%20%D0%BD%D0%B0%20%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B5%20Windows.png)
Я ищу помощь по поводу некоего вредоносного ПО, которое невозможно отследить и которое рассылает спам по всем моим контактам с помощью прямой отправки по SMTP.
Он использует мой личный адрес электронной почты (на основе интернет-провайдера, POP3/SMTP, а НЕ веб-адреса, поскольку я не смог найти в Интернете ничего, кроме проблем, связанных с Gmail или Hotmail, и ответа на них, что НЕ мой случай) и может просматривать и использовать мой список контактов для отправки коротких спам-сообщений со ссылкой на какой-то зараженный веб-сайт группе получателей (единственный способ обнаружить, что что-то не так, — это получать сообщения об ошибках, например, когда один из адресов в списке устарел или когда один из серверов получателей или интернет-провайдера отклоняет его).
Мой интернет-провайдер проверил историю по датам и времени, указанным в таких предупреждениях, и может подтвердить, что спам действительно был отправлен с моего IP-адреса, так что это НЕ просто подделка моего адреса: мой компьютер был настоящим отправителем. Кстати, все получатели есть в моем реальном списке контактов.
Это началось, когда я использовал свой старый компьютер с Windows XP и Outlook Express. Однако теперь он делает то же самое на моем новом компьютере с Windows 7 Pro и Thunderbird, то есть он также может просматривать мой список контактов Thunderbird, а не только старый очевидный файл WAB Outlook Express.
Недавно один из моих клиентов сообщил о той же проблеме (они заметили, что некоторые серверы их клиентов внесли их в черный список, и они начали получать те же недоставленные ответные сообщения, с которыми сталкивался я). Кстати, их интернет-провайдер тот же, что и мой (см. ниже о том, что они все еще могут разрешать анонимный SMTP). В ее случае ее компьютер работает под управлением Windows 10 Professional, и она использует MS Outlook 2007.
- Скорее всего, он вообще не использует мой почтовый клиент для рассылки спам-писем (хотя, конечно, трудно сказать, не запускает ли он его в фоновом режиме), но хотя компьютер, конечно, приходится оставлять включенным, он обычно отправляет их ночью (чаще всего между 1 и 3 часами ночи, хотя иногда они отправлялись и днем), когда мой почтовый клиент закрыт.
Поэтому ему приходится напрямую подключаться к серверу моего интернет-провайдера с помощью SMTP (конечно, используя мой адрес электронной почты и пароль, хотя мой интернет-провайдер может по-прежнему разрешать анонимный SMTP, что, конечно, является проблемой).
К сожалению, мой местный интернет-провайдер не использует шифрование SSL или TLS (хотя, я думаю, это не сильно изменится, если пароль не требуется). Однако, учитывая, что он мог получить мой адрес электронной почты и список контактов, я думаю, что было не так уж сложно получить и мой сохраненный пароль, поскольку NirSoft, например, может это сделать).
- Ни одно антивирусное программное обеспечение не смогло его обнаружить, но он все еще там, рассылая спам по всему моему списку контактов примерно два раза в месяц, иногда чаще, иногда всего один раз: частота, время и т. д. совершенно случайны и непредсказуемы.
Я перепробовал все, что советовали в интернете, но не получил вообще никакого результата.
- Конечно, ручная проверка реестра, служб и т. д. не показывает ничего подозрительного при запуске. И все же, чертов процесс должен где-то скрываться, иначе он не смог бы рассылать сотни писем в течение нескольких секунд, как он это делает!
Поэтому я просто попытался заблокировать его с помощью правил брандмауэра;
Однако, используя брандмауэр Microsoft, я мог бы добавить исходящее правило, разрешающее Thunderbird использовать порт 25 с аутентификацией пользователя, но я совершенно не уверен, делает ли это правило исключительным, т. е. включение этого правила, вероятно, не отключит любое другое использование.
К сожалению, добавление еще одного правила, блокирующего порт 25, не делает указанное выше правило исключением. Если я это сделаю, оно просто не даст мне отправлять какие-либо электронные письма вообще, несмотря на явное разрешение. По-видимому, запрещающее правило переопределяет разрешающее, тогда как я хотел бы получить прямо противоположное поведение (заблокировать все, а затем разрешить исключение).
В идеале я бы хотел, чтобы любая попытка использования единственного разрешенного приложения (в моем случае Thunderbird) регистрировалась, чтобы я мог отследить виновника.
Кто-нибудь из вас когда-нибудь слышал о такой проблеме и, возможно, мог бы подсказать мне решение или подсказать, кто может решить эту проблему, или знает какой-либо инструмент, который был бы более эффективен для ее обнаружения?
Кто-нибудь знает, как настроить брандмауэр так, чтобы он блокировал любое использование порта 25, кроме одного разрешенного приложения? И в идеале, как регистрировать любые попытки от любого процесса, кроме разрешенного? Или, может быть, какое-нибудь бесплатное стороннее программное обеспечение брандмауэра, которое справится с этой задачей?
Конечно, было бы идеально выявить виновника и устранить его, но если это невозможно, то предотвращение его вреда все равно будет приемлемым компромиссом до тех пор, пока антивирусы однажды не научатся его обнаруживать.
РЕДАКТИРОВАТЬ :
Вот пример:http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
EDIT: Итак, в заключение, анализ заголовка поможет вам узнать, был ли спам отправлен с вашего ПК или ваш адрес электронной почты был подделан.
Проблема решена в моем случае благодаря ответу Дэвида ниже. Это объясняет, почему ни один антивирус не смог найти ничего подозрительного in situ.
решение1
Откуда на самом деле пришло это письмо?
Мой интернет-провайдер проверил историю по датам и времени, указанным в таких предупреждениях, и может подтвердить, что спам действительно был отправлен с моего IP-адреса, так что это НЕ просто подделка моего адреса: фактическим отправителем был мой компьютер.
Мой интернет-провайдер — canl.nc
Вот заголовки одного из таких возвращенных писем:
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
Ваш интернет-провайдер некомпетентен:
Это письмо пришло не от вас (если только вы не живете в Польше)
Он пришел с 82.160.175.227 (Польша)
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # FilteredОн был отправлен (и доставлен) на адрес mail.zakat.com.my (Малайзия).
zakat.com.my отклонил письмо с ошибкой 451 smtp:
Если вы получили одно из вышеуказанных (или похожее) сообщений об ошибке от вашего почтового сервера (после того, как вы отправили несколько сообщений), то вы достигли лимита на своем почтовом сервере (или учетной записи электронной почты). Это означает, что ваш почтовый сервер не будет принимать никаких дальнейших сообщений, пока вы не подождете некоторое время.
Ваша учетная запись электронной почты может иметь одно или несколько ограничений:
- Дневной лимит почты, например, макс. 2000 сообщений в день
- Почасовой лимит почты, например, макс. 500 сообщений в час
- Ограничение скорости отправки сообщений
Уведомление об отклонении было отправлено вам по следующим причинам:
Return-Path: <my email address>Ваш интернет-провайдер canl.nc. Ни в коем случаеотправкаэтого письма вовлечен canl.nc. Они вовлечены только потому, что отказ был отправлен вам.
Так что же произошло на самом деле?
Ваша адресная книга каким-то образом просочилась в сеть.
Спамер из Польши отправил спам с вашим поддельным адресом электронной почты в качестве обратного адреса с IP-адреса 82.160.175.227
Спам был отправлен на адрес mail.zakat.com.my и отклонен — вероятно, потому, что mail.zakat.com.my обнаружил слишком много спама, приходящего с IP-адреса спамера.
mail.zakat.com.my настроен не очень хорошо, так как 82.160.175.227 на самом деле является занесенным в черный список IP-адресом.
mail.zakat.com.my не является открытым ретранслятором, поэтому вполне возможно, что у спамера есть там учетная запись.
Таким образом, спам был отклонен, и вы стали получателем того, что называетсяобратное рассеяние:
Обратное рассеивание (также известное как рассеяние, неправильно направленные возвраты, обратный ответ или сопутствующий спам) — это неправильно автоматизированные сообщения о возврате, отправляемые почтовыми серверами, как правило, как побочный эффект входящего спама.
Примечания:
Многие заголовки электронных писем могут быть (и обычно так и происходит) подделаны спамерами при отправке спама.
- "От:" адрес
- Обратный путь: адрес
- Некоторые заголовки «Получено:» также могут быть поддельными.
Подделка SMTP-сообщенийпоказывает, насколько легко это можно сделать, используя открытый (незащищенный) ретрансляционный почтовый сервер.
Анализ заголовков электронных писем
Существует множество инструментов для анализа заголовков электронных писем, некоторые из которых могут показать, находятся ли какие-либо IP-адреса в цепочке в черных списках спама.
Эти инструменты также могут определить, являются ли какие-либо заголовки «Получено:» в цепочке поддельными.
Одним из таких инструментов являетсяАнализатор заголовков электронных писем MxToolbox.
Анализ с помощью этого инструмента показывает следующие результаты:
