¿Este spam se origina en mi servidor?

¿Este spam se origina en mi servidor?

Noté algunos errores de entrega en mi cuenta de Yahoo, menciona algunos de mis datos/correo electrónico/servidores:

h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address

No puedo decir si este spam se origina en mi servidor h2.adriantnt.como es simplemente un rebote falso.

Es muy extraño que encontré esto en mi cuenta de Yahoo, por lo que recuerdo, no tengo asociaciones entre este servidor y mi correo electrónico de Yahoo.

Encabezado del mensaje completo:

From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
 ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
 r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
 q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
 RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
 QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
 KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
 TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
 lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
 M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
 5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
 NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
 7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
 nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
 8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
 Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
 qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
 TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
 j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
 Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
 uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
 tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
 AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
 xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
 _4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
 0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com  from=h2.adriantnt.com; domainkeys=neutral (no sig);  from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO h2.adriantnt.com) (176.9.76.194)
  by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935

Contenido del correo electrónico http://pastebin.com/yW4cLJ53

Lo adjunté ^ porque contiene caracteres asiáticos que no son compatibles con este campo de texto de superusuario.

Entre otros veo

Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)

Esa es una IP válida de Facebook, ¿ese mensaje se inicia desde la interfaz de Facebook?

Respuesta1

No puedo saber si este spam se origina en mi servidor

El mensaje vino de su servidor 176.9.76.194. Sin embargo, es un mensaje de "rebote", no spam.

Esto significa que alguien intentó enviar un correo electrónico con su dirección "de" a una dirección "para" inexistente y rebotó.

Hay dos posibilidades:

  1. Su servidor ha sido pirateado y el correo original provino de su servidor.

  2. Alguien falsificó el correo electrónico con su dirección "de".

    Los spammers hacen esto todo el tiempo y la mayoría de los encabezados de correo electrónico se falsifican fácilmente.

    • "De la Dirección
    • Algunos encabezados "Recibido:" también se pueden falsificar.

      Suplantación de mensajes SMTPmuestra con qué facilidad esto se puede hacer usando un servidor de correo de retransmisión abierto (no seguro).

Sin embargo, su copia en Pastebin del mensaje completo dice:

Hola. Este es el programa de envío de qmail en h2.adriantnt.com. Lamento no haber podido enviar su mensaje a las siguientes direcciones. Este es un error permanente; Me he rendido. Lo siento, no funcionó.

La dirección de entrega era [email protected].

Entonces parece que su servidor qmail ha sido comprometido ya que le dice que no pudo entregar el correo (lo que indica que intentó enviarlo en primer lugar).

No se pudo entregar porque Gmail pensó que era spam:

Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2      12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1  https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp

Actualizar

Según la conversación en el chat, el correo adriantnt.comse reenvía automáticamente a Gmail.

La explicación más probable es que Gmail recibió un rebote de un correo electrónico falsificado adriantnt.com, lo reenvió a Gmail y luego lo rechazó como spam.

Esto explica el mensaje de qmail anterior.


¿Qué es un mensaje de rebote?

En el protocolo de correo electrónico SMTP estándar de Internet, un mensaje de rebote, también llamado Informe/Recibo de No Entrega (NDR), mensaje de Notificación de Estado de Entrega (DSN) (fallido), Notificación de No Entrega (NDN) o simplemente un rebote, es un mensaje de correo electrónico automatizado procedente de un sistema de correo que informa al remitente de otro mensaje sobre un problema de entrega. Se dice que el mensaje original rebotó.

Pueden ocurrir errores en varios lugares durante la entrega del correo. En ocasiones, un remitente puede recibir un mensaje rebotado de su propio servidor de correo, informándole que no ha podido entregar un mensaje, o alternativamente, de un servidor de correo del destinatario informando que aunque había aceptado el mensaje, ahora considera que no se puede entregar, cuando un servidor acepta un mensaje para su entrega, también acepta la responsabilidad de entregar un DSN en caso de que la entrega falle.

Por diversas razones, en particular spam falsificado y virus de correo electrónico, los usuarios pueden recibir mensajes devueltos erróneos enviados en respuesta a mensajes que en realidad nunca enviaron.

FuenteMensaje de rebote


¿Cómo puedo analizar los encabezados de los correos electrónicos?

Existen muchas herramientas para analizar los encabezados de correo electrónico, algunas de las cuales pueden mostrar si alguna de las direcciones IP de la cadena está en listas negras de spam.

Estas herramientas también pueden indicar si alguno de los encabezados "Recibido:" de la cadena es falso.


Analizador de encabezados de correo electrónico MxToolbox

Introducir los encabezados de su correo electrónico en esta herramienta produce el siguiente resultado:

ingrese la descripción de la imagen aquí


Otras lecturas

información relacionada