Этот спам исходит от моего сервера?

Question

Я заметил некоторые ошибки доставки в моей учетной записи Yahoo, там упоминаются некоторые из моих данных / электронной почты / серверов:

h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
adriantnt333@yahoo.com - my yahoo account where I found this message
adriantnt333@gmail.com - my gmail address

Я не могу сказать, исходит ли этот спам с моего сервера h2.adriantnt.com или это просто фальшивка.

Очень странно, что я нашел это в своей учетной записи Yahoo, насколько я помню, у меня нет никаких связей между этим сервером и моей электронной почтой Yahoo.

Полный заголовок сообщения:

From MAILER-DAEMON@h2.adriantnt.com Fri Jul 31 04:31:05 2015
X-Apparently-To: adriantnt333@yahoo.com; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
 ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
 r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
 q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
 RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
 QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
 KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
 TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
 lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
 M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
 5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
 NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
 7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
 nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
 8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
 Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
 qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
 TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
 j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
 Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
 uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
 tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
 AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
 xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
 _4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
 0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com  from=h2.adriantnt.com; domainkeys=neutral (no sig);  from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO h2.adriantnt.com) (176.9.76.194)
  by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: MAILER-DAEMON@h2.adriantnt.com
To: adriantnt333@yahoo.com
Subject: failure notice
Content-Length: 5935

Содержимое электронной почты http://pastebin.com/yW4cLJ53

Я прикрепил его ^, потому что он содержит азиатские символы, не поддерживаемые этим текстовым полем SuperUser

Среди других я вижу

Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)

Это действительный IP-адрес Facebook, это сообщение инициировано из интерфейса Facebook?

Answer 1

Я не могу сказать, исходит ли этот спам от моего сервера

Сообщение пришло с вашего сервера 176.9.76.194 . Однако это сообщение "отказов", а не спам.

Это означает, что кто-то пытался отправить электронное письмо с вашим "от адреса" на несуществующий "адрес", и оно было отклонено.

Есть две возможности:

1. Ваш сервер был взломан, и исходное письмо пришло с вашего сервера.

2. Кто-то подделал письмо с вашим адресом "от".

   Спаммеры делают это постоянно, и большинство заголовков писем легко подделать.

   • Адрес "От:"

   • Некоторые заголовки «Received:» также могут быть подделаны.

     Подделка SMTP-сообщений показывает, насколько легко это можно сделать с помощью открытого (незащищенного) ретрансляционного почтового сервера.

Тем не менее, ваша копия полного сообщения гласит:

Привет. Это программа qmail-send на h2.adriantnt.com. Боюсь, я не смог доставить ваше сообщение по следующим адресам. Это постоянная ошибка; Я сдался. Извините, это не сработало.

Адрес доставки был adriantnt333@gmail.com .

Таким образом, похоже, что ваш qmail-сервер был скомпрометирован, поскольку он сообщает вам, что не может доставить почту (указывая, что он пытался отправить ее в первую очередь).

Не удалось доставить, потому что Gmail думал, что это спам:

Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2      12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1  https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp

---

Обновить

Согласно разговору в чате, почта на adriantnt.com автоматически пересылается на gmail.

Наиболее вероятным объяснением является отказ от поддельного электронного письма, полученного adriantnt.com , перенаправленного на gmail и отклоненного как спам в gmail.

Это объясняет сообщение qmail выше.

---

Что такое отказов?

В стандартном SMTP-протоколе электронной почты в Интернете - сообщение о возврате, также называемое отчетом о недоставке (NDR), сообщением об отказе в доставке (DSN), уведомлением о недоставке (NDN) или просто отказов, является автоматическим сообщением электронной почты из почтовой системы, информирующим отправителя другого сообщения о проблеме доставки. Говорят, что оригинальное сообщение отскочило.

Ошибки могут возникать в нескольких местах при доставке почты. Отправитель может иногда получать сообщение о сбое от своего почтового сервера, сообщая, что он не смог доставить сообщение, или, альтернативно, от почтового сервера получателя, сообщающего, что, хотя он принял сообщение, он теперь находит его невозможным для доставки - когда сервер принимает сообщение для доставки, а также принимает на себя ответственность за доставку уведомления о доставке в случае сбоя доставки.

По разным причинам, в частности, по поддельным спамам и вирусам электронной почты, пользователи могут получать ошибочные рикошеты, отправленные в ответ на сообщения, которые они никогда не отправляли.

Исходное сообщение

---

Как я могу проанализировать заголовки писем?

Существует много инструментов для анализа заголовков писем, некоторые из которых могут показать, есть ли какой-либо из IP-адресов в цепочке в черных списках спама.

Эти инструменты также могут определить, подделаны ли какие-либо заголовки «Received:» в цепочке.

---

MxToolbox Email Header Analyzer

Загрузка заголовков вашей электронной почты в этот инструмент приводит к следующему выводу:

---

дальнейшее чтение

• Учебник - Анализ заголовка почты для защиты от подделки
• Пример - подмена SMTP-сообщения