1

Мне нужна помощь по поводу невозможного отслеживания вредоносного ПО, рассылающего спам по всему списку моих контактов с помощью прямой отправки по SMTP.

  • Он использует мой личный адрес электронной почты (интернет-провайдер, POP3/SMTP, а не через Интернет, так как я не могу найти ничего, кроме проблем, связанных с gmail или hotmail, и отвечаю в Интернете, что НЕ в моем случае) и может просматривать и использовать мои контакты. список для отправки коротких спам-сообщений со ссылкой на какой-либо зараженный веб-сайт группе получателей (единственный способ обнаружить, что происходит что-то неправильное, - это получать сообщения об ошибках при возврате, например, когда один из адресов в списке устарел, или когда один из серверов получателей или интернет-провайдеров отклоняет его)

  • Мой провайдер проверил историю по датам и времени, указанным в таких возвращаемых предупреждениях, и может подтвердить, что спам был фактически отправлен с моего IP-адреса, поэтому он НЕ только подделывает мой адрес: мой компьютер был фактическим отправителем. Кстати, все получатели находятся в моем фактическом списке контактов.

  • Это началось, когда я использовал свой старый компьютер под управлением Windows XP и Outlook Express. Тем не менее, теперь он делает то же самое на моем новом компьютере под управлением Windows 7 Pro и Thunderbird, что означает, что он также может просматривать мой список контактов Thunderbird, а не только старый очевидный WAB-файл Outlook Express.

Недавно один из моих клиентов сообщил об этой же проблеме (они заметили, что некоторые серверы их клиентов занесли их в черный список, и они начали получать те же недоставленные сообщения о возврате, что и я). Кстати, их провайдер такой же, как мой (см. Ниже о том факте, что они могут разрешить анонимный SMTP). В ее случае ее компьютер работает под управлением Windows 10 Professional, а она использует MS Outlook 2007.

  • Скорее всего, в любом случае он не использует мою почтовую клиентскую программу для выдачи спам-писем (хотя, конечно, трудно сказать, что она не запускается в фоновом режиме), но, конечно, компьютер должен быть оставлен включенным, Обычно он отправляет их ночью (в большинстве случаев с 1 до 3 часов утра, хотя иногда они выдаются в дневное время), когда мой почтовый клиент закрыт.

Поэтому он должен напрямую подключаться к моему провайдеру по SMTP-серверу (используя, конечно, мой адрес электронной почты и пароль, хотя мой провайдер может разрешить анонимный SMTP, что, конечно, является проблемой).

К сожалению, мой местный интернет-провайдер не использует ни SSL, ни TLS-шифрование (хотя я думаю, что это не изменится, если не требуется пароль). Однако, учитывая, что он может получить мой адрес электронной почты и список контактов, я думаю, что, вероятно, было не так сложно получить и мой сохраненный пароль, поскольку, например, NirSoft может это сделать).

  • Ни одно антивирусное программное обеспечение не может обнаружить что-либо, но оно все еще там, спамит весь мой список контактов примерно два раза в месяц, иногда чаще, иногда только один раз: частота, час и т.д. Абсолютно случайны и непредсказуемы.

Я перепробовал все, что посоветовали в Интернете, но безрезультатно.

  • Конечно, ручная проверка реестра, служб и т.д. Не показывает ничего подозрительного при запуске. И все же, чертов процесс должен скрываться где-то, иначе он не сможет разорвать сотни тысяч писем в течение нескольких секунд, как это происходит!

Так что теперь я только что попытался заблокировать его с помощью правил брандмауэра;

Однако, используя брандмауэр Microsoft, я мог бы добавить исходящее правило, позволяющее Thunderbird использовать порт 25 с аутентификацией пользователя, но я абсолютно не уверен, делает ли это правило эксклюзивным, то есть включение этого, вероятно, не отключает другое использование.

К сожалению, добавление еще одного правила, блокирующего порт 25, не делает вышеприведенное правило исключением. Если я это сделаю, это просто не даст мне вообще отправлять письма, несмотря на явное разрешение. По-видимому, правило запрета переопределяет разрешение, в котором я хотел бы получить совершенно противоположное поведение (заблокировать все, затем разрешить исключение).

В идеале я хотел бы получить любую попытку из единственно разрешенного приложения (Thunderbird в моем текущем случае), чтобы я мог регистрировать, чтобы я мог отследить виновника.

  • Кто-нибудь из вас когда-либо слышал о такой проблеме, и, возможно, мог бы привести меня к решению, или к кому-то, кто мог бы решить эту проблему, или знал бы о каком-либо инструменте, который был бы более эффективен при ее обнаружении?

  • Кто-нибудь знает, как я мог настроить брандмауэр, чтобы он блокировал любое использование порта 25, но из одного разрешенного приложения? И в идеале, как регистрировать любые попытки любого процесса, кроме разрешенного? Или, может быть, какое-нибудь бесплатное программное обеспечение стороннего брандмауэра, которое будет делать эту работу?

Конечно, выявление виновного и возможность его устранения было бы идеальным, но если это невозможно, предотвращение причинения вреда все равно будет приемлемым компромиссом, пока антивирус не сможет обнаружить его однажды.

РЕДАКТИРОВАТЬ :

Вот пример: http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip

РЕДАКТИРОВАТЬ: итак, анализ заголовка поможет вам узнать, был ли спам с вашего ПК или ваш адрес электронной почты был подделан.

Проблема решена в моем случае, благодаря ответу Дэвида ниже. Это объясняет, почему ни один антивирусный инструмент не может найти ничего подозрительного на месте.

|источник

1 ответ1

1

Откуда на самом деле пришло это письмо?

Мой провайдер проверил историю по датам и времени, указанным в таких возвращаемых предупреждениях, и может подтвердить, что спам был фактически отправлен с моего IP-адреса, поэтому он НЕ только подделывает мой адрес: мой компьютер был фактическим отправителем

Мой провайдер canl.nc

Вот заголовки из одного такого возвращенного электронного письма:

Return-Path: <my email address>
Received: from localhost (localhost [127.0.0.1])
  by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2;
  Sun,  7 Aug 2016 23:00:34 +0800 (MYT)
X-Virus-Scanned: amavisd-new at zakat.com.my
Received: from mail.zakat.com.my ([127.0.0.1])
  by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024)
  with ESMTP id cl7meerEgQyi; Sun,  7 Aug 2016 23:00:33 +0800 (MYT)
Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227])
  by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085;
  Sun,  7 Aug 2016 23:00:28 +0800 (MYT)
From: <my email address>
To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address>
Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?=
Date: Sun, 7 Aug 2016 17:59:57 +0300
Message-ID: <0000ec23df25$94587aa0$cc09b055$@canl.nc>

Ваш провайдер некомпетентен:

  • Это письмо не пришло от вас (если вы не живете в Польше)

  • Пришло от 82.160.175.227 (Польша)

    % Information related to '82.160.175.0 - 82.160.175.255'

% Abuse contact for '82.160.175.0 - 82.160.175.255' is 'abuse@tktelekom.pl'

inetnum 82.160.175.0 - 82.160.175.255
netname PL-NETLINE-STARGARD
descr   Net-line sp. z o.o.
descr   Stargard Szczecinski
country PL
admin-c LH133-RIPE
tech-c  LH133-RIPE
status  ASSIGNED PA
mnt-by  NETIA-MNT
mnt-lower   NETIA-MNT
mnt-routes  NETIA-MNT
created 2014-04-07T07:36:13Z
last-modified   2016-03-15T14:24:30Z
source  RIPE # Filtered

  • Он был отправлен (и доставлен) на mail.zakat.com.my (Малайзия).

  • zakat.com.my отклонил письмо с ошибкой 451 smtp:

    Если вы получили одно из указанных выше (или аналогичных) сообщений об ошибках со своего почтового сервера (после того, как вы отправили несколько сообщений), значит, вы достигли ограничения на свой почтовый сервер (или учетную запись электронной почты). Это означает, что ваш почтовый сервер не будет принимать дальнейшие сообщения, пока вы не подождете некоторое время.

    Ваш почтовый аккаунт может иметь одно или несколько ограничений:

    • Дневной лимит почты, например, макс. 2000 сообщений в день
    • Почтовый лимит, например, макс. 500 сообщений в час
    • Предел скорости отправки сообщений

  • Уведомление об отказе было отправлено вам, потому что:

    Return-Path: <my email address>

  • Ваш интернет-провайдер canl.nc. Ни при каких обстоятельствах отправка этого письма не может быть связана с canl.nc. Они участвуют только потому, что отскок был отправлен вам.

Так что же на самом деле произошло?

  1. Ваша адресная книга как-то просочилась.

  2. Спамер в Польше отправил спам с поддельным адресом электронной почты, который был возвращен с IP-адреса 82.160.175.227.

  3. Спам был отправлен на mail.zakat.com.my и отклонен - возможно, потому, что mail.zakat.com.my заметил слишком много спама, приходящего с IP-адреса спаммера.

    • mail.zakat.com.my настроен не очень хорошо, так как 82.160.175.227 на самом деле находится в черном списке IP-адреса.

    • mail.zakat.com.my не является открытым ретранслятором, поэтому возможно, что у спаммера есть учетная запись.

  4. Таким образом, спам отскочил, и вы получили то, что называется обратным рассеянием:

    Обратное рассеяние (также известное как рассылка, ошибочные перенаправления, возврат или сопутствующий спам) - это неправильно автоматизированные сообщения о пересылке, отправляемые почтовыми серверами, как правило, как побочный эффект входящего спама.

Заметки:

  1. Многие заголовки писем могут быть (и обычно) подделаны спамерами при отправке спама.

    • Адрес "От:"
    • Обратный путь: адрес
    • Некоторые заголовки «Received:» также могут быть подделаны.

  2. Подделка SMTP-сообщений показывает, насколько легко это можно сделать с помощью открытого (незащищенного) ретрансляционного почтового сервера.

Анализ заголовков писем

Существует много инструментов для анализа заголовков писем, некоторые из которых могут показать, есть ли какой-либо из IP-адресов в цепочке в черных списках спама.

Эти инструменты также могут определить, подделаны ли какие-либо заголовки «Received:» в цепочке.

Одним из таких инструментов является MxToolbox Email Header Analyzer.

Анализ с помощью этого инструмента показывает следующие результаты:

дальнейшее чтение

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .