Spam mail encaminhado pelo meu servidor usando um usuário válido

Navegue suas respostas
2

Estou recebendo mensagens "E-mail não entregue devolvido ao remetente". As mensagens de e-mail relevantes estão sendo encaminhadas usando um usuário válido ([email protected]) no meu servidor (server1.nbicharts.com). Eu controlo esse endereço de e-mail, então não sou eu quem está fazendo o encaminhamento. Eu testei que meu servidor não é um retransmissor aberto, então preciso de ajuda sobre como rastrear a vulnerabilidade que está permitindo que isso aconteça. Eu presumo que, embora eu esteja vendo apenas as mensagens não entregues, deve haver mais coisas sendo entregues.

Qualquer ajuda será muito apreciada.

Aqui está uma mensagem típica: 

        This is the mail system at host server1.nbicharts.com.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<[email protected]>: host b.as.safentrix.com[23.239.12.179] said:
    550 5.1.1 <[email protected]>: Recipient address rejected: User
    unknown (in reply to RCPT TO command)



Reporting-MTA: dns; server1.nbicharts.com
X-Postfix-Queue-ID: D7340580C88
X-Postfix-Sender: rfc822; [email protected]
Arrival-Date: Sat, 25 Jul 2015 06:35:04 -0400 (EDT)

Final-Recipient: rfc822; [email protected]
Original-Recipient: rfc822;[email protected]
Action: failed Status: 5.1.1
Remote-MTA: dns; b.as.safentrix.com
Diagnostic-Code: smtp; 550 5.1.1 <[email protected]>: Recipient
    address rejected: User unknown


ForwardedMessage.eml
Subject: Reply: kavithamai
From: kavithamai <[email protected]>
Date: 07/25/2015 01:35 AM
To: "hrrecruitmentcell" <[email protected]>

Begin forwarded message

>  
>>
>>> http://freefinancialstresstest.com/lazbqala.php?kavithamai
>
> From: Kavithamai [email protected]
> Date: Fri, 25 Jul 2015 11:35:04 +0000
> To: Hrrecruitmentcell
> Subject: Re: Fwd
>
> 7/25/2015 11:35:04 AM

Sent from my iPad

Aqui o mail.log 

Jul 25 06:35:06 server1 postfix/smtp[18650]: D7340580C88: to=<[email protected]>, relay=b.as.safentrix.com[23.239.12.179]:25, delay=1.8, delays=1.1/0/0.45/0.2, dsn=5.1.1, status=bounced (host b.as.safentrix.com[23.239.12.179] said: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown (in reply to RCPT TO command))
    
por user1142052 26.07.2015 / 10:40

2 respostas

3

Você fez algumas pesquisas e descobriu que o e-mail de saída original foi enviado pelo seu servidor. Isso significa que, em casos assim, você não estava joe-jobbed .

A pesquisa pelos registros mostrou que o usuário em questão foi autenticado para enviar e-mails da Orange Slovakia, que provavelmente será uma conexão móvel. Você deve perguntar a este usuário porque ele está autenticando para enviar e-mails da Eslováquia.

Se ele pretendia enviar este e-mail, você deve avaliar suas ações à luz de sua Política de uso aceitável. Se ele não pretendia enviá-lo, então sua conta, e provavelmente seu equipamento de computação móvel, foi comprometida, ele deveria se engajar em uma limpeza apropriada, e você deveria bloquear o seu cargo até que você esteja satisfeito que ele tenha feito isso satisfatoriamente, novamente dependendo do seu AUP para justificar suas ações.

    
por 27.07.2015 / 09:59
1

Mais provável que uma exploração de vulnerabilidade de servidor, isso parece um endereço de origem de falsificação. Um dos métodos para lidar com isso (mas não inteiramente mitigar) é usar registros SPF.

No momento, não há registros SPF para o domínio proactech.com. Isso significa que os servidores de e-mail de destino não podem verificar se uma mensagem recebida vem do seu servidor de e-mail (legítimo) ou de algum outro (não legítimo).

Se você instalar registros SPF, os sistemas de destino (que estão enviando mensagens devolvidas) que verificam a validade dos registros SPF (e há muitos deles hoje) rejeitarão as mensagens recebidas de servidores não permitidos por esses registros SPF e eles não tentarão entregar tais mensagens. Isso significa que não há saltos para você.

Você também pode considerar a instalação do DKIM, que é outro recurso que pode ajudar a atenuar uma parte do problema. Eu acho que o SPF é verificado mais amplamente do que o SPF, então a primeira coisa a fazer é o SPF, mas se for possível, também instale o DKIM, apenas para ter certeza de que você fez o melhor que pôde.

    
por 26.07.2015 / 16:50

Tags

nginx vários servidores frontend com configuração de DNS SSL? Como não permitir reset / reboot / shutdown no linux quando usuários ssh estão conectados? [fechadas]