Yandex catchall что это
Избавляемся от спама при использовании catch-all на своем домене
Вообще говоря, это должно было стать переводом и находиться в соответствующем разделе. Но мне было удобнее немного переписать статью, добавить кое-что из комментариев и пару своих мыслей. Поэтому пишу в «Я умный». Однако все благодарности стоит посылать Джине Трапани и неведомому Рэю Пользователю GApps Для Домена (да, это его индейское имя:).
Вводная
Итак, предположим, что у вас уже есть свой домен и вы прикрутили к нему Google Apps for Your Domain (далее — GApps). Как минимум, почту. И что вы хотите использовать catch-all для удобства регистрации на сайтах, а не только для того, чтобы говорить Александр-собака-домен и не беспокоиться о различных вариантах написания этого имени. Помимо этого, вам интересно, кто сдал ваш адрес спамерам.
Примечание: эта система довольно просто адаптируется и для работы с клиентами, поддерживающими фильтры. Все что нужно — домен, catch-all (wiki/en) и клиент, поддерживающий фильтры (к примеру, Thunderbird).
Вообще, есть несколько способов разделять почтовые адреса для разных сайтов. Можно создавать для каждого из них свой адрес или список рассылки (второе — лучше, ведь списки рассылки проще перенастраивать и ограничений на их количество нет). Минус тут один — делать это придется руками, каждый раз. Или можно включить catch-all и просто вписывать в форме регистрации на сайте что угодно (обычно это что-то вроде amazon.com@your-domain.tld). Минус — catch-all открывает двери тоннам спама. Еще можно использовать «+»-нотацию. И с ней было бы просто замечательно, если бы все регистрационные формы были сделаны правильно и принимали плюсик.
Казалось бы, способы есть, но какие-то они неудобные. И тут появился Рэй Пользователь GApps со своей системой… Суть — в «секретном» суффиксе.
В бой!
Заходим в Панель управления GApps (обычно это www.google.com/aваш_домен). Создаем нового пользователя. К примеру, spam-trap. Потом возвращаемся в Панель управления и открываем опции почты (https://www.google.com/a/cpanel/ваш_домен/EmailSettings). И в настройках catch-all вписываем адрес только что созданного пользователя (spam-trap@ваш_домен):
Жмем «Следующее действие» и попадаем на страничку «Выбор действия». Выбираем «Переслать письмо» и вводим адрес, на котором мы хотим централизованно читать почту. Можно также метить эти сообщения и сразу архивировать их, чтобы потом проще было отлавливать ошибки — все сообщения, которые не попадут под действие этого фильтра и которые GMail не посчитает спамом, будут лежать во входящих.
Теперь, каждый раз когда вы не хотите давать свой основной адрес, просто давайте адрес вида что_угодно.секретный_суффикс@ваш_домен. Пожалуй лучшим выбором будет давать адреса вроде amazon.com.thingySuffix42@ваш_домен. Таким образом, вы всегда сможете понять кто сдал ваш адрес спамерам и избавиться от этого спама один простым фильтром (причем фильтр этот можно будет создать в основном аккаунте).
Единственный минус всей системы — вам время от времени придется входить в этот аккаунт (spam-trap) и создавать фильтры для почты, которая ошибочно не попадает под пересылку. К примеру, списки рассылки часто задают нестандартные поля To (Кому) и отлавливаются этим фильтром как спам.
Если вы пользуетесь catch-all еще и для отлова адресов с мелкими ошибками, то стоит предусмотреть различные варианты написания, наиболее распространенные ошибки и создать фильтр, пересылающий и эти сообщения тоже.
Основное допущение, которое и позволяет работать этой системе, в том, что спамеры не будут разбирать ваш адрес. И пока это работает. Если вы параноик очень осторожны, никто не мешает вам создать кучу секретных суффиксов по какому-то только вам известному и понятному принципу и использовать их последовательно (или, опять же, по какому-то одному только вам известному и понятному принципу:)
PS Рэй Пользователь GApps получил за эту идею книгу Upgrade Your Life с автографом;) На мой взгляд, заслуженно. Жалею только о том, что раньше этого не знал — теперь приходится постепенно изменять адреса там, где я уже зарегистрирован, что несколько муторно. Но оно того стоит — удалив только лишь один адрес, который засветил на нескольких сайтах, я сразу избавился от приблизительно тысячи писем в день.
Yandex catchall что это
Как включить опцию приема писем, отправленных на несуществующие ящики
Опция приема писем, отправленных на несуществую почту(она же catch-all) позволяет не создавать новые почтовые ящики или алиасы в качестве подменных адресов емейл трекинга. Включив данную опцию, вы можете использовать любые выдуманные, несуществующие адреса (в рамках вашего домена) для подмены на сайте или в офлайн емеилтрекинге.
Внимание. Если вы собираетесь подменять на сайте несколько почтовых ящиков, для каждого почтового ящика необходимо использовать свой уникальный пул подменных адресов. Стоит учесть что письма, отправленные на несуществующий адрес, поступят только в один, выбранный вами почтовый ящик.
Если на сайте указаны емеил адреса менеджеров или подразделений компании, и вы хотите чтобы письма, отправленные на подменные адреса, поступали в соответствующие ящики, необходимо настроить пересылку писем по маске адреса в ящике, который выбран основным, для приема потерянных писем. Т.е. потребуется использовать такой пул подменных адресов для ящика, чтобы понимать на какую почту настроить пересылку.
Как показывает практика, включение данной опции увеличивает количество спам писем на 1-3%.
Опция весьма проста в подключении и в первую очередь необходима для тех компаний, которым требуется большой пул подменных адресов.
Если вы не знаете на каком почтовом сервисе обслуживается ваша почта, рекомендуем воспользоваться полезными инструментами, которые помогут вам узнать ваш почтовый сервис
Выберите сервис для отображения инструкции
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь под администратором Яндекс.Коннект (чаще всего аккаунт, который обслуживается на домене **@yandex.ru)
2. Перейдите в настройки почты для вашего домена.
3. В поле “Почтовый ящик для потерянных писем” вводите имя или адрес почты от ящика, который будет принимать все обращения на подменную почту. Выберите нужный ящик из предложенного яндексом в выпадающем меню и не забудьте нажать “Сохранить”. На этом подключение опции можно считать успешным.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь в аккаунт администратора вашего домена по ссылке
2. Перейдите в меню Маршрутизация. Для этого воспользуйтесь ссылкой или перейдите в меню Приложения->G Suite->Gmail->Маршрутизация по умолчанию
Нажмите кнопку “ДОБАВИТЬ ПРАВИЛО”.
3. В первом пункте “1. Получатели конверта должны соответствовать:” выберите “Все получатели”
Во втором пункте “2. Если получатель конверта соответствует указанным выше выражениям, выполнить следующие действия:” нажмите на галочку “Добавить получателей” в разделе “Другие получатели”
Затем нажмите «добавить» и введите адрес почтового ящика, который будет использоваться для приема писем, отправленных на несуществующий адрес, т.е. на подменную почту. Больше никаких настроек правила менять не нужно.
4. Сохраните правило.
При наличии существующих правил, важно удостовериться в их корректной работе и проверить соблюдение заданного приоритета выполнения.
На этом подключение опции можно считать завершенным.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь в аккаунт администратора вашего домена по ссылке.
Поставьте галочку “Пересылать все письма на несуществующие адреса на специальный ящик“ в разделе “Адрес по умолчанию” и введите адрес ящика, который будет принимать все обращения на подменную почту. Не забудьте нажать “Сохранить” внизу страницы.
На этом подключение опции можно считать завершенным.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь в аккаунт администратора вашего домена по ссылке.
2. В меню слева выберите “показать все” и нажмите Exchange
Откроется страница администрирования Exchange.
Затем необходимо переключиться на классический интерфейс.
3. Выберите в меню слева пункт “поток обработки почты”, а затем “обслуживаемые домены” в меню сверху. В появившемся списке доменов нажмите на ваш домен или на кнопку редактирования домена. Поменяйте “Тип данного обслуживаемого домена” на “Внутренняя ретрансляция”, сохраните изменения
4. Выберите в меню слева пункт “получатели”, а затем “группы” в меню сверху Кликните на кнопку с иконкой треугольника ▼ и нажмите “Динамический список рассылки”
5. Выберите в меню слева пункт “поток обработки почты”, а затем “правила” в меню сверху.
Нажмите «создать правило«, укажите имя, например catchAll.
В поле “*Применить это правило, если. ” выберите “отправитель находится” а затем “вне организации”
В поле “*Выполнить следующие действия…” выберите “перенаправить сообщение” и добавьте ящик, который будет принимать письма, отправленные на несуществующие адреса.
Далее нажмите “Дополнительные параметры…” и в появившемся поле “Кроме случаев, когда. “ нажмите кнопку “добавить исключение”, в открывшемся выпадающем списке выберите “Получатель”->”Является участником этой группы” и выберите группу из шага 4.
Больше никакие настройки правила менять не нужно.
6. Сохраните правило.
При наличии существующих правил, важно удостовериться в их корректной работе и проверить соблюдение заданного приоритета выполнения.
На этом подключение опции можно считать завершенным.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена.
Ниже представлена инструкция по настройке, которую можно использовать если ваш сервис mastermail подключен к Microsoft Exchange, предоставляемый masterhost.
Чтобы подключить прием писем, отправленных на несуществующие адреса, необходимо:
3. Перейти в меню “Управление организацией”
4. В списке адресов отображаются все ящики в вашем домене. В случае если среди них нету ящика catch-all@вашдомен.ру, то нужно его создать.
Если данный ящик уже есть или вы его создали, можно переходить к следующему шагу.
5. перейти во вкладку “управление почтой”
На данной странице необходимо создать новое правило.
*если получатель:
catch-all@вашдомен.ру
*выполнить следующее действие:
“перенаправить сообщение”
и выбрать ваш основной ящик для приема заявок или несколько ящиков(перечислять можно через точку с запятой)
После чего нажать “Сохранить”
6. Сохраните правило.
При наличии существующих правил, важно удостовериться в их корректной работе и проверить соблюдение заданного приоритета выполнения.
На этом подключение опции можно считать завершенным.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь под администратором Ru Center
2. Перейдите на страницу списка почтовых доменов, нажмите на иконку «три точки» и выберите «Настройки»
3. В строке “Письма на несуществующие адреса” выберите «перенаправить на», укажите почтовый ящик, который будет принимать письма на подменную почту и нажмите «Применить». На этом опцию можно считать успешно подключенной.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
1. Залогиньтесь под администратором Beget
2. Перейдите на страницу Почта, и выберите ваш домен.
3. Нажмите на ссылку «Указать e-mail» под блоком создания нового ящика в тексте «Письма, пришедшие на несуществующие e-mail, удаляются. Указать e-mail.»
Выберите ящик и нажмите Сохранить.
По умолчанию данная опция выключена. Чтобы включить опцию, необходимо указать ящик, который будет принимать письма, отправленные на несуществующий адрес в рамках домена. Для этого:
2. Перейдите на страницу со спиком почтовых яхиков
3. Нажмите на ссылку «Указать ящик» в блоке Доменная почта справа вверху траницы.
Укажите адрес почтового ящика, который будет принимать все письма, отправленные на неусществующий адрес и нажмите Сохранить.
Чтобы подключить данную настройку, рекомендуем обратиться к вашему системному администратору, найти инструкцию catch-all на сайте почтового провайдера или предоставить все необходимые доступы(уровня администратор) технической поддержке Alfa-Track.
Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг
Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.
В этом посте мы расскажем о причинах и поделимся с сообществом результатами анализа деятельности расширений. Вы узнаете про тайное воспроизведение видео из онлайн-кинотеатров с целью накрутки просмотров. Увидите фрагмент кода, содержащий механизм для перехвата токенов социальных сетей. Мы покажем, как организована динамическая загрузка и выполнение произвольного кода без обновления расширений.
Предыстория
Некоторое время назад пользователи Яндекс.Браузера стали обращаться в поддержку с жалобами на странный звук, который можно было принять за аудиорекламу. Примеры таких жалоб:
Общение с пользователями помогло нам понять, что источником звука на самом деле была видеореклама. Но странность заключалась в том, что никакое видео в этот момент на экране не воспроизводилось. Сначала мы подумали, что оно проигрывалось в другой открытой вкладке или за пределами видимости, но эта гипотеза не подтвердилась. Начали запрашивать у пользователей дополнительную информацию. В том числе список установленных расширений.
Так мы заметили общий признак: у пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net. Начали тестировать. Догадка оказалась верной: отключение расширения отключало и фоновый шум. Затем связались с его разработчиками. Они высказали предположение, что это ошибки конвертера, и внесли исправления. После обновления расширения жалобы на звук прекратились.
Новая история
В ноябре команда антифрода Яндекса заподозрила неладное. Она получила сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи видео не видели, потому что оно воспроизводилось в фоне. Тем не менее оно потребляло существенный трафик и перегружало работой вычислительные ресурсы компьютера, поэтому такое поведение нельзя назвать добросовестным.
При этом в поддержку на посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).
Но всё оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.
На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store).
Далее мы поделимся с вами результатами нашего анализа. Приведём фрагменты исходного кода и объясним суть их работы. Начнём с объяснения того, как функциональность может подгружаться в расширение без его обновления, и закончим, собственно, воспроизведением видео на компьютере ничего не подозревающего пользователя.
Динамическая загрузка и выполнение кода
Frigate
(полный код расширения доступен по ссылке)
Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Специалистам рекомендую обратить внимание на то, как хитро тут спрятана функция eval(). Кстати, обфускация кода и скрытие функциональности запрещены в Chrome Web Store.
Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода.
SaveFrom.net
(полный код расширения также доступен по ссылке)
На 19122-й строке файла background.js начинается блок сбора и выполнения кода.
Стоит обратить внимание на строку “x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”, которая аналогична “fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)” из расширения Frigate.
Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.
По блокам выполнение происходит так:
Одинаковая часть для всех расширений
/ext/stat
Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто. Поначалу мы пытались дампить трафик через функциональность браузера, но это не приносило результатов. Даже начали сомневаться, что выбрали правильный путь. Обратились к более медленному, но надёжному варианту: завернули весь трафик через Burp Suite (это такая платформа для анализа безопасности веб-приложений, которая, среди прочего, позволяет перехватывать трафик между приложением и браузером).
Вскоре детальный анализ трафика принёс плоды. Оказалось, что наши предыдущие попытки получить правильный ответ были неуспешны из-за конфига dangerRules. Он содержал список адресов, после посещения которых потенциально опасная деятельность прекращалась.
Обратите внимание: сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика. Хитро!
Расследование продолжилось. Предстояло разобраться с обработчиком /ext/up, которому и передавался конфиг. Его ответ был сжат и зашифрован, а код обфусцирован. Но это нас не остановило.
/ext/up
Ещё один обработчик с исполняемым кодом. Его ответ маскируется под GIF-картинку.
Расшифрованный ответ содержит JSON с тремя кусками кода. Названия блоков намекают на контекст исполнения кода: bg.js (применяется на фоновой странице расширения), page.js (используется для инъекций в просматриваемые страницы), entry_point.js (код, который отдаётся на /ext/stat).
bg.js и page.js умеют получать и внедрять в страницы iframe с video для показа рекламы. Кроме того, bg.js имеет функциональность, которая может использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Мы не можем однозначно утверждать, что этот механизм в реальности использовался, но он присутствует в коде, поэтому мы рекомендуем отозвать токены для vk.com.
Кроме того, в bg.js мы видим код, который подменяет браузерный API, чтобы просмотры засчитывались даже при скрытом видео.
/ext/def
Предположительно, этот обработчик отвечает за отдачу списка текущих заданий для открутки видео. Запрос клиента и ответ сервера сжаты и зашифрованы на ключе из параметра hk.
В результате выполнения выданного задания видно, что браузер открывает видеоплеер и включает в нём видео. При этом сам видеоплеер не виден пользователю и действие происходит скрытно.
/ext/beacon
Отчёт о выполнении задания расширение отправляет на /ext/beacon. С уже знакомым нам сжатием и шифрованием.
Краткий пересказ того, что делают расширения
Повторим ещё раз всё то же самое, но кратко.
Принятые нами меры
Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.
Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем. Мы призываем экспертов присоединиться к поиску и других потенциально опасных расширений. Результаты можно присылать через форму. Вместе мы сможем побороть эту угрозу.