Este spam é originário do meu servidor?

Navegue suas respostas
2

Eu notei alguns erros de entrega na minha conta do Yahoo, ele menciona alguns dos meus dados / email / servidores: 

h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address

Não sei dizer se esse spam é originário do meu servidor h2.adriantnt.com ou se é apenas uma rejeição falsa.

É muito estranho que eu achei isso na minha conta do Yahoo, pelo que me lembro, não tenho associações entre este servidor e meu e-mail Yahoo.

Cabeçalho completo da mensagem: 

From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
 ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
 r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
 q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
 RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
 QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
 KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
 TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
 lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
 M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
 5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
 NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
 7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
 nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
 8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
 Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
 qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
 TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
 j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
 Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
 uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
 tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
 AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
 xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
 _4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
 0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com  from=h2.adriantnt.com; domainkeys=neutral (no sig);  from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO h2.adriantnt.com) (176.9.76.194)
  by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935

Conteúdo de e-mail link

Anexei-o ^ porque contém caracteres asiáticos não suportados por este campo de texto do SuperUser

Entre outros, vejo

Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)

Esse é um IP válido do Facebook, essa mensagem é iniciada a partir da interface do Facebook?

    
por adrianTNT 04.08.2015 / 15:24

1 resposta

3

Não sei dizer se esse spam é originário do meu servidor

A mensagem veio do seu servidor 176.9.76.194 . No entanto, é uma mensagem de "rejeição" que não é spam.

Isso significa que alguém tentou enviar um e-mail com o seu endereço "de" para um endereço "inexistente" e ele retornou.

Existem duas possibilidades:

  1. Seu servidor foi invadido e o e-mail original veio do seu servidor.

  2. Alguém falsificou o email com o seu endereço "de".

    Os spammers fazem isso o tempo todo e a maioria dos cabeçalhos de e-mail são facilmente falsificados.

    • "De:" endereço

    • Alguns cabeçalhos "Recebidos:" também podem ser falsificados.

      A falsificação de mensagens SMTP mostra a facilidade com que isso pode ser feito usando um servidor de correio de retransmissão aberto (não seguro).

No entanto, sua cópia da mensagem inteira diz:

Hi. This is the qmail-send program at h2.adriantnt.com. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out.

O endereço de entrega foi [email protected] .

Portanto, parece que o seu servidor do qmail foi comprometido, pois está dizendo que ele não pôde entregar o e-mail (indicando que tentou enviá-lo em primeiro lugar).

Não foi possível entregar porque o Gmail achou que era spam: 

Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2      12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1  https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp

Atualizar

Como por conversa no chat, o email adriantnt.com é encaminhado automaticamente para o gmail.

A explicação mais provável é que uma rejeição de um e-mail falsificado foi recebida por adriantnt.com , encaminhada para o Gmail e rejeitada como spam pelo Gmail.

Isso explica a mensagem do qmail acima.

O que é uma mensagem de devolução?

In the Internet's standard email protocol SMTP, a bounce message, also called a Non-Delivery Report/Receipt (NDR), a (failed) Delivery Status Notification (DSN) message, a Non-Delivery Notification (NDN) or simply a bounce, is an automated electronic mail message from a mail system informing the sender of another message about a delivery problem. The original message is said to have bounced.

Errors may occur at multiple places in mail delivery. A sender may sometimes receive a bounce message from their own mail server, reporting that it has been unable to delivery a message, or alternatively from a recipient's mail server reporting that although it had accepted the message, it now finds it undeliverable - when a server accepts a message for delivery, it is also accepting the responsibility to deliver a DSN in the event the delivery fails.

For various reasons, particularly forged spam and email viruses, users may receive erroneous bounce messages sent in response to messages they never actually sent.

Fonte Mensagem devolvida

Como posso analisar os cabeçalhos de e-mail?

Existem muitas ferramentas para analisar cabeçalhos de e-mail, alguns dos quais podem mostrar se algum dos endereços IP da cadeia está em listas negras de spam.

Essas ferramentas também podem dizer se algum dos cabeçalhos "Recebido:" na cadeia é forjado.

Analisador de cabeçalho de e-mail MxToolbox

Alimentar seus cabeçalhos de e-mail nessa ferramenta produz a seguinte saída:

Outrasleituras

por 04.08.2015 / 16:05

Tags

Vimperator - ExtendedHit personalizado para iniciar o script / programa na correspondência regex Como você faz backup de todos os seus e-mails, copiando a pasta 'Outlook'? (Outlook 2013)