Noté algunos errores de entrega en mi cuenta de Yahoo, menciona algunos de mis datos/correo electrónico/servidores:
h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address
No puedo decir si este spam se origina en mi servidor h2.adriantnt.com
o es simplemente un rebote falso.
Es muy extraño que encontré esto en mi cuenta de Yahoo, por lo que recuerdo, no tengo asociaciones entre este servidor y mi correo electrónico de Yahoo.
Encabezado del mensaje completo:
From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
_4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com from=h2.adriantnt.com; domainkeys=neutral (no sig); from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO h2.adriantnt.com) (176.9.76.194)
by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935
Contenido del correo electrónico http://pastebin.com/yW4cLJ53
Lo adjunté ^ porque contiene caracteres asiáticos que no son compatibles con este campo de texto de superusuario.
Entre otros veo
Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)
Esa es una IP válida de Facebook, ¿ese mensaje se inicia desde la interfaz de Facebook?
Respuesta1
No puedo saber si este spam se origina en mi servidor
El mensaje vino de su servidor 176.9.76.194
. Sin embargo, es un mensaje de "rebote", no spam.
Esto significa que alguien intentó enviar un correo electrónico con su dirección "de" a una dirección "para" inexistente y rebotó.
Hay dos posibilidades:
Su servidor ha sido pirateado y el correo original provino de su servidor.
Alguien falsificó el correo electrónico con su dirección "de".
Los spammers hacen esto todo el tiempo y la mayoría de los encabezados de correo electrónico se falsifican fácilmente.
- "De la Dirección
Algunos encabezados "Recibido:" también se pueden falsificar.
Suplantación de mensajes SMTPmuestra con qué facilidad esto se puede hacer usando un servidor de correo de retransmisión abierto (no seguro).
Sin embargo, su copia en Pastebin del mensaje completo dice:
Hola. Este es el programa de envío de qmail en h2.adriantnt.com. Lamento no haber podido enviar su mensaje a las siguientes direcciones. Este es un error permanente; Me he rendido. Lo siento, no funcionó.
La dirección de entrega era [email protected]
.
Entonces parece que su servidor qmail ha sido comprometido ya que le dice que no pudo entregar el correo (lo que indica que intentó enviarlo en primer lugar).
No se pudo entregar porque Gmail pensó que era spam:
Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2 12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp
Actualizar
Según la conversación en el chat, el correo adriantnt.com
se reenvía automáticamente a Gmail.
La explicación más probable es que Gmail recibió un rebote de un correo electrónico falsificado adriantnt.com
, lo reenvió a Gmail y luego lo rechazó como spam.
Esto explica el mensaje de qmail anterior.
¿Qué es un mensaje de rebote?
En el protocolo de correo electrónico SMTP estándar de Internet, un mensaje de rebote, también llamado Informe/Recibo de No Entrega (NDR), mensaje de Notificación de Estado de Entrega (DSN) (fallido), Notificación de No Entrega (NDN) o simplemente un rebote, es un mensaje de correo electrónico automatizado procedente de un sistema de correo que informa al remitente de otro mensaje sobre un problema de entrega. Se dice que el mensaje original rebotó.
Pueden ocurrir errores en varios lugares durante la entrega del correo. En ocasiones, un remitente puede recibir un mensaje rebotado de su propio servidor de correo, informándole que no ha podido entregar un mensaje, o alternativamente, de un servidor de correo del destinatario informando que aunque había aceptado el mensaje, ahora considera que no se puede entregar, cuando un servidor acepta un mensaje para su entrega, también acepta la responsabilidad de entregar un DSN en caso de que la entrega falle.
Por diversas razones, en particular spam falsificado y virus de correo electrónico, los usuarios pueden recibir mensajes devueltos erróneos enviados en respuesta a mensajes que en realidad nunca enviaron.
FuenteMensaje de rebote
¿Cómo puedo analizar los encabezados de los correos electrónicos?
Existen muchas herramientas para analizar los encabezados de correo electrónico, algunas de las cuales pueden mostrar si alguna de las direcciones IP de la cadena está en listas negras de spam.
Estas herramientas también pueden indicar si alguno de los encabezados "Recibido:" de la cadena es falso.
Analizador de encabezados de correo electrónico MxToolbox
Introducir los encabezados de su correo electrónico en esta herramienta produce el siguiente resultado: