La cuenta de correo electrónico de mi esposa fue pirateada y el atacante obtuvo su libreta de direcciones. No sé si el ataque fue en su cliente de correo electrónico local (Thunderbird ejecutándose en Windows 7) o en el servidor (alojado en GoDaddy). De cualquier manera, los datos de la lista de contactos están disponibles y no puedo deshacerlos. He cambiado todas las contraseñas, actualizado la seguridad, etc., y no creo que haya habido más intrusiones.
Sin embargo, quien haya hecho esto ha estado enviando enormes cantidades de spam, utilizando el nombre de mi esposa como "remitente". Se quedan en silencio por un tiempo, y luego muy a menudo me despierto con unas cuantas docenas de correos electrónicos de mi esposa, que por supuesto ella realmente no envió.y todas las demás personas en su libreta de direcciones también reciben estos. Y como su libreta de direcciones estaba llena de muchas direcciones muertas,mi esposarecibe cientos de mensajes de rebote de "Error en la entrega del correo", así como cientos de correos electrónicos rechazados por el dominio receptor como spam. Las personas de su lista de contactos se están enojando y eso se está convirtiendo en un verdadero problema.
Le pregunté a GoDaddy sobre esto y me dijeron que cualquier persona A puede enviarle un correo electrónico afirmando [email protected]ser [email protected], yno existe ninguna infraestructura de correo electrónicopara verificar que la persona A está autorizada a enviar un correo electrónico desde ccc.com. En consecuencia, no hay absolutamente nada que pueda hacer al respecto, y este spammer podrá acosar a la gente, dañar la reputación de mi esposa, incluir su correo electrónico en la lista negra, etc. yno hay manera de detenerlo.
¿Es esto cierto o hay algo que pueda hacer para detener a estos spammers o, al menos, mitigar el daño?
Respuesta1
De hecho, es muy difícil resolver el problema de la suplantación de correo electrónico de manera general, debido a la forma simple y altamente distribuida en que está diseñado el protocolo.
La analogía de la carta física se sostiene bastante bien en este ejemplo: puedo enviar una carta al correo y escribir en ella que proviene de tu casa; No necesito haber entrado en tu casa para hacer esto, simplemente déjalo en un buzón público. Y si la publicación está marcada como "devolver al remitente", es posible que termine siendo "devuelta" a usted, aunque usted no la haya escrito. Lo mismo ocurre con el correo electrónico: cualquiera puede enviar un mensaje al sistema, con una dirección de destino y de remitente; Es posible que el servidor desde el que envía el correo no sea el mismo en el que recibe el correo y no existe ningún servicio centralizado que verifique su identidad cuando deja un mensaje en el sistema.
Hay dos enfoques generales para resolver esto:
Firmas digitalesson una forma de incluir en un mensaje una especie de firma o sello que sólo el verdadero remitente sabe generar (utilizando una clave privada que nunca comparte). Luego, el destinatario puede verificar la firma utilizando una clave pública que prueba matemáticamente quién produjo la firma (y que coincide con el texto recibido).
Sin embargo, esto no es muy útil para su ejemplo, porque no impide que se entreguen los mensajes y requiere que los destinatarios conozcan la clave pública o una ubicación verificada para recuperarla.
Verificación del remitente basada en dominioSe han desarrollado sistemas para intentar prevenir el spam. Estos almacenan datos en el DNS (búsqueda de directorio) para el dominio de la dirección (la parte después de @) que permiten que un sistema receptor verifique si un correo es legítimo. un sistema,FPS, enumera qué sistemas pueden enviar correo en nombre de ese dominio; otro,DKIM, almacena claves públicas utilizadas de manera similar al enfoque de firma digital anterior, pero para verificar el sistema de transmisión, en lugar del remitente real.
(Para extender un poco la analogía de la carta física, SPF es como decir públicamente "Solo envío cartas usando este buzón" y DKIM es como decir públicamente "Siempre envío correo desde esta oficina de correos que imprime una etiqueta a prueba de manipulaciones para mí". ".)
Estos serían más relevantes para su caso: si su esposa estuviera usando un dominio personalizado, una configuración SPF o DKIM adecuada haría que muchos sistemas rechazaran silenciosamente el correo que ella no había enviado ella misma (o lo marcarían como spam, sin atribuírselo). ). Sin embargo, solo funciona a nivel de dominio, no a nivel de dirección individual, y es posible que algunos sistemas de destinatarios no verifiquen los registros.
Respuesta2
Probablemente sería útil enviar correos electrónicos a todos los contactos activos de su libreta de direcciones y contarles sobre los problemas de spam en el correo electrónico. Y ahora es un buen momento para eliminar los contactos muertos de la lista.
Usar PGP/GPG en el futuro sería una solución casi perfecta para que los usuarios y remitentes privados verifiquen por sí mismos que un correo electrónico esde hechoenviado por el remitente, y también podría ocultar/cifrar el contenido de los mensajes para que solo los vea el destinatario previsto. Pero, aunque PGP ha estado disponible durante décadas, no es universalmente muy fácil para cualquiera comenzar a usarlo, y el correo web (como Gmail, etc.) hace que sea difícil mantener las partes secretas realmente secretas solo para usted y aún así es fácil de acceder. utilizar desde cualquier lugar...
Verificacion de Email
Hay cosas que se pueden hacer para autenticarse ante los receptores de correo electrónico (al menos algunas, como Yahoo, Google y otros, que "representan un alto porcentaje de usuarios de correo electrónico en Internet" -Preguntas frecuentes sobre DMARC) que aparece un mensaje que dice que es de tu dominiorealmente esdesde tu dominio. Usan DMARK que "permite al remitente indicar que sus mensajes están protegidos por SPF y/o DKIM, y le dice al receptor qué hacer si ninguno de esos métodos de autenticación pasa, como correo no deseado o rechazar el mensaje." -Preguntas frecuentes sobre DMARC.
Cambiar a una dirección de correo electrónico diferente también podría ayudar a corto plazo, entonces usted y todos los demás podrían ignorar/"marcar como spam" de forma segura todos los mensajes adicionales de los spammers. Pero incluso si esa no es su principal preocupación ya que son "obviamente spam súper spam" y nadie se deja engañar, probablemente quiera evitar que la línea "de:" sea fácilmente falsificada, ya que si suficientes usuarios siempre "marcan" como spam" el correo electrónico comercial de su esposa, los filtros de spam probablemente comenzarán a descartartodomensajes de esa dirección.
La autenticación de correo electrónico debería ayudar a los servidores de envío y recepción de correo a verificar que los mensajes realmente sean enviados por quien dice ser. Encontré información sobre Gmail; dado que es una de las "tres grandes" compañías de correo electrónico, probablemente sea un buen lugar para comenzar. Incluso cambiar de proveedor de correo electrónico a uno que ya esté configurado/autenticado, comoGmail para empresas deberíaayuda &podríaser más fácil, perono deberíaser necesario, aunque a juzgar por su respuesta de GoDaddy, es posible que no sea el anfitrión de sus sueños.
Ayuda de Gmail sobre la autenticación de correo electrónicotiene algunos consejos para enviar dominios:
Si eres un dominio emisor
Los mensajes con firmas DKIM utilizan una clave para firmar los mensajes. Los mensajes firmados con claves cortas se pueden falsificar fácilmente (consulte http://www.kb.cert.org/vuls/id/268267), por lo que un mensaje firmado con una clave corta ya no es una indicación de que el mensaje está autenticado correctamente. Para proteger mejor a nuestros usuarios, Gmail comenzará a tratar los correos electrónicos firmados con claves de menos de 1024 bits como no firmados a partir de enero de 2013. Recomendamos encarecidamente que todos los remitentes que utilicen claves cortas cambien a claves RSA que tengan al menos 1024 bits de longitud. Se recomienda encarecidamente la autenticación para todos los remitentes de correo para garantizar que sus mensajes estén clasificados correctamente. Para otras recomendaciones consulte nuestraDirectrices para remitentes masivos.
La autenticación por sí sola no es suficiente para garantizar que sus mensajes puedan entregarse, ya que los spammers también pueden autenticar el correo. Gmail combina informes de usuario y otras señales con información de autenticación al clasificar mensajes.
De manera similar, el hecho de que un mensaje no esté autenticado no es suficiente para clasificarlo como spam, porque algunos remitentes no autentican su correo o porque la autenticación se rompe en algunos casos (por ejemplo, cuando los mensajes se envían a listas de correo).
Obtenga más información sobre cómo puede crear una política para ayudarcontrolar el correo no autenticadodesde tu dominio.
El último enlaceControlar el correo no autenticadode su dominio es particularmente relevante:
Para ayudar a combatir el spam y el abuso, Gmail utilizaVerificacion de Emailpara verificar si un mensaje fue realmente enviado desde la dirección desde la que parece haberse enviado. Como parte de la iniciativa DMARC, Google permite a los propietarios de dominios ayudar a definir cómo manejamos los mensajes no autenticados que afirman falsamente provenir de su dominio.
Lo que puedes hacer
Los propietarios de dominios pueden publicar una política que indique a Gmail y a otros proveedores de correo electrónico participantes cómo manejar los mensajes que se envían desde su dominio pero que no están autenticados. Al definir una política, puedes ayudar a combatirsuplantación de identidadpara proteger a los usuarios y su reputación.
En el sitio web de DMARC, aprenda cómopublica tu póliza, oconsulte las instrucciones para los dominios de Google Apps.
Aquí hay algunas cosas a tener en cuenta:
- Recibirá un informe diario de cada proveedor de correo electrónico participante para que pueda ver con qué frecuencia se autentican sus correos electrónicos y con qué frecuencia se identifican los correos electrónicos no válidos.
- Es posible que desee ajustar su política a medida que aprenda de los datos de estos informes. Por ejemplo, puede ajustar sus políticas procesables de "monitorear" a "poner en cuarentena" y "rechazar" a medida que tenga más confianza en que todos sus propios mensajes serán autenticados.
- Su política puede ser estricta o relajada. Por ejemplo, eBay y PayPal publican una política que exige que todo su correo esté autenticado para poder aparecer en la bandeja de entrada de alguien. De acuerdo con su política, Google rechaza todos los mensajes de eBay o PayPal que no estén autenticados.
Más sobre DMARC
DMARC.orgse formó para permitir a los remitentes de correo electrónico influir en el correo no autenticado publicando sus preferencias en una política flexible y reconocible. También permite a los proveedores de correo electrónico participantes proporcionar informes para que los remitentes puedan mejorar y monitorear su infraestructura de autenticación.
Google participa en DMARC junto con otros dominios de correo electrónico como AOL, Comcast, Hotmail y Yahoo! Correo. Además, remitentes como Bank of America, Facebook, Fidelity, LinkedIn y Paypal ya han publicado políticas que deben seguir Google y otros receptores.
Para obtener más información, consulte esta publicación en elBlog oficial de Gmail.
Otros enlaces útiles:
Respuesta3
Lo que se puede hacer depende de qué parte de la infraestructura tiene control y de si está utilizando su propio nombre de dominio o simplemente tiene una dirección bajo un dominio controlado por otra persona.
Si tiene su propio dominio, es fácil cambiar a una nueva dirección de correo electrónico bajo el mismo dominio. Además, puede configurar registros DNS para informarle al mundo que todos los correos electrónicos de su dominio deben estar firmados digitalmente. (SPF, DKIM y DMARC son los términos que debe buscar si este es el enfoque que desea adoptar).
No puede esperar que todos verifiquen estas firmas, por lo que incluso si configura registros DNS que indiquen que el correo electrónico de su dominio debe estar firmado, todavía habrá abusadores que envíen correos electrónicos sin firmar que afirmen ser de su dominio y receptores que acepten esos correos electrónicos sin firma.
Si no controla el dominio, cambiar la dirección de correo electrónico no es tan fácil y tiene poca influencia sobre si se utilizan registros DNS para limitar la capacidad de falsificar el dominio en los correos electrónicos salientes.
El problema de los mensajes de spam que utilizan una dirección de origen falsificada y que provocan rebotes que regresan a la dirección legítima es, al menos en principio, fácil de resolver.
Puede registrar Message-IDtodos los correos electrónicos que envía. Todos los rebotes deben incluir el Message-IDmensaje original en algún lugar; de lo contrario, el rebote es completamente inútil, porque eso es lo que le indica qué mensaje fue rebotado. Cualquier mensaje rebotado que no contenga un mensaje Message-IDenviado anteriormente puede enviarse directamente a la carpeta de spam o rechazarse en el momento de la recepción (lo que tiene la gran ventaja de acercar el problema un paso más a la fuente).
Los rebotes se pueden diferenciar de otros correos electrónicos por la MAIL Fromdirección. Los rebotes siempre tienen una MAIL Fromdirección vacía, otros correos electrónicos nunca tienen una MAIL Fromdirección vacía.
Entonces, si MAIL Fromestá vacío y DATAno contiene un Message-IDcorreo enviado anteriormente, el correo se puede rechazar de manera segura.
Ese es el principio. Ponerlo en práctica es un poco más difícil. En primer lugar, la infraestructura para los correos electrónicos salientes y entrantes puede estar separada, lo que hace que sea problemático para la infraestructura de los correos electrónicos entrantes saber siempre todo Message-IDlo que ha pasado por la infraestructura de los correos electrónicos salientes.
Además algunos proveedores insisten en enviar rebotes que no se ajustan al sentido común. Por ejemplo, he visto proveedores que envían rebotes que no contienen información alguna sobre el correo electrónico original que fue devuelto. Mi mejor recomendación para estos rebotes inútiles es tratarlos como spam, incluso si se originan en un sistema de correo legítimo.
Recuerda que quien haya obtenido la lista de direcciones de correo electrónico puede poner cualquiera de las direcciones como dirección de origen y cualquiera de las direcciones como dirección de destino. Por lo tanto, a menos que tenga información adicional, no puede estar seguro de que la fuga se haya producido en su propio sistema. Puede ser cualquiera de tus contactos quien filtró la lista de direcciones, incluida la tuya.
Cuanto más pueda averiguar qué direcciones están en la lista filtrada y cuáles no, mejor podrá determinar de dónde se filtró. Es posible que ya haya hecho esto y haya llegado a la conclusión de que la filtración debe haberse originado en su lista de contactos, ya que ninguno de sus contactos habría conocido todas las direcciones confirmadas que se han filtrado.
Mi enfoque al respecto es utilizar mi propio dominio y una dirección de correo electrónico separada bajo ese dominio para cada contacto con el que me comunico. Incluyo la fecha de la primera comunicación con el contacto en la dirección de correo, de modo que podría parecer [email protected]si escribiera un correo electrónico a un nuevo contacto hoy. Obviamente, ese enfoque no es para todos, pero a mí seguramente me ayuda a saber exactamente quién ha estado filtrando una lista de direcciones de correo electrónico en las que se encuentra una de las mías. También significa que puedo cerrar las direcciones individuales de modo que solo la persona que filtró mi dirección tenga que actualizar su información de contacto por mí.
Respuesta4
Te estás acercando a esto incorrectamente.
Después de los años que pasé en la industria de reparación de computadoras, puedo decirles que es muy poco probable que haya habido algún "pirateo" aquí. Es mucho más probable que la computadora de su esposa tenga un virus y que ese virus haya accedido a su libreta de direcciones Thunderbird.
Esto es bastante común. Por lo general, el virus envía los correos electrónicos directamente desde la computadora infectada, por lo que eliminar el virus detendrá los correos electrónicos no deseados; no están "falsificando" la dirección de correo electrónico de su esposa, son la dirección de correo electrónico de su esposa.
Es muy poco probable que cambiar las direcciones de correo electrónico como lo sugiere otro usuario resuelva algo... especialmente si las ingresa en Thunderbird en la misma computadora.
Descárguelo y ejecútelo Combofixen la computadora de su esposa.
http://www.bleepingcomputer.com/download/combofix/
Hay instrucciones sobre cómo ejecutarlo en:http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Básicamente, descárguelo, ejecútelo como administrador (haga clic con el botón derecho -> ejecutar como administrador), haga clic en Aceptar/Sí/Continuar hasta las indicaciones y luego aléjese durante 30 minutos a una hora. Se ejecutará durante un tiempo prolongado y probablemente reiniciará la computadora (asegúrese de volver a iniciar sesión para que continúe funcionando).
Sabrá que está hecho cuando se abra un bloc de notas en pantalla completa con un montón de texto. Ciérralo, reinícialo una vez más y probablemente hayas resuelto tu problema... sólo el tiempo lo dirá.