Трудно сказать наверняка, но я думаю, что это наиболее вероятный сценарий:
- Доменное имя отправителя не имеет записи SPF, которая ограничивает IP-адреса, которым разрешено отправлять электронные письма для домена.
Другие возможные сценарии от макушки головы в порядке убывания вероятности из моего опыта:
- Учетная запись отправителя или почтовый сервер были взломаны и рассылают спам по контактам, известным на сервере.
- У доменного имени отправителя действительно есть заметные записи SPF, но антиспамовая программа вашего почтового сервера не проверяет поддельные электронные письма.
- Ваш почтовый сервер или учетная запись были взломаны, а распространитель вредоносного ПО использует ваш список контактов для размещения сообщений с вредоносными программами в вашем почтовом ящике.
Сценарий 1 - неправильно настроен отправитель SPF
Это наиболее вероятный сценарий, потому что вы указали в обновлении своего вопроса, что адреса электронной почты отправителей являются "причудливыми"; отправитель-подделчик может не знать реальных почтовых ящиков в целевом домене.
симптом
Вы получили электронное письмо от кого-то, но этот человек отрицает отправку электронного письма. Они могут отображать не соответствующие записи в папке отправленных сообщений или даже журналы электронной почты отправляющего сервера.
причина
Доменное имя отправителя не имеет записи SPF (Sender Policy Framework), которая предотвращает подделку.
диагностика
Вы можете проверить запись SPF домена example.com с помощью этой команды:
nslookup -type=TXT example.com
Замените example.com доменным именем отправителя. Вы можете увидеть запись, которая выглядит следующим образом:
"v=spf1 +a +mx +ip4:127.0.0.1 -all"
В приведенном выше примере
+a средство, позволяющее IP-адресу (ям) записи A домена отправлять электронные письма от имени этого домена.+mx означает разрешение записей MX домена и разрешение этим доменам отправлять электронную почту.+ip4:127.0.0.1 означает, что IP-адрес 127.0.0.1 позволяет отправлять электронные письма для этого домена.-all означает отклонять все другие IP-адреса от отправки электронных писем для этого домена.
Если отправитель не имеет -all в своей записи SPF, получающие почтовые серверы, которые проверяют SPF, могут принимать поддельные электронные письма, которые могли быть отправлены кем-либо.
Вы можете проверить фактического отправителя письма, прочитав заголовки Received: в полученном вами вредоносном письме. Заголовки Received: расположены в обратном порядке каждого почтового сервера, через который прошло письмо, но учтите, что заголовки, не добавленные почтовым сервером, могут быть подделаны. Первый заголовок Received: добавленный вашим почтовым шлюзом, показывает, откуда пришло письмо. Пример:
Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.91)
(envelope-from <jason@luxurylifestylereport.net>)
id 1gUudZ-00BGJx-L7
for example@deltik.org; Thu, 29 Nov 2018 06:49:21 -0600
В приведенном выше примере электронное письмо пришло от 40.107.81.54 , который прошел проверку SPF ("v=spf1 include:spf.protection.outlook.com -all") для домена отправителя спама, luxurylifestylereport.net , поэтому электронная почта был принят.
Кроме того, если у вас есть доступ к журналам почтового сервера, вы можете прочитать происхождение письма оттуда.
разрешение
Начальник почтового отправителя должен настроить запись SPF для своего домена, чтобы спаммеры не могли подделать домен для электронных писем. Это не то, что вы можете сделать.
Пока их почтмейстер не исправит это, вы можете попытаться настроить параметры защиты от спама, чтобы блокировать электронные письма с вредоносными вложениями или спам-содержимым.
Сценарий 2 - электронная почта отправителя взломана
Этот сценарий менее вероятен, потому что вы сказали, что эта проблема возникает время от времени, но кто-то должен был заметить и сообщить об этом в прошлом.
симптом
В заголовках писем вы можете видеть, что письмо пришло с IP-адреса, которому разрешено отправлять электронные письма для домена отправителя.
причина
Почтовый сервер по IP-адресу или сервер, который отправляет почту через него, был взломан. Хакер, возможно, также нашел копию контактов, о которых знает отправитель, и пытается отправить их по электронной почте в надежде найти кого-то подходящего.
диагностика
Тот же процесс, что и в сценарии 1
разрешение
Начальнику отправителя необходимо остановить и обезопасить свою систему электронной почты. Это не то, что вы можете сделать.
Пока их почтмейстер не исправит это, вы можете попытаться настроить параметры защиты от спама, чтобы блокировать электронные письма с вредоносными вложениями или спам-содержимым.
Сценарий 3. Прием почтового сервера не проверяет записи SPF
Этот сценарий менее вероятен, потому что спаммеры не захотят тратить ресурсы, пытаясь подделать электронные письма для домена, который уже защищает себя от подделки. Вы, вероятно, также получили бы много поддельных писем от других доменных имен.
симптом
Вы получили электронное письмо от кого-то, но этот человек может доказать, что он не отправил его. Фактически, любой может проверить, что запись SPF домена настроена правильно, однако полученное вами электронное письмо пришло с IP-адреса, запрещенного записью SPF домена.
причина
Ваш почтовый сервер не отфильтровывает поддельные письма.
диагностика
Тот же процесс, что и в сценарии 1, но вы можете видеть, что IP-адрес отправителя не проходит проверку SPF
разрешение
Обратитесь к документации вашего почтового сервера, чтобы узнать, как настроить проверку SPF.
Сценарий 4 - Компрометация учетной записи электронной почты получателя
Этот сценарий менее вероятен, потому что более выгодно скрывать тот факт, что вы были скомпрометированы от вас, и использовать хорошую репутацию своего адреса электронной почты для рассылки спама другим. Кроме того, злоумышленник, вероятно, будет диверсифицировать адрес электронной почты источника.
симптом
В журналах входящей электронной почты не отображается появившаяся электронная почта, или заголовки полученной электронной почты не имеют смысла.
причина
Кто-то надеется получить больше доступа к вам, помещая вредоносные письма в уже скомпрометированную учетную запись электронной почты, не отправляя никаких писем. Электронные письма могут быть добавлены по протоколу IMAP.
диагностика
Проверьте журналы вашего почтового сервера на наличие аутентификаций, которые вы не можете распознать.
разрешение
Измените пароль своей учетной записи электронной почты.
