.png)
직접 SMTP 전송을 사용하여 모든 연락처 목록에 스팸을 보내는 악성 코드를 추적하는 것이 불가능한 것에 대한 도움을 구하고 있습니다.
내 개인 이메일 주소(웹 기반이 아닌 ISP, POP3/SMTP 기반, Gmail 또는 핫메일 관련 문제만 찾을 수 있고 웹에서 답변할 수 있기 때문에 내 경우는 아님)를 사용하며 내 연락처를 찾아보고 사용할 수 있습니다. 감염된 웹사이트에 대한 링크가 포함된 짧은 스팸 메시지를 수신자 그룹에 보내는 목록(무슨 일이 일어나고 있는지 감지하는 유일한 방법은 예를 들어 목록에 있는 주소 중 하나가 더 이상 사용되지 않거나 다음과 같은 경우 실패 반환 메시지를 받는 것입니다. 수신자의 서버 중 하나 또는 ISP 서버가 이를 거부함)
내 ISP는 이러한 반환 경고에 표시된 날짜와 시간의 기록을 확인했으며 스팸이 실제로 내 IP 주소에서 전송되었음을 확인할 수 있으므로 내 주소를 스푸핑하는 것뿐만 아니라 내 컴퓨터가 실제 보낸 사람이었습니다. 그런데, 모든 수신자가 내 실제 연락처 목록에 있습니다.
Windows XP를 실행하고 Outlook Express를 사용하는 이전 컴퓨터를 사용할 때 시작되었습니다. 그러나 이제는 Windows 7 Pro와 Thunderbird를 실행하는 새 컴퓨터에서도 동일한 작업을 수행합니다. 즉, 이전 Outlook Express WAB 파일뿐만 아니라 Thunderbird 연락처 목록도 검색할 수 있습니다.
최근 내 고객 중 한 명이 동일한 문제를 보고했습니다. 고객 서버 중 일부가 자신을 블랙리스트에 추가하고 내가 겪었던 것과 동일한 전달되지 않은 반환 메시지를 받기 시작한 것을 알게 되었습니다. 그런데 그 ISP는 내 ISP와 같습니다(익명 SMTP를 여전히 허용할 수 있다는 사실은 아래를 참조하세요). 그녀의 컴퓨터는 Windows 10 Professional을 실행하고 있으며 MS Outlook 2007을 사용하고 있습니다.
- 어쨌든 스팸 이메일을 발행하기 위해 내 이메일 클라이언트 프로그램을 사용하지 않을 가능성이 가장 높지만(물론 백그라운드에서 실행되지 않는지 말하기는 어렵지만) 컴퓨터는 물론 켜져 있어야 합니다. 일반적으로 내 이메일 클라이언트가 닫힐 때 밤에 보냅니다(대부분 오전 1시에서 3시 사이, 때로는 낮 시간에 발행되기도 함).
따라서 SMTP를 사용하여 내 ISP 서버에 직접 연결해야 합니다(물론 내 이메일 주소와 비밀번호를 사용하지만 내 ISP가 여전히 익명 SMTP를 허용할 수 있으므로 이는 물론 문제입니다).
불행히도 내 로컬 ISP는 SSL이나 TLS 암호화를 사용하지 않습니다(비밀번호가 필요하지 않은 한 크게 변경되지는 않을 것 같습니다). 그러나 내 이메일 주소와 연락처 목록을 얻을 수 있다는 점을 고려하면 저장된 비밀번호도 알아내는 것이 그리 어렵지 않았을 것입니다. 예를 들어 NirSoft가 그렇게 할 수 있기 때문입니다.
- 어떤 바이러스 백신 소프트웨어도 아무것도 감지할 수 없지만 여전히 존재하며 내 전체 연락처 목록에 한 달에 두 번 정도, 때로는 더 자주, 때로는 한 번만 스팸을 보냅니다. 빈도, 시간 등은 완전히 무작위적이고 예측할 수 없습니다.
나는 웹에서 조언된 모든 것을 시도했지만 전혀 결과가 없었습니다.
- 물론, 레지스트리, 서비스 등을 수동으로 검사하면 시작 시 의심스러운 것이 전혀 표시되지 않습니다. 그럼에도 불구하고 빌어먹을 프로세스가 어딘가에 숨어 있어야 합니다. 그렇지 않으면 지금처럼 몇 초 내에 수백 개의 이메일을 폭발시킬 수 없습니다!
이제 방화벽 규칙을 사용하여 차단하려고 했습니다.
그러나 Microsoft 방화벽을 사용하면 Thunderbird가 사용자 인증과 함께 포트 25를 사용하도록 허용하는 나가는 규칙을 추가할 수 있지만 이것이 규칙을 배타적으로 만드는지 완전히 확신할 수 없습니다. 즉, 이 규칙을 활성화해도 다른 사용이 비활성화되지는 않습니다.
불행하게도 포트 25를 차단하는 다른 규칙을 추가해도 위 규칙이 예외가 되는 것은 아닙니다. 그렇게 하면 명시적인 허가에도 불구하고 이메일을 전혀 보낼 수 없게 됩니다. 분명히 금지 규칙은 허가 규칙보다 우선합니다. 여기서는 정반대의 동작(모두 차단한 다음 예외 허용)을 원합니다.
이상적으로는 범인을 추적할 수 있도록 허용된 유일한 앱(현재의 경우 Thunderbird)에서 시도한 모든 시도를 기록하고 싶습니다.
혹시 이러한 문제에 대해 들어보신 적이 있으신가요? 저에게 해결책을 알려 주실 수 있거나, 이 문제를 해결할 수 있는 사람을 안내해 주실 수 있거나, 문제를 감지하는 데 더 효율적인 도구를 알고 계십니까?
포트 25 사용을 차단하도록 방화벽을 설정하는 방법을 아는 사람이 있습니까? 허용된 앱 하나에서만 가능합니까? 그리고 이상적으로는 허용된 프로세스를 제외한 모든 프로세스의 시도를 기록하는 방법은 무엇입니까? 아니면 해당 작업을 수행할 수 있는 무료 타사 방화벽 소프트웨어가 있을까요?
물론, 범인을 식별하고 제거할 수 있다면 완벽하겠지만, 그렇게 할 수 없는 경우 바이러스 백신이 언젠가 이를 탐지할 수 있을 때까지 해를 끼치지 않도록 방지하는 것은 여전히 허용 가능한 절충안이 될 것입니다.
편집하다 :
샘플은 다음과 같습니다.http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
편집: 결론적으로 헤더를 분석하면 스팸이 PC에서 발생했는지 또는 이메일 주소가 스푸핑되었는지 확인하는 데 도움이 됩니다.
아래 David의 답변 덕분에 내 경우에는 문제가 해결되었습니다. 이는 바이러스 백신 도구가 현장에서 의심스러운 것을 찾을 수 없는 이유를 설명합니다.
답변1
이 이메일은 실제로 어디에서 왔습니까?
내 ISP는 이러한 반환 경고에 표시된 날짜와 시간의 기록을 확인했으며 스팸이 실제로 내 IP 주소에서 전송되었음을 확인할 수 있으므로 내 주소를 스푸핑하는 것뿐만 아니라 내 컴퓨터가 실제 보낸 사람이었습니다.
내 ISP는 canl.nc입니다.
다음은 반환된 이메일 중 하나의 헤더입니다.
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
귀하의 ISP가 무능력합니다:
이 이메일은 귀하가 보낸 것이 아닙니다(폴란드에 거주하지 않는 한).
82.160.175.227(폴란드)에서 왔습니다.
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # Filteredmail.zakat.com.my(말레이시아)로 전송되었습니다.
zakat.com.my는 451 smtp 오류로 메일을 거부했습니다.
메일 서버에서 위(또는 유사한) 오류 메시지 중 하나를 받은 경우(일부 메시지를 보낸 후) 메일 서버(또는 이메일 계정)가 한도에 도달한 것입니다. 이는 귀하가 얼마 동안 기다릴 때까지 메일 서버가 더 이상 메시지를 받아들이지 않음을 의미합니다.
메일 계정에는 하나 이상의 제한 사항이 있을 수 있습니다.
- 일일 메일 한도(예: 최대. 하루에 2000개의 메시지
- 시간당 메일 한도(예: 최대) 시간당 메시지 500개
- 메시지 제출 속도 제한
거부 알림이 귀하에게 전송된 이유는 다음과 같습니다.
Return-Path: <my email address>귀하의 ISP는 canl.nc입니다. 어느 시점에서도배상이 이메일 중 canl.nc가 관련되어 있습니다. 반송 메일이 귀하에게 전송되었기 때문에 관련됩니다.
그래서 실제로 무슨 일이 일어났나요?
귀하의 주소록이 어떻게든 유출되었습니다.
폴란드의 스패머가 귀하의 이메일 주소를 IP 주소 82.160.175.227의 반송 주소로 위조하여 스팸을 보냈습니다.
스팸은 mail.zakat.com.my로 전송되었으며 거부되었습니다. 아마도 mail.zakat.com.my가 스팸 발송자의 IP 주소에서 너무 많은 스팸이 오는 것을 발견했기 때문일 것입니다.
mail.zakat.com.my는 82.160.175.227이 실제로 블랙리스트에 등록된 IP 주소이므로 잘 구성되어 있지 않습니다.
mail.zakat.com.my는 공개 릴레이가 아니므로 스팸 발송자가 그곳에 계정을 가지고 있을 가능성이 있습니다.
따라서 스팸은 반송되었으며 귀하는 스팸 메일을 수신하게 됩니다.후방 산란:
후방 산란(아웃스캐터, 잘못된 방향으로 반송, 블로우백 또는 부수적 스팸이라고도 함)은 일반적으로 수신 스팸의 부작용으로 메일 서버에서 보낸 잘못 자동화된 반송 메시지입니다.
노트:
많은 이메일 헤더는 스팸 발송자가 스팸을 보낼 때 위조될 수 있으며 일반적으로 위조됩니다.
- "보낸 사람:" 주소
- 반환 경로: 주소
- 일부 "Received:" 헤더도 위조될 수 있습니다.
SMTP 메시지 스푸핑개방형(비보안) 릴레이 메일 서버를 사용하여 이 작업을 얼마나 쉽게 수행할 수 있는지 보여줍니다.
이메일 헤더 분석
이메일 헤더를 분석하는 도구는 다양하며, 그 중 일부는 체인의 IP 주소가 스팸 블랙리스트에 있는지 여부를 표시할 수 있습니다.
이러한 도구는 체인의 "Received:" 헤더 중 위조된 것이 있는지도 알 수 있습니다.
그러한 도구 중 하나는MxToolbox 이메일 헤더 분석기.
이 도구를 사용한 분석은 다음과 같은 결과를 보여줍니다.
