Я разработчик программного обеспечения, а моя жена работает в малом бизнесе. Я не эксперт по безопасности, но история, которую ей рассказывает их ИТ-подрядчик, меня не устраивает.
В последнее время некоторые люди, отправляющие электронное письмо «Джейн», человеку, отвечающему за финансы в ее компании, получают сообщения о возврате средств. Согласно их сторонней ИТ-компании, это результат того, что кто-то подделал электронную почту Джейн, и они ничего не могут с этим поделать.
Но для меня это не похоже на спуфинг. Насколько я понимаю, спуфинг состоит в том, что какой-то злоумышленник (вероятно, спам-бот) рассылает электронные письма, утверждающие, что они от Джейн, и на самом деле нет никакого нарушения безопасности. Следовательно, Джейн может получать письма с возвратом сообщений, когда спам-бот отправляет их на плохие адреса электронной почты.
Это не то, что происходит. Джейн не получает возврата. Это люди, которые пишут ей кто получает возврат. В ответе всегда говорится, что "powerlinecornpany@gmail.com" превышает квоту, и включает их исходное электронное письмо Джейн в качестве вложения.
Другими словами, если вы отправите электронное письмо на адрес jane@mycompany.com вы можете получить возврат от powerlinecornpany@gmail.com, "и этот возврат делает прикрепите исходный адрес электронной почты. Джейн получила бы твое письмо нормально и не увидела бы ничего странного.
Так что мне кажется, что происходит то, что копии писем, отправленных Джейн, каким-то образом пересылаются на этот адрес Gmail, и в какой-то момент они превысили квоту и начали отскакивать. Другими словами, кто-то шпионит за Джейн.
Это происходит даже тогда, когда пользователь из компании Джейн отправляет ей электронное письмо. Некоторые люди никогда не получают отказов. Другие люди (например, владелец компании) всегда получают сообщения о недоставке каждый раз, когда отправляют одно.
Вот сообщение о возврате, которое они получают:
The original message was received at Fri, 11 Jan 2019 08:36:54 -0500
from atl4qibmail03pod5.registeredsite.com [10.30.71.90]
*** ATTENTION ***
This email is being returned to you because the remote server would not
or could not accept the message. The registeredsite servers are just
reporting to you what happened and are not the source of the problem.
The address which was undeliverable is in the section labeled:
"----- The following addresses had permanent fatal errors -----".
The reason your mail is being returned to you is in the section labeled:
"----- Transcript of Session Follows -----".
This section describes the specific reason your e-mail could not be
delivered.
Please direct further questions regarding this message to your e-mail
administrator.
--Registeredsite Postmaster
----- The following addresses had permanent fatal errors -----
<powerlinecornpany@gmail.com>
(reason: 552-5.2.2 The email account that you tried to reach is over quota. Please direct)
----- Transcript of session follows -----
... while talking to gmail-smtp-in.l.google.com.:
>>> DATA
<<< 552-5.2.2 The email account that you tried to reach is over quota. Please direct
<<< 552-5.2.2 the recipient to
<<< 552 5.2.2 https://support.google.com/mail/?p=OverQuotaPerm u6si11420159ybg.477 - gsmtp
554 5.0.0 Service unavailable
<<< 503 5.5.1 RCPT first. u6si11420159ybg.477 - gsmtp
Я с Рускалом по этому поводу.
Если вы отправляете электронное письмо Джейн и получаете этот возврат, очевидно, что для учетной записи электронной почты Джейн была настроена пересылка, намеренно или злонамеренно.
Единственный случай, который я когда-либо видел спуфинга, - это поддельный домен, отправляющий «мусорные электронные письма» с просьбой о биткойнах и шантаж (с помощью биткойн-ссылки) некоторых сотрудников этой конкретной корпорации с помощью общего угрожающего текста (например, говоря что-то вроде «Я знать сайты, которые вы посещали, потому что на вашем домашнем компьютере установлен троян "" Я сфотографировал вас на вашу веб-камеру "и так далее). Мне ваш случай не кажется спуфинговой атакой, лучше составить новое электронное письмо для Джейн, если ИТ-специалисты не могут понять, в чем проблема с ее учетной записью, может быть, лучше просто начать сначала (очевидно, резервное копирование ее сообщения в новый аккаунт).