Postfix) with ESMTPS id x

So dane will only get you so far.The mafia wont help either.

DSN’s are a handled oddly too. example

postfix/smtp[x]: xyz: to=<553@zoo>, relay=zoo[ip.addr]:25, delay=x, delays=1018/0.01/0.09/0, dsn=4.7.5, status=deferred (Server certificate not verified)

which in postfix is classed as

4.7.5: Transient failure: Security/policy status: Cryptographic failure

ipv6 and dmarc

hipsterWorks this comes from ubc.ca which is canadian place of learning.

Sure ipv4 works (my blog) but this was our first zoo report to feature ipv6.

<source_ip>2607:f8f0:610:4000:6564:a62:ce0c:1392</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>quarantine</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>forwarded</type>
<comment>looks forwarded, downgrade to quarantine with phishing warning</comment>
</reason>
</policy_evaluated>

So it is good to see that dmarc is agnostic and not specific to an ip specification, as to some ipv6 web lookups you better try harder.

outages and some academic dns fun from France

are-you-serious-wtf-meme-baby-faceI awoke one day months ago to read this in the zoo’s logs.

Zone update refused:
129.88.47.5 (zone*/IN): 2 Time(s)

Who is

inetnum: 129.88.0.0 – 129.88.255.255
descr: MI2S (Moyens Informatiques et Multimedia, Information scientifique)
descr: reseaux IMAG du campus, de Gieres et de Montbonnot
descr: UMS MI2S (Moyens Informatiques et Multimedia, Information Scientifique)
country: FR
address: 110 Rue de la Chimie
address: Domaine Universitaire
address: BP 53
address: 38041 Grenoble Cedex 9

Bonjour ! One of the many probers (my blog) we seem to get but continue.

chickenBeing it seems one of the few who ‘do’  dns and mostly like it.  The recent dns outage (omg twitter is down) appears to me that when ‘professionals’ outsource dns to three providers the greater the problems become .   Not much glory in dns sure but i like it

basketOk sure the zoo is not google and some specialists are needed but putting all your eggs in one basket means i hope it does not trip over.  Much blame is pointed at bgp but then if isp’s wont fix or buy routers minus that bug then clearly me ringing up our isp and asking for fix at a level 1 support person probably will mean no further action by the isp  even if said person knows what bgp is.

The other thing is the iot in this where webcams and cctv stuff is being ‘misused’ but hey that’s proprietary software but if routers blocked shodan (my blog) scanning then that might slow down crap from intentional bad configurations (my blog) . or devices with built in back doors via shit software.

Think about it.

We had no dns outage from either event.

If you know what bgp then visit the zoo and claim your valuable prize* from the monkey house.

* a banana skin.

Exploring opendmarc in debian jessie

clownbootUses horrible mysql (my blog) for a database so i just looked at the milter.

Spf needs an ar header so you need to read a man page although that seems to be a bit buggy in debian stable although amavis (my blog) does ar.

It lives on 127.0.0.1:8893 and it appears all those it bloggers do not run opendmarc so there are not many blogs with bad information like for dkim although to call some bloggers technical is perhaps stretching things and many just rehashing not there content only for the advert views.

In debian the conf file is simple and examples can be found however while the software works not all options work.

Using jessie defaults seem to want one host one email server so if like the zoo you have five mta’s hanging off one piece of hardware your doing to need to do some work.

In an hour i got a working opendkim instance and plumbed it in and checking the plumbing was able to get messages in and out as before so i left it like that and see what happens in a weeks time.

Examples include auth and forensicreports Here is one error line

postfix/smtpd[17677]: warning: connect to Milter service inet:127.0.0.1:8893: Connection refused

I also notice with Header_Type = AR you get no spf line appended in the email that’s an unrelated problem with postfix-policyd-spf (my blog) probably that hinders opendmarc.

One site suggested you use the backports repo a suggestion i did not take up and some changes to postfix with extra headers (not ar).

I also created a history file and enabled it and that stubbornly recorded nothing even with a restart.

failI will take a another look at opendmarc in the future but it strikes me as  not worth the bother inbound and the mysql is off-putting.  Could be wrong but that was what a weeks worth of activity recorded.

Email was signed with dkim and was sent and received so our email server was working during the time with the new milter.

This might be a compile it yourself thing for all i know at this stage in Debian or maybe i do not need it.

bad dns senders in the wild

In this (my blog)  i collected and geoip’ed where bad dns requests came from

These countries all where under 100 ip address entries – these go low to highest

MD (1) AL GR HK KR LT AE BA CO DZ EC EG IE
VN MQ CR DO JM IR TH IL TR BY CZ SG ID IN AT BG HR MA EU NO
CL MX AR IT PL PA SA SE RS UA PT (95)

teamamericaThe top scorers by ip address where

BE 109
AU 129
JP 135
DK 137
BR 145
CH 152
CA 173
RU 174
GB 314
RO 334
DE 500
ES 621
CN 987
None 1282 (not in geoip db)
FR 1516
NL 1808
US 3753

Still no north korea  in those codes.  None – means no country identified which is obscured say a Russian has contact details in a .ae [middle east] based ip space.  Another fun guess who is Russians using .ua (Ukraine) ip addresses.

Congrats to the US as the winner for sending the most crap.

minionThese are top ip addresses the log keeps seeing with junk dns requests again from lowest (100 > 1000)

58.27.208.216
84.200.68.19
98.28.81.137
104.255.70.247
106.104.1.178
109.163.224.34
119.97.137.184
122.70.134.81
178.239.163.178
198.48.92.104
204.42.253.2
208.43.101.78
218.60.5.146 
185.56.28.67
185.94.111.1

Have fun with this.  I did.

My Erwin Schrodinger domain renewal

cat_bondOur domain registrar had a redesign and i had a domain to renew and most of the functionality was better located where before  i usually took a couple of wrong turns being most of us dont change dns servers, dnssec, and whois details very often.

It looks quite nice but as i renewed the domain on the last day before grace redemption period although the transaction looked good going through there was a pause and no notification that i had even renewed said domain which i had planned to not renew until that bloody referendum (my blog) may mean i might lose some domains* for the zoo.

Even the whois did not reflect reality until five minutes later when both emails hit the right email account.

I felt a bit like Schrodinger’s metaphorical cat.

No cats where harmed writing this blog post

*if you voted leave then fuck you.

Playing whack a mole with dnsscan.shadowserver.org and hosting issues.

clownbootBananas has to run dns severs here in the zoo for reasons that most dns hosters don’t do this (my blog)  when we did it. In fact i moved registrar on account of no dnssec in dns and broken dnssec configuration in the domain management.

So one day i turned on monitoring and saw probes like:

client 74.82.47.18#48121 (dnsscan.shadowserver.org): query
(cache) 'dnsscan.shadowserver.org/A/IN' denied

So there is a bit of a pattern emerging and while shit does happen i see little point in testing the same bloody thing over and over again.  I blocked them for being idiots.

Enough said.