У меня возникла проблема, когда один из моих пользователей получает электронное письмо, отправленное на его собственный адрес, содержащее заархивированный файл javascript, который, очевидно, является вредоносным. Я попытался посмотреть журналы, но не нашел ссылки на это сообщение. Как я могу понять, откуда пришло это сообщение? Все записи этого пользователя имеют частный IP-адрес, поэтому я полагаю, что он использует клиентов из своих собственных сетей.
Пример:
user@domain.com H=([10.141.53.117]) [197.250.193.117] P=esmtpsa X=TLS1.0:ECDHE_RSA_AES_256_CBC_SHA384:256 A=plain_saslauthd_server:user S=9555 id=DEDBE712-F7B9-42F5-BFEC-C05C486AAE04@merzariotz.com
У меня установлены clamav и spamassassin, которые регулярно работают и обновляются, но по какой-то причине не перехватывают это сообщение.
Иногда заголовок From подделывается. Посмотрите заголовки сообщений (Получено: обычно наиболее полезно). Я бы посоветовал добавить записи dkim и spf в ваш домен, чтобы только ваши почтовые серверы могли отправлять почту из вашего домена.