Um amigo meu começou a receber notificações de entrega com falha ontem (23 de junho de 2014) em todos os seus e-mails de domínio, e então ele me pediu para investigar.
Eu tenho procurado por vários registros e seus registros de conta não mostram nenhum login incomum, no entanto, seus registros do apache mostram algumas entradas interessantes.
Eu fiz algumas pesquisas e, com base em outras mensagens de falha do servidor, eles são o aperto de mão inicial do SSL. Normalmente eu ignoraria esse tipo de atividade como bot geral, mas dada a proximidade com as tentativas de spam, eu queria ter certeza:
...76.133.2 - - [20/Jun/2014:22:04:22 -0400] "\x80w\x01\x03\x01" 501 653 "-" "-"
...76.133.2 - - [20/Jun/2014:22:04:25 -0400] "GET /HNAP1/ HTTP/1.1" 404 887 "[removed]" "Opera/9.60 (Windows NT 5.1; U; de) Presto/2.1.1"
O referenciador que marquei como [removido] aponta para o IP de seu site visitado.
Ele tem de 6 a 10 domínios, e todos eles parecem receber o mesmo pedido a poucos minutos um do outro, em vários momentos diferentes, começando do dia 19 até ontem (24).
Enquanto ele parou por enquanto, e eu disse a ele para escanear completamente o (s) seu (s) computador (es), não tenho idéia se isso é devido a alguma vulnerabilidade que pode ser indicada com esses logs, ou se é uma coincidência. O hospedeiro está nos dando tão pouca informação, sobre a única coisa que eu posso dizer é que eles não entraram no painel de controle, o que não é cpanel mas alguma coisa aparentemente proprietária. Seu host é IXWebhosting, se isso ajudar.
Minha principal questão é, isso pode ser simplesmente devido a não ter nenhum registro SPF para nenhum de seus domínios? Ou é provável que seja algo mais ou esteja relacionado a esses logs do apache? Seu host o notificou sobre o spam por meio de um ticket de violação do ToS, por isso não tenho certeza se o SPF os acionaria fazendo isso ou não.
Um exemplo de um dos cabeçalhos de spam do daemon do mailer:
Return-Path: <[hidden]@wow-tek.com>
Received: (qmail 11259 invoked by uid 399); 25 Jun 2014 20:34:36 -0000
Received: from unknown (HELO wow-tek.com) ([hidden]@[email protected])
by mail1201.opentransfer.com with ESMTPAM; 25 Jun 2014 20:34:36 -0000
X-Originating-IP: ...29.95.247
Message-ID: <[hidden]@wow-tek.com>
Date: Thu, 26 Jun 2014 00:34:35 +0400
Reply-To: "[hidden]" <[hidden]@wow-tek.com>
From: "[hidden]" <[hidden]@wow-tek.com>
MIME-Version: 1.0
To: <[hidden]@gmail.com>
Subject: I @_m fond of rel@_xing with hot p@_ls like you.
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
(Body supressed)
O endereço IP não é dele.
Também espero ter dado informações suficientes. Eu realmente não sei muito sobre e-mail forjar ou qualquer coisa nesse sentido. Eu ficaria feliz em atualizar com mais se necessário / solicitado, deixe-me saber com o que.
Tags email apache-2.2 spam