Назад | Перейти на главную страницу

Спам-почта пересылается через мой сервер с использованием действующего пользователя

Я получаю сообщения «Недоставленная почта возвращена отправителю». Соответствующие почтовые сообщения пересылаются с использованием действующего пользователя (mike@proactech.com) на моем сервере (server1.nbicharts.com). Я контролирую этот адрес электронной почты, поэтому пересылку осуществляю не я. Я проверил, что мой сервер не является открытым ретранслятором, поэтому мне нужна помощь в том, как отследить уязвимость, которая позволяет этому случиться. Я предполагаю, что, хотя я вижу только недоставленные сообщения, их должно быть больше.

Любая помощь будет оценена.

Вот типичное сообщение:

        This is the mail system at host server1.nbicharts.com.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<hrrecruitmentcell@tvssons.com>: host b.as.safentrix.com[23.239.12.179] said:
    550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient address rejected: User
    unknown (in reply to RCPT TO command)



Reporting-MTA: dns; server1.nbicharts.com
X-Postfix-Queue-ID: D7340580C88
X-Postfix-Sender: rfc822; mike@proactech.com
Arrival-Date: Sat, 25 Jul 2015 06:35:04 -0400 (EDT)

Final-Recipient: rfc822; hrrecruitmentcell@tvssons.com
Original-Recipient: rfc822;hrrecruitmentcell@tvssons.com
Action: failed Status: 5.1.1
Remote-MTA: dns; b.as.safentrix.com
Diagnostic-Code: smtp; 550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient
    address rejected: User unknown


ForwardedMessage.eml
Subject: Reply: kavithamai
From: kavithamai <mike@proactech.com>
Date: 07/25/2015 01:35 AM
To: "hrrecruitmentcell" <hrrecruitmentcell@tvssons.com>

Begin forwarded message

>  
>>
>>> http://freefinancialstresstest.com/lazbqala.php?kavithamai
>
> From: Kavithamai -kavithamai@yahoo.co.in-
> Date: Fri, 25 Jul 2015 11:35:04 +0000
> To: Hrrecruitmentcell
> Subject: Re: Fwd
>
> 7/25/2015 11:35:04 AM

Sent from my iPad

Здесь mail.log

Jul 25 06:35:06 server1 postfix/smtp[18650]: D7340580C88: to=<hrrecruitmentcell@tvssons.com>, relay=b.as.safentrix.com[23.239.12.179]:25, delay=1.8, delays=1.1/0/0.45/0.2, dsn=5.1.1, status=bounced (host b.as.safentrix.com[23.239.12.179] said: 550 5.1.1 <hrrecruitmentcell@tvssons.com>: Recipient address rejected: User unknown (in reply to RCPT TO command))

Вы покопались и обнаружили, что исходное электронное письмо было отправлено через ваш сервер. Это означает, что, что обычно в таких случаях, вы не Joe-Jobbed.

Поиск в журналах показал, что данный пользователь аутентифицирован для отправки электронной почты из Orange Slovakia, которая, скорее всего, будет иметь мобильное соединение. Вы должны спросить этого пользователя, почему он аутентифицируется для отправки почты из Словакии.

Если он намеревался отправить это письмо, вам следует оценить его действия в свете вашей Политики допустимого использования. Если он не собирался отправлять его, значит, его учетная запись и, вероятно, его мобильное вычислительное оборудование были скомпрометированы, ему следует провести соответствующую очистку, а вам следует заблокировать его учетную запись, пока вы не будете удовлетворены тем, что он сделал это удовлетворительно. опять же в зависимости от вашего AUP, чтобы оправдать ваши действия.

Это больше похоже на подделку адреса источника, чем использование уязвимости сервера. Один из способов справиться с этим (но не полностью смягчить) - использовать записи SPF.

В настоящее время нет записей SPF для домена proactech.com. Это означает, что целевые почтовые серверы не могут проверить, пришло ли входящее сообщение с вашего почтового сервера (законный) или какого-либо другого (не легитимного).

Если вы устанавливаете записи SPF, целевые системы (которые отправляют вам сообщения о недоставке), которые проверяют действительность записей SPF (а их сегодня много), будут отклонять любые входящие сообщения с серверов, которые не разрешены этими записями SPF, и они будут не пытайтесь доставлять такие сообщения. Это означает, что для вас никаких отказов.

Вы также можете рассмотреть возможность установки DKIM, что является еще одной функцией, которая может помочь вам частично смягчить проблему. Я действительно думаю, что SPF проверяется более широко, чем SPF, поэтому первое, что нужно сделать, это SPF, но, если это возможно, также установите DKIM, просто чтобы убедиться, что вы сделали все, что могли.