Scammers usando meu servidor de email

1

Um scammer está usando meu servidor de e-mail para enviar seus golpes, existe alguma maneira de bloqueá-lo?

Estou usando o Exim4 e o Dovecot em um distrib Debian Stable.

Aqui está a entrega de e-mail que estou recebendo:

------ This is a copy of the message, including all the headers. ------

Return-path: <[email protected]>
Received: from [210.83.81.189] (helo=User)
        by server.hotconference.com with esmtpa (Exim 4.69)
        (envelope-from <[email protected]>)
        id 1Mh7A5-0008Lz-Vo; Fri, 28 Aug 2009 15:31:03 -0400
Reply-To: <[email protected]>
From: "Mr. Frank Bell"<[email protected]>
Subject: Western Union Payment Center®
Date: Fri, 28 Aug 2009 12:30:54 -0700
MIME-Version: 1.0
Content-Type: text/html;
        charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
&nbsp;</DIV>
<DIV>
Attn: Beneficiary,</DIV>
<DIV>
&nbsp;</DIV>
<DIV>
There is an issue with the WESTERN UNION MONEY TRANSFER NIGERIA in the amount of $500.000.00 USD directed in cash credited to file KTU/9023118308/03, at the owner of this email address. The INTERNATIONAL MONETARY FUND contacted us for your compensation a couple of hours ago due to your allocated security code.</DIV>
<DIV>
They said that they choose to send it to an email address instead of a name. We are unable to complete a transfer directed at an email address, so we require some more information in order to complete this transfer.</DIV>
<DIV>
&nbsp;</DIV>
<DIV>
FULL NAME:</DIV>
<DIV>
FULL CONTACT ADDRESS:</DIV>
<DIV>
MOBILE PHONE NUMBER:</DIV>
<DIV>
OCCUPATION:</DIV>
<DIV>
MARITAL STATUS AND AGE:</DIV>
<DIV>
&nbsp;</DIV>
<DIV>
In order to resolve this problem, please email via Western Union Solicitors Fund Verification Department: [email protected]</DIV>
<DIV>
As soon as this information is received, and you have complied with the requirements of our payment of the western union charges which is $420, payment will be made to your nominated bank account or at the counter directly from The Western Union Transferring Bank.</DIV>
<DIV>
Note: That this is directly from the Management of Western Union Money Transfer NIGERIA Head Office and our Motto is (To Serve You Better).</DIV>
<DIV>
Also note that you would be responsible for any payment that is needed for the transfer of your funds into your nominated bank account or at the counter directly from the Western Union Transferring Bank.</DIV>
<DIV>
THE MANAGEMENT OF WESTERN UNION MONEY TRANSFER, DISPATCHED THIS DAY.</DIV>
<DIV>
&nbsp;</DIV>
<DIV>
Call this number for verification +2348032263275</DIV>
<DIV>
Sincerely,</DIV>
<DIV>
Mr. Frank Bell.</DIV>
</FONT>
</BODY></HTML>

E isso:

Return-Path: <>
Delivered-To: [email protected]
Received: (qmail 5451 invoked from network); 14 Sep 2009 13:46:51 -0000
Received: from mx24-g26.free.fr (HELO server.hotconference.com) (212.27.42.86)
  by mrelay6-g25.free.fr with SMTP; 14 Sep 2009 13:46:51 -0000
Received: from server.hotconference.com ([12.68.137.174])
    by mx2-g20.free.fr (MXproxy) for [email protected] ;
    Mon, 14 Sep 2009 15:46:51 +0200 (CEST)
X-ProXaD-SC: state=HAM score=10
Received: from mailnull by server.hotconference.com with local (Exim 4.69)
    id 1MnBtK-0001Qr-Le
    for [email protected]; Mon, 14 Sep 2009 09:46:50 -0400
Auto-Submitted: auto-replied
From: Mail Delivery System <[email protected]>
To: [email protected]
Subject: Warning: message 1Mh72E-0007Zk-0r delayed 384 hours
Message-Id: <[email protected]>
Date: Mon, 14 Sep 2009 09:46:50 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.hotconference.com
X-AntiAbuse: Original Domain - free.fr
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - 
X-Source: 
X-Source-Args: 
X-Source-Dir: 


This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 384 hours on the queue on server.hotconference.com.

The message identifier is:     1Mh72E-0007Zk-0r
The subject of the message is: Western Union Payment Center®
The date of the message is:    Fri, 28 Aug 2009 12:22:46 -0700

The addresses to which the message has not yet been delivered are:

  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]
  [email protected]

No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.
    
por mnml 09.09.2009 / 19:58

3 respostas

4

A menos que 210.83.81.189 pertença a você, não vejo nenhuma evidência aqui de que alguém esteja usando seu servidor para enviar e-mail.

Atualização: Ok, com base na sua edição de 14 de setembro, é possível que o seu servidor esteja sendo usado para enviar spam, ou pode não ser. A única maneira de saber seria ver sua fila de mensagens de saída e seus registros de e-mail para ver se o e-mail está sendo enviado, o que não deveria ter acontecido.

    
por 09.09.2009 / 20:04
2

Primeiro, verifique seus registros no seu servidor de e-mail. Se os cabeçalhos estão sendo forjados, você não está realmente tendo seu servidor de e-mail como intermediário. Seus logs de e-mail no servidor devem informar de onde o e-mail está chegando e saindo. Esteja ciente de que, se seu sistema for invadido, no entanto, os registros poderão ser falsificados ou alterados.

Em segundo lugar, encontre sites que testem se o seu sistema é um revezamento aberto.

Em terceiro lugar, verifique e confirme se o seu sistema está configurado para retransmitir e-mails somente para seus IPs autorizados.

Em quarto lugar, execute os verificadores de rootkits para verificar anomalias no seu sistema. Programas como rkhunter e chkrootkit.

Quinto, procure por tutoriais sobre como proteger seu servidor de e-mail que é específico para o seu software de servidor de e-mail e verifique novamente a configuração.

Em sexto lugar, olhe para seus roteadores para obter informações sobre conexões estranhas de e para sua rede, qualquer coisa suspeita. Se você puder dividi-lo por protocolo, você terá uma ideia do que está acontecendo em sua rede, independentemente de um sistema potencialmente comprometido.

Se o seu sistema estiver comprometido, você deve considerar seriamente a reinstalação do sistema operacional, como se ele tivesse sido invadido. NÃO HÁ NENHUMA MANEIRA de ter certeza de que os binários não foram substituídos e, por sua vez, estão escondendo outros malwares. Mesmo seus executáveis usados para detectar atividades poderiam ter sido alterados (PS ocultando processos específicos, por exemplo).

Além disso, se o seu sistema for comprometido como um retransmissor aberto, há uma chance de que você já esteja sendo bloqueado por outros servidores e listas de email. Você pode procurar em algumas das listas abertas para ver se o seu domínio está listado.

    
por 09.09.2009 / 20:09
2

Ainda não parece que você tenha sido comprometido - 210.83.81.189 está lhe enviando um e-mail com um caminho de retorno forjado e resposta. A única razão pela qual isso está indo para o seu servidor de e-mail é porque ele é endereçado a você.

Verifique os logs do servidor para ver se o servidor de e-mail está realmente enviando e-mails fraudulentos para outros computadores e, em seguida, informe-os.

    
por 09.09.2009 / 20:56