Я заметил некоторые ошибки доставки в своей учетной записи Yahoo, в них упоминаются некоторые мои данные/электронная почта/серверы:
h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address
Я не могу сказать, исходит ли этот спам с моего сервера h2.adriantnt.comили это просто поддельный отказ.
Очень странно, что я нашел это в своей учетной записи Yahoo. Насколько я помню, у меня нет никаких связей между этим сервером и моей электронной почтой Yahoo.
Полный заголовок сообщения:
From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
_4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com from=h2.adriantnt.com; domainkeys=neutral (no sig); from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO h2.adriantnt.com) (176.9.76.194)
by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935
Содержание электронной почты http://pastebin.com/yW4cLJ53
Я прикрепил его ^, потому что он содержит азиатские символы, не поддерживаемые этим текстовым полем SuperUser.
Среди прочего я вижу
Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)
Это действительный IP-адрес Facebook. Это сообщение инициировано из интерфейса Facebook?
решение1
Я не могу определить, исходит ли этот спам с моего сервера.
Сообщение пришло с вашего сервера 176.9.76.194. Однако это сообщение об ошибке "bounce", а не спам.
Это означает, что кто-то попытался отправить электронное письмо с вашего адреса «отправителя» на несуществующий адрес «получателя», и оно вернулось.
Есть две возможности:
Ваш сервер был взломан, и исходное письмо пришло с вашего сервера.
Кто-то подделал электронное письмо с вашим адресом «отправителя».
Спамеры делают это постоянно, и большинство заголовков писем легко подделать.
- "От:" адрес
Некоторые заголовки «Получено:» также могут быть поддельными.
Подделка SMTP-сообщенийпоказывает, насколько легко это можно сделать, используя открытый (незащищенный) ретрансляционный почтовый сервер.
Однако в вашей копии полного сообщения на pastebin говорится следующее:
Привет. Это программа qmail-send на h2.adriantnt.com. Боюсь, что мне не удалось доставить ваше сообщение по следующим адресам. Это постоянная ошибка; я сдался. Извините, что не получилось.
Адрес доставки был [email protected].
Похоже, ваш сервер qmail был взломан, поскольку он сообщает вам, что не может доставить почту (что указывает на то, что он изначально пытался ее отправить).
Письмо не удалось доставить, так как Gmail посчитал его спамом:
Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2 12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp
Обновлять
Согласно разговору в чате почта adriantnt.comавтоматически пересылается на gmail.
Наиболее вероятным объяснением является возврат поддельного электронного письма, которое было получено adriantnt.com, переслано на Gmail, а затем отклонено как спам системой Gmail.
Это объясняет сообщение qmail, приведенное выше.
Что такое сообщение об отказе?
В стандартном протоколе электронной почты Интернета SMTP сообщение о недоставке, также называемое отчетом/квитанцией о неполучении (NDR), сообщением об уведомлении о (неудавшейся) доставке (DSN), уведомлением о неполучении (NDN) или просто сообщением о недоставке, представляет собой автоматическое электронное почтовое сообщение от почтовой системы, информирующее отправителя другого сообщения о проблеме с доставкой. Исходное сообщение считается недоставленным.
Ошибки могут возникать в нескольких местах при доставке почты. Отправитель иногда может получить сообщение об отказе от своего собственного почтового сервера, сообщающее о том, что он не смог доставить сообщение, или же от почтового сервера получателя, сообщающего о том, что хотя он принял сообщение, теперь он считает его недоставленным — когда сервер принимает сообщение для доставки, он также принимает на себя ответственность за доставку DSN в случае сбоя доставки.
По разным причинам, в частности из-за поддельного спама и вирусов в электронной почте, пользователи могут получать ошибочные сообщения о недоставке, отправленные в ответ на сообщения, которые они на самом деле не отправляли.
ИсточникСообщение об отказе
Как проанализировать заголовки писем?
Существует множество инструментов для анализа заголовков электронных писем, некоторые из которых могут показать, находятся ли какие-либо IP-адреса в цепочке в черных списках спама.
Эти инструменты также могут определить, являются ли какие-либо заголовки «Получено:» в цепочке поддельными.
Анализатор заголовков электронных писем MxToolbox
Ввод заголовков ваших электронных писем в этот инструмент дает следующий результат:
