Рассылка спама через мою почту

Forged

Почетный гость
Доброго времени суток.
Помогите разобраться. Получил сегодня сообщение от человека, который жалуется, что с моего почтового сервера идёт спам.
Залез я в это письмо и увидел следующее:
mail.example.ru и mail2.example.ru - мой почтовый сервер
unknown@injured.com - пострадавший.
d00000.exe.suspect.ru - предполагаемый виновник.

Я так понимаю suspect (d00000.exe.suspect.ru) через мой почтовый сервер переслал письмо 3 лицу.
Уже сталкивался с тем, что спамеры писали письма от имени моего почтового ящика admin@example.ru мне же на admin@example.ru. Но просмотр содержимого быстро дал понять, что это спуфинг. Как с таким можно бороться?



Receivedfrom suspect (d00000.exe.suspect.ru ["suspect's IP"])
by mail.example.ru (Postfix) with ESMTPSA id 4C1C56CC2F21
for <unknown@injured.com; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom mail.example.ru (mail2.example.ru ["My IP"])
by ip-10-130-0-16 (Haraka/2.8.20) with ESMTP id 76DC8948-82E1-4563-9D0E-00F55738FA45.1
envelope-from <noreply@2injured.com>;
Sat, 14 Mar 2020 03:24:16 +0000
Receivedfrom localhost (localhost [127.0.0.1])
by mail.example.ru (Postfix) with ESMTP id 188416CC2F30
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:15 +0300 (MSK)
Receivedfrom mail.untec.ru ([127.0.0.1])
by localhost (mail.example.ru [127.0.0.1]) (amavisd-new, port 1*0**)
with ESMTP id oVuinTwQ8wPR for <unknown@injured.com>;
Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom localhost (localhost [127.0.0.1])
by mail.example.ru (Postfix) with ESMTP id 9ED1C6CC2F36
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom mail.example.ru ([127.0.0.1])
by localhost (mail.example.ru [127.0.0.1]) (amavisd-new, port 1*0**)
with ESMTP id iatRyOk9R1St for <unknown@injured.com>;
Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom suspect (d00000.exe.suspect.ru ["suspect's IP"])
by mail.example.ru (Postfix) with ESMTPSA id 4C1C56CC2F21
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
 

Surf_rider

Администратор
Команда форума
Я так понимаю suspect (d00000.exe.suspect.ru) через мой почтовый сервер переслал письмо 3 лицу.
у вас что открытый релей? Вам надо что бы ваши серверы принимали почту только для вашего домена, например только contoso.com
 

albatros

Случайный прохожий
Доброго времени суток.
Помогите разобраться. Получил сегодня сообщение от человека, который жалуется, что с моего почтового сервера идёт спам.
Залез я в это письмо и увидел следующее:
mail.example.ru и mail2.example.ru - мой почтовый сервер
unknown@injured.com - пострадавший.
d00000.exe.suspect.ru - предполагаемый виновник.

Я так понимаю suspect (d00000.exe.suspect.ru) через мой почтовый сервер переслал письмо 3 лицу.
Уже сталкивался с тем, что спамеры писали письма от имени моего почтового ящика admin@example.ru мне же на admin@example.ru. Но просмотр содержимого быстро дал понять, что это спуфинг. Как с таким можно бороться?



Receivedfrom suspect (d00000.exe.suspect.ru ["suspect's IP"])
by mail.example.ru (Postfix) with ESMTPSA id 4C1C56CC2F21
for <unknown@injured.com; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom mail.example.ru (mail2.example.ru ["My IP"])
by ip-10-130-0-16 (Haraka/2.8.20) with ESMTP id 76DC8948-82E1-4563-9D0E-00F55738FA45.1
envelope-from <noreply@2injured.com>;
Sat, 14 Mar 2020 03:24:16 +0000
Receivedfrom localhost (localhost [127.0.0.1])
by mail.example.ru (Postfix) with ESMTP id 188416CC2F30
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:15 +0300 (MSK)
Receivedfrom mail.untec.ru ([127.0.0.1])
by localhost (mail.example.ru [127.0.0.1]) (amavisd-new, port 1*0**)
with ESMTP id oVuinTwQ8wPR for <unknown@injured.com>;
Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom localhost (localhost [127.0.0.1])
by mail.example.ru (Postfix) with ESMTP id 9ED1C6CC2F36
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom mail.example.ru ([127.0.0.1])
by localhost (mail.example.ru [127.0.0.1]) (amavisd-new, port 1*0**)
with ESMTP id iatRyOk9R1St for <unknown@injured.com>;
Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
Receivedfrom suspect (d00000.exe.suspect.ru ["suspect's IP"])
by mail.example.ru (Postfix) with ESMTPSA id 4C1C56CC2F21
for <unknown@injured.com>; Sat, 14 Mar 2020 06:24:14 +0300 (MSK)
зачем принимать почту которая адресована не вам? Какой у вас почтовый сервер, есть ли антиспам какой либо ?
 

NanoSuit

Участник
Я так понимаю suspect (d00000.exe.suspect.ru) через мой почтовый сервер переслал письмо 3 лицу.
у вас что открытый релей? Вам надо что бы ваши серверы принимали почту только для вашего домена, например только contoso.com
Я конечно не знаю как у вас почта работает, но этого категорически нельзя делать. Напишите немного больше как у вас почта ходит:rolleyes:
Уже сталкивался с тем, что спамеры писали письма от имени моего почтового ящика admin@example.ru мне же на admin@example.ru. Но просмотр содержимого быстро дал понять, что это спуфинг.
Проверка получателей в AD + настройка SPF записи для домена. Советую использовать для тестов отправку почты через телнет - сразу все понятно кто кому что отправляет.
 

NanoSuit

Участник
Так еще и ваши ip адреса занесут в RBL листы за рассылку спама
 
Верх Низ