Verificando cabeçalhos de SMTP para email falsificado (o cliente autenticou?)

2

Estou usando o serviço de e-mail rackspace e estou descobrindo que e-mails maliciosos aparentemente vêm de [email protected] to [email protected] , mas nunca foram realmente enviados por esse usuário.

De acordo com o rackspace, este e-mail foi enviado via [email protected] usando suas credenciais. Dos cabeçalhos de e-mail não posso dizer se isso seria um script em execução no secureserver.net que está fazendo isso (usando suas credenciais) ou enviando um e-mail falsificado (o script está enviando SMTP sem autenticação e apenas configurando o e-mail de / para campos em conformidade).

Minhas perguntas são:

  1. Os servidores SMTP podem receber emails de duas maneiras: 1) de outros servidores SMTP, 2) ou de um cliente que autentica e transmite por ele. Sem acesso aos logs do servidor de recebimento, onde estão os detalhes no cabeçalho que indicam que o cliente está transmitindo por meio de um nome de usuário / senha autenticados?

  2. Onde os detalhes adicionais são adicionados, estes são falsificados do remetente ou genuíno: X-Get-Message-Sender-Via: a2plcpnl0576.prod.iad2.secureserver.net: authenticated_id:[email protected] ?

  3. Embora tenhamos registros SPF para o domínio para incluir apenas o IP do servidor web e include:emailsrvr.com com o sinalizador -all , a Rackspace diz que não é possível usá-lo para verificar emails falsificados, ou isso é porque eles foram autenticados no servidor SMTP e retransmitidos neste caso?

Os cabeçalhos estão abaixo:

Delivered-To:   [email protected]
Return-Path:    <[email protected]>
Received:   from smtp48.gate.iad3a (smtp48.gate.iad3a.rsapps.net [172.27.146.93]) by store370a.mail.iad3a (SMTP Server) with ESMTP id 6B21338004D for <[email protected]>; Tue, 22 Mar 2016 18:51:50 -0400 (EDT)
X-Spam-Threshold:   95
X-Spam-Score:   0
X-Spam-Flag:    NO
X-Virus-Scanned:    OK
X-MessageSniffer-Scan-Result:   0
X-MessageSniffer-Rules: 0-0-0-5195-c
X-CMAE-Scan-Result: 0
X-CNFS-Analysis:    v=2.1 cv=Ksx0hwmN c=1 sm=0 tr=0 a=03oFrmF08fajSB7oc4goJw==:117 a=3DDquuGS2V5BkRhJnJP3ow==:17 a=L9H7d07YOLsA:10 a=9cW_t1CCXrUA:10 a=s5jvgZ67dGcA:10 a=AsRiV6KZ74iSbj+k8RJYJIAeGPg=:19 a=2L8f7PMcNrQA:10 a=7OsogOcEt9IA:10 a=KXl77lDgDEgIEtoqJYcA:9 a=_6GpL_ENAAAA:8 a=ZYf_q_66Zn7mdDxIrUkA:9 a=giY71Mj1q15_ivv6:21 a=NF3jo81ehh1LRULu:21 a=wPNLvfGTeEIA:10 a=xupg4knwUDYA:10 a=iDzWDAaf-0_1B4d3PKkA:9 a=AX674DPcPDPt-UkY:21 a=v5bIRgG1RGZFvm2Y:21 a=_W_S_7VecoQA:10
X-Orig-To:  [email protected]
X-Originating-Ip:   [198.71.225.37]
Received:   from [198.71.225.37] ([198.71.225.37:50277] helo=a2nlsmtp01-03.prod.iad2.secureserver.net) by smtp48.gate.iad3a.rsapps.net (envelope-from <[email protected]>) (ecelerity 2.2.3.49 r(42060/42061)) with ESMTPS (cipher=AES256-SHA) id B2/C7-21891-17EB1F65; Tue, 22 Mar 2016 18:51:50 -0400
Received:   from a2plcpnl0576.prod.iad2.secureserver.net ([198.71.236.72]) by : HOSTING RELAY : with SMTP id iUAOaPfNohy43iUAOaMLT4; Tue, 22 Mar 2016 14:48:44 -0700
Message-ID: <[email protected]>
Received:   from [77.234.42.143] (port=65110 helo=[100.100.48.14]) by a2plcpnl0576.prod.iad2.secureserver.net with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.85_1) (envelope-from <[email protected]>) id 1aiUAO-0010vj-5P for [email protected]; Tue, 22 Mar 2016 14:48:44 -0700
Content-Type:   multipart/alternative; boundary="===============0122389713=="
MIME-Version:   1.0
Subject:    Important
To: Recipients <[email protected]>
From:   "Harry" <[email protected]>
Date:   Tue, 22 Mar 2016 16:48:39 -0500
Reply-To:   [email protected]
X-Antivirus:    avast! (VPS 160322-0, 03/22/2016), Outbound message
X-Antivirus-Status: Clean
X-AntiAbuse:    This header was added to track abuse, please include it with any abuse report
X-AntiAbuse:    Primary Hostname - a2plcpnl0576.prod.iad2.secureserver.net
X-AntiAbuse:    Original Domain - mydomain.com
X-AntiAbuse:    Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse:    Sender Address Domain - mydomain.com
X-Get-Message-Sender-Via:   a2plcpnl0576.prod.iad2.secureserver.net: authenticated_id: [email protected]
X-Source:   
X-Source-Args:  
X-Source-Dir:   
X-CMAE-Envelope:        MS4wfEPENpifHOCgRpfP6548FFaFh5aGvLkdZm1fLn1ObUi/GIxIvKJEpHzquISJMsZqy70pnMkKI97Q9A0DqQ32JQ78HW6S1tBah8JgoDrTNI9F4pp4EDOM HTkGtTYtUC9r9UUrKvESTtmSFszS6652/MgX84oIFe88If6ClU4eOj36h5+xgnUIKFWOr106/ju1qIlkFmQeQS7UynivyRiK6r8QHvsju7aabN+eUPHBb+4qI
    
por g18c 25.03.2016 / 00:27

1 resposta

3

A linha chave está aqui.

Received: 
   from [77.234.42.143] (port=65110 helo=[100.100.48.14]) 
   by a2plcpnl0576.prod.iad2.secureserver.net 
   with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.85_1) 
   (envelope-from <[email protected]>) id 1aiUAO-0010vj-5P 
   for [email protected]; Tue, 22 Mar 2016 14:48:44 -0700

Ele diz que a2plcpnl0576.prod.iad2.secureserver.net recebeu uma mensagem com SMTP AUTH abreviado aqui como ESMTPSA de [77.234.42.143] que se identificou como [100.100.48.14] (do espaço de endereço IP não público de segundo nível, também conhecido como NAT de nível de operadora ).

77.234.42.143 resolve para ten.emfme.net , o que deve nos fornecer o remetente real. Como esse endereço IP pertence à nuvem AVAST, você pode obter detalhes adicionais sobre as mensagens originadas desse IP em [email protected] .

    
por 31.03.2016 / 04:02