定位從 Windows 電腦發送垃圾郵件(或至少阻止它們)的惡意軟體

tag-icon tag-icon email smtp spam-prevention
定位從 Windows 電腦發送垃圾郵件(或至少阻止它們)的惡意軟體

我正在尋求幫助,了解一些無法追蹤的惡意軟體,這些惡意軟體使用直接 SMTP 發送向我的所有聯絡人清單發送垃圾郵件。

  • 它使用我的個人電子郵件地址(基於ISP、POP3/SMTP,而不是基於網絡,因為我只能在網絡上找到與gmail 或hotmail 相關的問題和答案,這不是我的情況),並且能夠瀏覽和使用我的聯絡人列表,用於向一組收件人發送包含某個受感染網站連結的簡短垃圾郵件訊息(檢測是否發生錯誤的唯一方法是,例如,當列表中的某個地址已過時,或當收件者的伺服器或 ISP 伺服器之一拒絕它)

  • 我的ISP 已檢查此類回傳警告中指示的日期和時間的歷史記錄,並且能夠證明垃圾郵件實際上是從我的IP 位址發送的,因此它不僅僅是欺騙我的位址:我的電腦是實際的寄件者。順便說一句,所有收件人都在我的實際聯絡人清單中。

  • 當我使用執行 Windows XP 和 Outlook Express 的舊電腦時,就開始發生這種情況。然而,它現在在我運行 Windows 7 Pro 和 Thunderbird 的全新電腦上執行相同的操作,這意味著它還能夠瀏覽我的 Thunderbird 聯絡人列表,而不僅僅是舊的 Outlook Express 明顯的 WAB 檔案。

最近,我的一位客戶報告了同樣的問題(他們注意到,當他們的一些客戶伺服器將他們列入黑名單時,他們開始收到與我遇到的相同的未送達回傳訊息)。順便說一句,他們的 ISP 與我的相同(請參閱下文以了解他們可能仍然允許匿名 SMTP)。就她而言,她的電腦運行的是 Windows 10 Professional,而她使用的是 MS Outlook 2007。

  • 無論如何,它很可能不會使用我的電子郵件客戶端程式來發出垃圾郵件(儘管當然很難說它是否不在後台啟動它),但是儘管計算機當然必須保持打開狀態,它通常在晚上(大多數時間在凌晨1 點到3 點左右,但有時在白天發出)發送,此時我的電子郵件用戶端已關閉。

所以它必須透過 SMTP 直接連接到我的 ISP 伺服器(當然使用我的電子郵件地址和密碼,儘管我的 ISP 可能仍然允許匿名 SMTP,這當然是一個問題)。

不幸的是,我的本地 ISP 不使用 SSL 或 TLS 加密(儘管我猜只要不需要密碼,它就不會改變太多)。然而,考慮到它可以獲得我的電子郵件地址和聯絡人列表,我想獲取我儲存的密碼可能也不難,因為 NirSoft 就能夠做到這一點)。

  • 沒有防毒軟體可以檢測到任何東西,但它仍然在那裡,大約每月兩次向我的整個聯絡人清單發送垃圾郵件,有時更頻繁,有時僅一次:頻率、時間等完全是隨機且不可預測的。

我已經嘗試了網路上建議的所有方法,但完全沒有結果。

  • 當然,啟動時手動檢查註冊表、服務等並沒有發現任何可疑之處。然而,該死的進程必須潛伏在某個地方,否則它無法像現在這樣在幾秒鐘內爆發數百封電子郵件!

所以現在我只是嘗試使用防火牆規則來阻止它;

但是,使用 Microsoft 防火牆,我可以新增一條傳出規則,允許 Thunderbird 使用連接埠 25 進行使用者驗證,但我完全不確定這是否會使該規則具有排他性,即啟用此規則可能不會停用任何其他用途。

不幸的是,增加另一個阻止連接埠 25 的規則並不會使上述規則成為例外。如果我這樣做,它只會阻止我發送任何電子郵件,儘管有明確的許可。顯然,禁止規則覆蓋了許可規則,我希望得到完全相反的行為(阻止所有規則,然後允許例外)。

理想情況下,我希望記錄唯一允許的應用程式(在我目前的情況下為 Thunderbird)的任何嘗試,以便我可以追蹤罪魁禍首。

  • 你們有人聽過這樣的問題嗎?

  • 有誰知道我如何設定防火牆,以便它阻止除一個允許的應用程式之外的任何連接埠 25 的使用?理想情況下,如何記錄除了允許的進程之外的任何進程的任何嘗試?或者也許一些免費的第三方防火牆軟體可以完成這項工作?

當然,識別出罪魁禍首並能夠消除它是完美的,但如果不能做到這一點,在防毒軟體有一天能夠檢測到它之前,防止它造成傷害仍然是一個可以接受的妥協。

編輯 :

這是一個範例:http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip

編輯:總之,分析標頭將幫助您了解垃圾郵件是否源自您的電腦,或者您的電子郵件地址是否已被欺騙。

感謝大衛下面的回答,我的問題得到了解決。這解釋了為什麼沒有防毒工具可以在原地發現任何可疑的東西。

答案1

這封電子郵件實際上來自哪裡?

我的ISP 已檢查此類回傳警告中指示的日期和時間的歷史記錄,並且能夠證明垃圾郵件實際上是從我的IP 位址發送的,因此它不僅僅是欺騙我的位址:我的電腦是實際的寄件者

我的 ISP 是 canl.nc

以下是一封此類返回電子郵件的標頭:

Return-Path: <my email address>
Received: from localhost (localhost [127.0.0.1])
  by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2;
  Sun,  7 Aug 2016 23:00:34 +0800 (MYT)
X-Virus-Scanned: amavisd-new at zakat.com.my
Received: from mail.zakat.com.my ([127.0.0.1])
  by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024)
  with ESMTP id cl7meerEgQyi; Sun,  7 Aug 2016 23:00:33 +0800 (MYT)
Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227])
  by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085;
  Sun,  7 Aug 2016 23:00:28 +0800 (MYT)
From: <my email address>
To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address>
Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?=
Date: Sun, 7 Aug 2016 17:59:57 +0300
Message-ID: <[email protected]>

您的 ISP 不合格:

  • 這封電子郵件不是您發送的(除非您住在波蘭)

  • 它來自 82.160.175.227(波蘭)

    % Information related to '82.160.175.0 - 82.160.175.255'

% Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]'

inetnum 82.160.175.0 - 82.160.175.255
netname PL-NETLINE-STARGARD
descr   Net-line sp. z o.o.
descr   Stargard Szczecinski
country PL
admin-c LH133-RIPE
tech-c  LH133-RIPE
status  ASSIGNED PA
mnt-by  NETIA-MNT
mnt-lower   NETIA-MNT
mnt-routes  NETIA-MNT
created 2014-04-07T07:36:13Z
last-modified   2016-03-15T14:24:30Z
source  RIPE # Filtered

  • 它已發送至(並交付至)mail.zakat.com.my(馬來西亞)。

  • zakat.com.my 拒絕了郵件並出現 451 smtp 錯誤:

    如果您從郵件伺服器收到上述(或類似)錯誤訊息之一(在發送一些訊息後),則表示您已達到郵件伺服器(或電子郵件帳號)的限制。這意味著您的郵件伺服器將不會接受任何進一步的訊息,直到您等待一段時間。

    您的郵件帳號可能有一項或多項限制:

    • 每日郵件限制,例如最大。每天 2000 則訊息
    • 每小時郵件限制,例如最大。每小時 500 則訊息
    • 訊息提交速率限制

  • 拒絕通知已發送給您,因為:

    Return-Path: <my email address>

  • 您的 ISP 是 canl.nc。在任何時候傳送此電子郵件涉及 canl.nc。他們參與只是因為退回郵件已發送給您。

那麼究竟發生了什麼事?

  1. 你的通訊錄不知何故被洩漏了。

  2. 波蘭的垃圾郵件發送者從 IP 位址 82.160.175.227 發送了一些垃圾郵件,其中您的電子郵件地址被偽造為回傳位址

  3. 垃圾郵件被發送到 mail.zakat.com.my 並被拒絕 - 可能是因為 mail.zakat.com.my 注意到來自垃圾郵件發送者的 IP 位址的垃圾郵件太多。

    • mail.zakat.com.my 的配置不是很好,因為 82.160.175.227 實際上是一個列入黑名單的 IP 位址。

    • mail.zakat.com.my 不是開放中繼,因此垃圾郵件發送者可能在那裡擁有帳戶。

  4. 因此,垃圾郵件被退回,而您就是所謂的收件人後向散射:

    反向散射(也稱為外部散射、誤導性退回、反沖或附帶垃圾郵件)是由郵件伺服器錯誤地自動發送的退回郵件,通常是傳入垃圾郵件的副作用。

筆記:

  1. 許多電子郵件標頭可能(通常是)由垃圾郵件發送者在發送垃圾郵件時偽造。

    • 「寄件者:」地址
    • 返迴路徑:位址
    • 一些“已接收:”標頭也可以偽造。

  2. SMTP 訊息欺騙展示了使用開放(不安全)的中繼郵件伺服器可以多麼輕鬆地完成此操作。

分析電子郵件標題

有許多工具可以分析電子郵件標頭,其中一些工具可以顯示鏈中的任何 IP 位址是否在垃圾郵件黑名單中。

這些工具還可以判斷鏈中的任何「已接收:」標頭是否是偽造的。

其中一個這樣的工具是MxToolbox 電子郵件標頭分析器

使用此工具進行分析顯示以下結果:

在此輸入影像描述

在此輸入影像描述

進一步閱讀

相關內容