Yahoo アカウントで配信エラーが発生していることに気づきました。データ/メール/サーバーの一部が記載されています:
h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address
h2.adriantnt.com
このスパムが私のサーバーから発信されたものなのか、それとも単なる偽のバウンスなのかはわかりません。
私の Yahoo アカウントでこれを見つけたのは非常に奇妙です。私の記憶では、このサーバーと私の Yahoo メールの間には何の関連もありません。
完全なメッセージ ヘッダー:
From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
_4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com from=h2.adriantnt.com; domainkeys=neutral (no sig); from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO h2.adriantnt.com) (176.9.76.194)
by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935
メールの内容 http://pastebin.com/yW4cLJ53
このSuperUserテキストフィールドではサポートされていないアジア文字が含まれているため、^を添付しました
他にも私が見る
Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)
これは有効な Facebook IP です。そのメッセージは Facebook インターフェースから開始されましたか?
答え1
このスパムが私のサーバーから発信されたものかどうかはわかりません
メッセージはあなたのサーバーから送信されました176.9.76.194
。ただし、これはスパムではなく「バウンス」メッセージです。
これは、誰かがあなたの「送信元アドレス」を使用して存在しない「宛先」アドレスにメールを送信しようとしたが、メールが返送されたことを意味します。
2つの可能性があります:
あなたのサーバーがハッキングされ、元のメールはあなたのサーバーから送信されました。
誰かがあなたの「送信元」アドレスを使用して電子メールを偽造しました。
スパマーはこれを頻繁に行っており、ほとんどの電子メール ヘッダーは簡単に偽造できます。
- 「差出人:」アドレス
一部の「Received:」ヘッダーも偽造される可能性があります。
SMTPメッセージのなりすましオープンな (セキュリティ保護されていない) リレー メール サーバーを使用して、これをいかに簡単に実行できるかを示します。
ただし、メッセージ全体の pastebin コピーには次のように書かれています:
こんにちは。これは h2.adriantnt.com の qmail-send プログラムです。申し訳ありませんが、次のアドレスにメッセージを配信できませんでした。これは恒久的なエラーです。諦めました。うまくいかなくて申し訳ありません。
配送先住所は です[email protected]
。
したがって、qmail サーバーが侵害されたように見えます。メールを配信できなかった (そもそもメールを送信しようとした) というメッセージが表示されています。
Gmail がスパムと判断したため、配信できませんでした:
Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2 12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp
アップデート
チャットでの会話に従って、メールadriantnt.com
は自動的に Gmail に転送されます。
最も可能性の高い説明は、偽造メールからのバウンスが によって受信されadriantnt.com
、Gmail に転送され、その後 Gmail によってスパムとして拒否されたというものです。
これは上記の qmail メッセージについて説明しています。
バウンスメッセージとは何ですか?
インターネットの標準電子メール プロトコル SMTP では、バウンス メッセージは、配信不能レポート/受信 (NDR)、(失敗した) 配信状態通知 (DSN) メッセージ、配信不能通知 (NDN)、または単にバウンスとも呼ばれ、メール システムから送信される自動電子メール メッセージで、別のメッセージの送信者に配信に関する問題を通知します。元のメッセージはバウンスされたとみなされます。
メール配信の複数の場所でエラーが発生する場合があります。送信者は、自分のメール サーバーから、メッセージを配信できなかったことを報告するバウンス メッセージを受信する場合もあれば、受信者のメール サーバーから、メッセージを受け取ったものの、配信できないことが判明したことを報告するバウンス メッセージを受信する場合もあります。サーバーが配信のためにメッセージを受け入れる場合、配信が失敗した場合に DSN を配信する責任も受け入れることになります。
さまざまな理由、特に偽造スパムや電子メール ウイルスにより、ユーザーは実際には送信していないメッセージに対する誤ったバウンス メッセージを受信する場合があります。
ソースバウンスメッセージ
メールのヘッダーを分析するにはどうすればよいですか?
電子メール ヘッダーを分析するツールは多数あり、その中にはチェーン内の IP アドレスのいずれかがスパム ブラックリストに登録されているかどうかを表示できるものもあります。
これらのツールは、チェーン内の「Received:」ヘッダーが偽造されているかどうかも判断できます。
MxToolbox メールヘッダーアナライザー
このツールに電子メールのヘッダーを入力すると、次の出力が生成されます。