Я использую почтовую службу Rckspace и обнаружил, что мошеннические электронные письма, по-видимому, приходят от harry@mydomain.com к james@mydomain.com но никогда не были отправлены этим пользователем.
Что касается стойки, это письмо было отправлено через harry@mydomain.com используя его учетные данные. Из заголовков электронной почты я не могу сказать, будет ли это скрипт, работающий на secureserver.net, который делает это (используя его учетные данные), или это отправка поддельного электронного письма (скрипт отправляет SMTP без аутентификации и просто устанавливает электронное письмо на / от поля соответственно).
Мои вопросы:
SMTP-серверы могут получать электронную почту двумя способами: 1) от других SMTP-серверов, 2) или от клиента, который аутентифицируется и ретранслирует через него. Без доступа к журналам получающего сервера, где находится деталь в заголовке, которая указывает, что клиент выполняет ретрансляцию через аутентифицированное имя пользователя / пароль?
Если добавляются дополнительные данные, они являются поддельными или подлинными: X-Get-Message-Sender-Via: a2plcpnl0576.prod.iad2.secureserver.net: authenticated_id:admin@weirddomain.com?
Хотя у нас есть записи SPF для домена, включающие только IP-адрес веб-сервера и include:emailsrvr.com с -all flag, Rackspace говорит, что это невозможно использовать для проверки поддельной электронной почты, или это потому, что они прошли аутентификацию на SMTP-сервере и ретранслировали в этом случае?
Заголовки ниже:
Delivered-To: james@mydomain.com
Return-Path: <harry@mydomain.com>
Received: from smtp48.gate.iad3a (smtp48.gate.iad3a.rsapps.net [172.27.146.93]) by store370a.mail.iad3a (SMTP Server) with ESMTP id 6B21338004D for <james@mydomain.com>; Tue, 22 Mar 2016 18:51:50 -0400 (EDT)
X-Spam-Threshold: 95
X-Spam-Score: 0
X-Spam-Flag: NO
X-Virus-Scanned: OK
X-MessageSniffer-Scan-Result: 0
X-MessageSniffer-Rules: 0-0-0-5195-c
X-CMAE-Scan-Result: 0
X-CNFS-Analysis: v=2.1 cv=Ksx0hwmN c=1 sm=0 tr=0 a=03oFrmF08fajSB7oc4goJw==:117 a=3DDquuGS2V5BkRhJnJP3ow==:17 a=L9H7d07YOLsA:10 a=9cW_t1CCXrUA:10 a=s5jvgZ67dGcA:10 a=AsRiV6KZ74iSbj+k8RJYJIAeGPg=:19 a=2L8f7PMcNrQA:10 a=7OsogOcEt9IA:10 a=KXl77lDgDEgIEtoqJYcA:9 a=_6GpL_ENAAAA:8 a=ZYf_q_66Zn7mdDxIrUkA:9 a=giY71Mj1q15_ivv6:21 a=NF3jo81ehh1LRULu:21 a=wPNLvfGTeEIA:10 a=xupg4knwUDYA:10 a=iDzWDAaf-0_1B4d3PKkA:9 a=AX674DPcPDPt-UkY:21 a=v5bIRgG1RGZFvm2Y:21 a=_W_S_7VecoQA:10
X-Orig-To: james@mydomain.com
X-Originating-Ip: [198.71.225.37]
Received: from [198.71.225.37] ([198.71.225.37:50277] helo=a2nlsmtp01-03.prod.iad2.secureserver.net) by smtp48.gate.iad3a.rsapps.net (envelope-from <harry@mydomain.com>) (ecelerity 2.2.3.49 r(42060/42061)) with ESMTPS (cipher=AES256-SHA) id B2/C7-21891-17EB1F65; Tue, 22 Mar 2016 18:51:50 -0400
Received: from a2plcpnl0576.prod.iad2.secureserver.net ([198.71.236.72]) by : HOSTING RELAY : with SMTP id iUAOaPfNohy43iUAOaMLT4; Tue, 22 Mar 2016 14:48:44 -0700
Message-ID: <B7.A7.22894.92AA1664@smtp48.gate.iad3a.rsapps.net>
Received: from [77.234.42.143] (port=65110 helo=[100.100.48.14]) by a2plcpnl0576.prod.iad2.secureserver.net with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.85_1) (envelope-from <harry@mydomain.com>) id 1aiUAO-0010vj-5P for james@mydomain.com; Tue, 22 Mar 2016 14:48:44 -0700
Content-Type: multipart/alternative; boundary="===============0122389713=="
MIME-Version: 1.0
Subject: Important
To: Recipients <harry@mydomain.com>
From: "Harry" <harry@mydomain.com>
Date: Tue, 22 Mar 2016 16:48:39 -0500
Reply-To: hitmeup55@hotmail.com
X-Antivirus: avast! (VPS 160322-0, 03/22/2016), Outbound message
X-Antivirus-Status: Clean
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - a2plcpnl0576.prod.iad2.secureserver.net
X-AntiAbuse: Original Domain - mydomain.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - mydomain.com
X-Get-Message-Sender-Via: a2plcpnl0576.prod.iad2.secureserver.net: authenticated_id: admin@weirddomain.com
X-Source:
X-Source-Args:
X-Source-Dir:
X-CMAE-Envelope: MS4wfEPENpifHOCgRpfP6548FFaFh5aGvLkdZm1fLn1ObUi/GIxIvKJEpHzquISJMsZqy70pnMkKI97Q9A0DqQ32JQ78HW6S1tBah8JgoDrTNI9F4pp4EDOM HTkGtTYtUC9r9UUrKvESTtmSFszS6652/MgX84oIFe88If6ClU4eOj36h5+xgnUIKFWOr106/ju1qIlkFmQeQS7UynivyRiK6r8QHvsju7aabN+eUPHBb+4qI
Ключевая линия здесь.
Received:
from [77.234.42.143] (port=65110 helo=[100.100.48.14])
by a2plcpnl0576.prod.iad2.secureserver.net
with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.85_1)
(envelope-from <harry@mydomain.com>) id 1aiUAO-0010vj-5P
for james@mydomain.com; Tue, 22 Mar 2016 14:48:44 -0700
Он говорит, что a2plcpnl0576.prod.iad2.secureserver.net получил сообщение с SMTP AUTH сокращенно здесь как ESMTPSA из [77.234.42.143] который идентифицировал себя как [100.100.48.14] (из непубличного пространства IP-адресов второго уровня, также известного как NAT операторского уровня).
77.234.42.143 решает ten.emfme.net который должен дать нам фактического отправителя. Поскольку этот IP-адрес принадлежит облаку AVAST, вы можете получить дополнительную информацию о сообщениях, исходящих с этого IP-адреса, из abuse@avast.com.