.png)
直接 SMTP 送信を使用してすべての連絡先リストにスパムを送信する、追跡不可能なマルウェアについて助けを求めています。
このメール アドレスは私の個人メール アドレス (ISP、POP3/SMTP ベース、Web ベースではありません。Web 上では Gmail または Hotmail 関連の問題と回答しか見つかりませんでした。これは私のケースではありません) を使用し、連絡先リストを参照して、感染した Web サイトへのリンクを含む短いスパム メッセージを受信者のグループに送信することができます (問題が発生していることを検出する唯一の方法は、リスト内のアドレスの 1 つが古い場合や、受信者のサーバーまたは ISP サーバーの 1 つが拒否した場合などに、失敗の返信メッセージを受信することです)。
私の ISP は、このような返信警告に示された日時の履歴を確認し、スパムが実際に私の IP アドレスから送信されたことを証明できました。つまり、私のアドレスを偽装しているだけではなく、私のコンピューターが実際の送信者でした。ちなみに、受信者はすべて私の実際の連絡先リストに載っています。
これは、Windows XP で Outlook Express を使用していた古いコンピューターで発生しました。しかし、Windows 7 Pro と Thunderbird を実行している新しいコンピューターでも同じことが起きるようになりました。つまり、古い Outlook Express の明らかな WAB ファイルだけでなく、Thunderbird の連絡先リストも参照できるようになったのです。
最近、私の顧客の 1 人が同じ問題を報告しました (顧客の一部のサーバーがブラックリストに登録されたことに気付き、私が経験したのと同じ未配信の返信メッセージを受け取り始めたそうです)。ちなみに、その ISP は私のものと同じです (匿名 SMTP がまだ許可されている可能性があるという事実については、以下を参照してください)。彼女の場合、コンピューターは Windows 10 Professional を実行しており、MS Outlook 2007 を使用しています。
- いずれにしても、スパム メールの送信にメール クライアント プログラムが使用される可能性は低いでしょう (もちろん、バックグラウンドで起動されなければ断言はできませんが)。ただし、コンピューターの電源はオンのままにしておく必要がありますが、スパム メールは通常、メール クライアントが閉じている夜間 (ほとんどの場合、午前 1 時から 3 時頃ですが、日中に送信されることもあります) に送信されます。
したがって、SMTP を使用して ISP サーバーに直接接続する必要があります (もちろん、自分の電子メール アドレスとパスワードを使用しますが、ISP が匿名 SMTP を許可している可能性があり、これはもちろん問題です)。
残念ながら、私の地元の ISP は SSL も TLS 暗号化も使用していません (ただし、パスワードが要求されない限り、あまり変わらないと思います)。ただし、電子メール アドレスと連絡先リストを取得できることを考えると、たとえば NirSoft はパスワードを取得できるため、保存されているパスワードを取得することもそれほど難しくなかったと思われます。
- ウイルス対策ソフトウェアでは何も検出できませんでしたが、それでもまだ存在し、月に 2 回程度、時にはもっと頻繁に、時には 1 回だけの頻度で、連絡先リスト全体にスパムを送信しています。頻度、時間などはまったくランダムで予測できません。
ウェブ上でアドバイスされたことをすべて試しましたが、まったく効果がありませんでした。
- もちろん、レジストリやサービスなどを手動でチェックしても、起動時に疑わしいものは何も見つかりません。それでも、この忌々しいプロセスはどこかに潜んでいるに違いありません。そうでなければ、数秒以内に数百分の一の電子メールをバーストすることはできないはずです。
そこで、ファイアウォール ルールを使用してブロックしようとしました。
ただし、Microsoft ファイアウォールを使用して、Thunderbird がユーザー認証でポート 25 を使用できるようにする送信ルールを追加することはできますが、これによってルールが排他的になるかどうかはまったくわかりません。つまり、これを有効にしても、他の使用が無効になることはないと思われます。
残念ながら、ポート 25 をブロックする別のルールを追加しても、上記のルールは例外になりません。そうすると、明示的な許可にもかかわらず、電子メールをまったく送信できなくなります。どうやら、禁止ルールが許可ルールを上書きし、まったく逆の動作 (すべてをブロックしてから例外を許可する) を実現したいようです。
理想的には、唯一許可されているアプリ (現在の場合は Thunderbird) からのあらゆる試行がログに記録され、犯人を追跡できるようになることを望みます。
皆さんの中に、このような問題について聞いたことがある人はいませんか。解決策を教えてくれたり、この問題を解決できる人を紹介してくれたり、この問題をより効率的に検出できるツールを知っていたりする人はいませんか。
許可されたアプリ以外からのポート 25 の使用をブロックするようにファイアウォールを設定する方法をご存知の方はいませんか? また、理想的には、許可されたプロセス以外のプロセスからの試行をすべてログに記録する方法を教えてください。 または、その機能を果たす無料のサードパーティ製ファイアウォール ソフトウェアはありますか?
もちろん、犯人を特定して排除できれば完璧ですが、それができない場合は、いつかウイルス対策ソフトがそれを検出できるようになるまで、害を及ぼさないようにすることが依然として許容できる妥協策となります。
編集 :
以下にサンプルを示します。http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
編集: 結論として、ヘッダーを分析すると、スパムが自分の PC から発信されたものなのか、それとも自分のメール アドレスが偽装されたものなのかを知るのに役立ちます。
私の場合、以下の David の回答のおかげで問題は解決しました。これで、どのウイルス対策ツールも現場で疑わしいものを見つけられなかった理由が説明できます。
答え1
このメールは実際どこから来たのでしょうか?
私のISPは、そのような返信警告に示された日時から履歴を確認し、スパムが実際に私のIPアドレスから送信されたことを証明できました。つまり、私のアドレスを偽装しているだけではなく、私のコンピュータが実際の送信者でした。
私のISPはcanl.ncです
以下は、返送されたメールのヘッダーです。
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
あなたのISPは無能です:
このメールはあなたから送信されたものではありません(ポーランドにお住まいでない限り)
82.160.175.227 (ポーランド) から来ました
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # Filteredmail.zakat.com.my (マレーシア) に送信 (および配信) されました。
zakat.com.my は 451 SMTP エラーでメールを拒否しました:
メール サーバーから上記 (または類似の) エラー メッセージのいずれかを受け取った場合 (メッセージを送信した後)、メール サーバー (または電子メール アカウント) の制限に達したことになります。つまり、しばらく待つまでメール サーバーはそれ以上のメッセージを受け付けません。
メール アカウントには、1 つまたは複数の制限がある可能性があります。
- 1 日のメール制限、例: 1 日あたり最大 2000 件のメッセージ
- 時間あたりのメール制限、例: 1 時間あたり最大 500 件のメッセージ
- メッセージ送信レート制限
拒否通知が送信された理由:
Return-Path: <my email address>あなたのISPはcanl.ncです。送信このメールの送信元は canl.nc です。彼らが関与しているのは、バウンスがあなたに送信されたからです。
それで実際何が起こったのでしょうか?
あなたのアドレス帳が何らかの理由で漏洩しました。
ポーランドのスパマーが、IP アドレス 82.160.175.227 からあなたのメール アドレスを偽装したスパムを送信しました。
スパムは mail.zakat.com.my に送信され、拒否されました。おそらく、mail.zakat.com.my がスパマーの IP アドレスから送信されるスパムが多すぎると認識したためです。
mail.zakat.com.my は、82.160.175.227 が実際にはブラックリストに登録された IP アドレスであるため、適切に構成されていません。
mail.zakat.com.my はオープンリレーではないため、スパマーがそこにアカウントを持っている可能性があります。
したがって、スパムは跳ね返り、あなたはいわゆる後方散乱:
バックスキャッター (アウトスキャッター、誤送信バウンス、ブローバック、または付随スパムとも呼ばれる) は、通常は受信スパムの副作用として、メール サーバーによって誤って送信される自動バウンス メッセージです。
ノート:
多くの電子メール ヘッダーは、スパム送信者がスパムを送信するときに偽造される可能性があります (通常は偽造されます)。
- 「差出人:」アドレス
- リターンパス: アドレス
- 一部の「Received:」ヘッダーも偽造される可能性があります。
SMTPメッセージのなりすましオープンな (セキュリティ保護されていない) リレー メール サーバーを使用して、これをいかに簡単に実行できるかを示します。
メールヘッダーの分析
電子メール ヘッダーを分析するツールは多数あり、その中にはチェーン内の IP アドレスのいずれかがスパム ブラックリストに登録されているかどうかを表示できるものもあります。
これらのツールは、チェーン内の「Received:」ヘッダーが偽造されているかどうかも判断できます。
そのようなツールの一つはMxToolbox メールヘッダーアナライザー。
このツールによる分析では、次の結果が表示されます。
