Назад | Перейти на главную страницу

Спам, полученный в тайную группу адресов электронной почты «пользователи»

Сегодня утром вся наша компания получила спам-сообщение, отправленное на адрес users@ourdomain.on.ca, где ourdomain.on.ca это наш настоящий домен. Есть отличительное имя, которому это может соответствовать:

CN=Users,DC=ourdomain,DC=on,DC=ca

Однако, глядя на атрибуты, нет ни почты, ни прокси-адресов, ни признаков того, что там настроен почтовый ящик.

Я сделал несколько запросов LDAP, ища:

(proxyAddresses=smtp:users@ourdomain.on.ca)
(mail=users@ourdomain.on.ca)

Но я не вижу никаких записей. (Я также ищу известные адреса электронной почты, чтобы убедиться, что дерево просматривается правильно.)

Мы используем Exchange 2003. Есть ли другое место для поиска групповых адресов электронной почты? Возможно ли, что отличительное имя автоматически переводится на адрес электронной почты?

Если вы имеете в виду то, что отображается в поле Кому: или в заголовке сообщения Outlook, это не имеет значения. Вам необходимо проверить журналы Exchange SMTP, чтобы определить фактические адреса электронной почты, используемые для доставки сообщения.

Поле Кому: может содержать фиктивный адрес, которого не существует, если сообщение имеет действительный адрес в поле СК :.

Прежде всего, прежде чем вы потратите больше времени на попытки связать users@ourdomain.on.ca с группой или человеком в вашем окружении, позвольте мне предположить, что вы, вероятно, охотитесь на бекасов.

Актуальная проблема (вероятно) ниже:

Как сказал Грег Аскью, вполне вероятно (если не почти наверняка), что нет фактического адреса электронной почты или группы, связанной с адресом электронной почты в To: поле (users@ourdomain.on.ca). На самом деле, это довольно распространенная практика - отправлять групповые электронные письма поддельным To: адрес и BCC фактические получатели, когда получателям может быть неуместно знать, кто все включается в электронное письмо. У этого есть законные приложения (например, массовая рассылка электронной почты нескольким разрозненным клиентам), а также утилита для рассылки спама.

  • Фактически, я сам часто использую эту технику с распределениями для нескольких клиентов. Я отправлю электронное письмо на clientnotification@mydomain.tld, и BCC всем клиентам, которых я хочу получить по электронной почте. Им не нужно знать друг друга о существовании или статусе моих клиентов, или о том, кому я отправляю, и это сокращает мою рабочую нагрузку, так как мне приходится отправлять одно электронное письмо вместо нескольких.

Решение:

Для смягчения или значительного устранения такого рода проблем, связанных со спамом, доходящим до группы получателей в вашем домене, вы можете сделать несколько простых вещей в Exchange. (Как и в большинстве случаев, в 2003 году эта функциональность более примитивна, чем в 2007 или 2010 годах, но она все еще существует)

  1. Ограничьте, кто может или не может отправлять сообщения в более крупные группы рассылки.

    • Не поможет, если все ваши отдельные пользователи будут перечислены в BCC (в этом случае я бы посоветовал вам защитить свой каталог и почтовый сервер от Атаки на сборщик каталога), но будет в том случае, если оно было разослано всем путем отправки на адрес большого или глобального списка рассылки.

      • Наш глобальный DL в Exchange 2003:

        • (Я думаю, что в нашей компании всего 8 человек или групп, которые могут отправить электронное письмо в глобальный список, чтобы дать вам представление. Меньшие группы более снисходительны к принятию электронных писем.)

  2. Ограничьте некоторые или все ваши внутренние группы от получения внешней почты

    • Как правило, это также хорошая идея, потому что обычно вы не хотите, чтобы люди за пределами вашей организации отправляли электронные письма группам внутри нее.

    • В Exchange 2003 это возможно с помощью From authenticated users only установите флажок на изображении выше.

Другим полезным побочным эффектом этой настройки является то, что вы неизменно заставляете пользователя Reply All в какой-то большой список рассылки с глупым комментарием или подтверждением получения (thanks!, was I supposed to get this?и т. д.), а это всегда неприятно и неудобно. Лучше отключите их, прежде чем они будут спамить всю компанию своими неизменно орфографическими ошибками, грамматическими, txt msg-стильная глупость.

Для меня это звучит как спуфинг. Я бы порекомендовал использовать умный хост, такой как Postini, для отслеживания потока почты.