Сценарий 1 – Неправильная настройка SPF отправителя

Question

Трудно сказать наверняка, но я думаю, что это наиболее вероятный сценарий:

Доменное имя отправителя не имеетСПФзапись, ограничивающая IP-адреса, которым разрешено отправлять электронные письма для домена.

Другие возможные сценарии, пришедшие мне в голову в порядке убывания вероятности, исходя из моего опыта:

Учетная запись электронной почты или сервер электронной почты отправителя были взломаны и рассылают спам контактам, известным на сервере.
Доменное имя отправителя имеет разумные записи SPF, но антиспамовое программное обеспечение вашего почтового сервера не проверяет поддельные письма.
Ваш почтовый сервер или учетная запись были взломаны, и распространитель вредоносного ПО использует ваш список контактов для размещения вредоносных писем в вашем почтовом ящике.

Сценарий 1 – Неправильная настройка SPF отправителя

Это наиболее вероятный сценарий, поскольку вы указали вобновление вашего вопросачто адреса электронной почты отправителей «вымышленные»; отправитель-подменщик не обязательно знает какие-либо реальные почтовые ящики в целевом домене.

Симптом

Вы получаете письмо от кого-то, но этот человек отрицает отправку письма. Они могут не показывать соответствующих записей в папке отправленных сообщений или даже в журналах электронной почты сервера-отправителя.

Причина

Доменное имя отправителя не имеет записи SPF (Sender Policy Framework), которая предотвращает подделку.

Диагноз

Проверить SPF-запись домена можно example.comс помощью этой команды:

nslookup -type=TXT example.com

Замените example.comна доменное имя отправителя. Вы можете увидеть запись, которая выглядит так:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

В приведенном выше примере

+aозначает разрешение IP-адресу(ам) A-записи(й) домена отправлять электронные письма от имени этого домена.
+mxозначает разрешение записей MX домена и разрешение этим доменам отправлять электронные письма.
+ip4:127.0.0.1означает разрешить IP-адресу 127.0.0.1отправлять электронные письма для этого домена.
-allозначает запрет всем остальным IP-адресам отправлять электронные письма для этого домена.

Если у отправителя нет -allзаписи SPF, принимающие почтовые серверы, проверяющие SPF, могут принять поддельные электронные письма, которые могли быть отправлены кем угодно.

Вы можете проверить фактического отправителя письма, прочитав Received:заголовки в полученном вами вредоносном письме. Received:Заголовки находятся в обратном порядке каждого почтового сервера, через который прошло письмо, но учтите, что заголовки, не добавленные вашим почтовым сервером, могут быть подделаны. Первый Received:заголовок, добавленный вашим почтовым шлюзом, показывает, откуда пришло письмо. Пример:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

В приведенном выше примере электронное письмо пришло от 40.107.81.54, которое прошло проверку записи SPF ( "v=spf1 include:spf.protection.outlook.com -all") на домене отправителя спама, luxurylifestylereport.netпоэтому электронное письмо было принято.

Кроме того, если у вас есть доступ к журналам почтового сервера, вы можете прочитать источник письма оттуда.

Разрешение

Почтмейстер отправителя должен настроить запись SPF для своего домена, которая не позволит спамерам подделывать домен для писем. Этого вы сделать не можете.

Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.

Сценарий 2 – Электронная почта отправителя скомпрометирована

Этот сценарий менее вероятен, поскольку вы сказали, что эта проблема возникает время от времени, но кто-то другой должен был заметить ее и сообщить об этом в прошлом.

Симптом

В заголовках писем вы можете увидеть, что письмо пришло с IP-адреса, которому разрешено отправлять письма для домена отправителя.

Причина

Почтовый сервер по IP-адресу или сервер, который отправляет почту через него, был скомпрометирован. Хакер также мог найти копию контактов, о которых знает отправитель, и пытается отправить им электронное письмо в надежде найти кого-то, с кем можно связаться.

Диагноз

Тот же процесс, что и в сценарии 1

Разрешение

Почтмейстеру отправителя нужно остановить и защитить свою систему электронной почты. Это не то, что вы можете сделать.

Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.

Сценарий 3 – Сервер приема почты не проверяет записи SPF

Этот сценарий менее вероятен, поскольку спамеры не захотят тратить ресурсы на попытки подделывать письма для домена, который уже защищает себя от подделки. Вы, вероятно, также получите много поддельных писем с других доменных имен.

Симптом

Вы получаете письмо от кого-то, но этот человек может доказать, что не отправлял его. Фактически, любой может подтвердить, что запись SPF домена настроена правильно, однако полученное вами письмо пришло с IP-адреса, запрещенного записью SPF домена.

Причина

Ваш почтовый сервер не отфильтровывает поддельные письма.

Диагноз

Тот же процесс, что и в сценарии 1, но вы видите, что IP-адрес отправителя не проходит проверку SPF.

Разрешение

Информацию о настройке проверки SPF см. в документации вашего почтового сервера.

Сценарий 4 – Учетная запись электронной почты получателя скомпрометирована

Этот сценарий менее вероятен, поскольку более выгодно скрыть от вас тот факт, что вас скомпрометировали, и использовать хорошую репутацию вашего адреса электронной почты для рассылки спама другим. Кроме того, злоумышленник, вероятно, будет диверсифицировать исходный адрес электронной почты.

Симптом

В журналах входящей электронной почты не отображаются полученные письма или заголовки полученных писем не имеют смысла.

Причина

Кто-то надеется получить к вам больше доступа, размещая вредоносные письма на вашем уже скомпрометированном почтовом аккаунте, не отправляя при этом никаких писем. Письма можно добавлять по протоколу IMAP.

Диагноз

Проверьте журналы вашего почтового сервера на предмет незнакомых вам случаев аутентификации.

Разрешение

Измените пароль своей учетной записи электронной почты.

Answer 1

Трудно сказать наверняка, но я думаю, что это наиболее вероятный сценарий:

Доменное имя отправителя не имеетСПФзапись, ограничивающая IP-адреса, которым разрешено отправлять электронные письма для домена.

Другие возможные сценарии, пришедшие мне в голову в порядке убывания вероятности, исходя из моего опыта:

Учетная запись электронной почты или сервер электронной почты отправителя были взломаны и рассылают спам контактам, известным на сервере.
Доменное имя отправителя имеет разумные записи SPF, но антиспамовое программное обеспечение вашего почтового сервера не проверяет поддельные письма.
Ваш почтовый сервер или учетная запись были взломаны, и распространитель вредоносного ПО использует ваш список контактов для размещения вредоносных писем в вашем почтовом ящике.

Сценарий 1 – Неправильная настройка SPF отправителя

Это наиболее вероятный сценарий, поскольку вы указали вобновление вашего вопросачто адреса электронной почты отправителей «вымышленные»; отправитель-подменщик не обязательно знает какие-либо реальные почтовые ящики в целевом домене.

Симптом

Вы получаете письмо от кого-то, но этот человек отрицает отправку письма. Они могут не показывать соответствующих записей в папке отправленных сообщений или даже в журналах электронной почты сервера-отправителя.

Причина

Доменное имя отправителя не имеет записи SPF (Sender Policy Framework), которая предотвращает подделку.

Диагноз

Проверить SPF-запись домена можно example.comс помощью этой команды:

nslookup -type=TXT example.com

Замените example.comна доменное имя отправителя. Вы можете увидеть запись, которая выглядит так:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

В приведенном выше примере

+aозначает разрешение IP-адресу(ам) A-записи(й) домена отправлять электронные письма от имени этого домена.
+mxозначает разрешение записей MX домена и разрешение этим доменам отправлять электронные письма.
+ip4:127.0.0.1означает разрешить IP-адресу 127.0.0.1отправлять электронные письма для этого домена.
-allозначает запрет всем остальным IP-адресам отправлять электронные письма для этого домена.

Если у отправителя нет -allзаписи SPF, принимающие почтовые серверы, проверяющие SPF, могут принять поддельные электронные письма, которые могли быть отправлены кем угодно.

Вы можете проверить фактического отправителя письма, прочитав Received:заголовки в полученном вами вредоносном письме. Received:Заголовки находятся в обратном порядке каждого почтового сервера, через который прошло письмо, но учтите, что заголовки, не добавленные вашим почтовым сервером, могут быть подделаны. Первый Received:заголовок, добавленный вашим почтовым шлюзом, показывает, откуда пришло письмо. Пример:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

В приведенном выше примере электронное письмо пришло от 40.107.81.54, которое прошло проверку записи SPF ( "v=spf1 include:spf.protection.outlook.com -all") на домене отправителя спама, luxurylifestylereport.netпоэтому электронное письмо было принято.

Кроме того, если у вас есть доступ к журналам почтового сервера, вы можете прочитать источник письма оттуда.

Разрешение

Почтмейстер отправителя должен настроить запись SPF для своего домена, которая не позволит спамерам подделывать домен для писем. Этого вы сделать не можете.

Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.

Сценарий 2 – Электронная почта отправителя скомпрометирована

Этот сценарий менее вероятен, поскольку вы сказали, что эта проблема возникает время от времени, но кто-то другой должен был заметить ее и сообщить об этом в прошлом.

Симптом

В заголовках писем вы можете увидеть, что письмо пришло с IP-адреса, которому разрешено отправлять письма для домена отправителя.

Причина

Почтовый сервер по IP-адресу или сервер, который отправляет почту через него, был скомпрометирован. Хакер также мог найти копию контактов, о которых знает отправитель, и пытается отправить им электронное письмо в надежде найти кого-то, с кем можно связаться.

Диагноз

Тот же процесс, что и в сценарии 1

Разрешение

Почтмейстеру отправителя нужно остановить и защитить свою систему электронной почты. Это не то, что вы можете сделать.

Пока почтмейстер не исправит эту проблему, вы можете попробовать изменить настройки защиты от спама, чтобы блокировать письма с вредоносными вложениями или спам-содержимым.

Сценарий 3 – Сервер приема почты не проверяет записи SPF

Этот сценарий менее вероятен, поскольку спамеры не захотят тратить ресурсы на попытки подделывать письма для домена, который уже защищает себя от подделки. Вы, вероятно, также получите много поддельных писем с других доменных имен.

Симптом

Вы получаете письмо от кого-то, но этот человек может доказать, что не отправлял его. Фактически, любой может подтвердить, что запись SPF домена настроена правильно, однако полученное вами письмо пришло с IP-адреса, запрещенного записью SPF домена.

Причина

Ваш почтовый сервер не отфильтровывает поддельные письма.

Диагноз

Тот же процесс, что и в сценарии 1, но вы видите, что IP-адрес отправителя не проходит проверку SPF.

Разрешение

Информацию о настройке проверки SPF см. в документации вашего почтового сервера.

Сценарий 4 – Учетная запись электронной почты получателя скомпрометирована

Этот сценарий менее вероятен, поскольку более выгодно скрыть от вас тот факт, что вас скомпрометировали, и использовать хорошую репутацию вашего адреса электронной почты для рассылки спама другим. Кроме того, злоумышленник, вероятно, будет диверсифицировать исходный адрес электронной почты.

Симптом

В журналах входящей электронной почты не отображаются полученные письма или заголовки полученных писем не имеют смысла.

Причина

Кто-то надеется получить к вам больше доступа, размещая вредоносные письма на вашем уже скомпрометированном почтовом аккаунте, не отправляя при этом никаких писем. Письма можно добавлять по протоколу IMAP.

Диагноз

Проверьте журналы вашего почтового сервера на предмет незнакомых вам случаев аутентификации.

Разрешение

Измените пароль своей учетной записи электронной почты.

Сценарий 1 – Неправильная настройка SPF отправителя

решение1

Сценарий 1 – Неправильная настройка SPF отправителя

Симптом

Причина

Диагноз

Разрешение

Сценарий 2 – Электронная почта отправителя скомпрометирована

Симптом

Причина

Диагноз

Разрешение

Сценарий 3 – Сервер приема почты не проверяет записи SPF

Симптом

Причина

Диагноз

Разрешение

Сценарий 4 – Учетная запись электронной почты получателя скомпрометирована

Симптом

Причина

Диагноз

Разрешение

Связанный контент