спам-атака на почтовый ящик Опции

[Finnegan]

все утро с периодичностью 1 письмо в 5 секунд
на почтовый ящик приходят какие-то отчеты о "невозможности отправить" какие-то письма
письма идут с разных адресов от отправителя 'postmaster'
postmaster@rfinance.su(@rg24.ru, @albeta.kz, @icbask.com, @DALTMG.dalur.local и т.д.)
текст сообщения везде один и тот же - типа невозможно отправить письма на следующие адреса

Не удалось выполнить доставку следующим получателям или лицам из следующих списков рассылки:

alexei@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

alexey@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

alla@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

all@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

anatoliy@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

anatol@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

anatoly@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

andreev@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

andre@rfinance.su
Адрес электронной почты получателя не найден в почтовой системе получателя. Microsoft Exchange не будет повторять попытку доставки сообщения. Проверьте адрес электронной почты и повторите отправку сообщения или передайте указанное ниже диагностическое сообщение администратору.

и еще письма от MAILER-DAEMON@rgideal.ru (Mail Delivery System)
с темами о невозможности доставки каких-то писем вроде "Mail delivery failed: returning message to sender"

Mail delivery failed: returning message to sender
This is the mail system at host rgideal.ru.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

<s.trushin@geoclima.com> (expanded from <info@geoclima-rus.ru>): User unknown
in virtual alias table

<v.andreeva@geoclima.com> (expanded from <info@geoclima-rus.ru>): User unknown
in virtual alias table

<v.astashkin@geoclima.com> (expanded from <info@geoclima-rus.ru>): User unknown
in virtual alias table

Reporting-MTA: dns; rgideal.ru
X-Postfix-Queue-ID: ED24E2EF310B
X-Postfix-Sender: rfc822; palomar@mail.ru
Arrival-Date: Mon, 1 Apr 2013 13:09:06 +0400 (MSK)

Final-Recipient: rfc822; s.trushin@geoclima.com
Original-Recipient: rfc822;info@geoclima-rus.ru
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; User unknown in virtual alias table

Final-Recipient: rfc822; v.andreeva@geoclima.com
Original-Recipient: rfc822;info@geoclima-rus.ru
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; User unknown in virtual alias table

Final-Recipient: rfc822; v.astashkin@geoclima.com
Original-Recipient: rfc822;info@geoclima-rus.ru
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; User unknown in virtual alias table

вопрос:
это что такое?
кто-то через спам-бот пытается рассылать с моего почтового адреса письма?
если да, то как это вообще возможно? и что мне делать, чтобы это все прекратилось7

[byk66]

А может это твой ящик спам рассылает?

[Finnegan]

А может это твой ящик спам рассылает?

может быть
я и спрашиваю:
как возможно, чтобы без моего ведома рассылались какие-то письма?
и чтобы сделать, чтобы это прекратить?

[дон_Ган]

может быть
я и спрашиваю:
как возможно, чтобы без моего ведома рассылались какие-то письма?
и чтобы сделать, чтобы это прекратить?

Кто-то организовал рассылку, указав в поле In-Reply-To твой адрес.

Сообщение отредактировал дон_Ган - 1.4.2013, 13:12

[АбвгдеЁж]

у меня несколько дней назад атаковали сайты.
говорят что была самая масштабная кибер атака.
например сервера ганзы сломали. совсем. со всем данными.
ганза ли была целью неизвестно.
но вот сервера маленьких никому неизвестных контр - никто не тревожил, а всем известные хостеры подверглись массовым атакам.

[Finnegan]

Кто-то организовал рассылку, указав в поле In-Reply-To твой адрес.

то есть любой может в этом поле указать какой угодно адрес?

и что теперь делать?
просто ждать, когда эта рассылка пройдет, отфутболив ко мне всё, что не прошло к адресатам?

[дон_Ган]

то есть любой может в этом поле указать какой угодно адрес?

То есть да.

и что теперь делать?
просто ждать, когда эта рассылка пройдет, отфутболив ко мне всё, что не прошло к адресатам?

Написать на postmaster@откуда-идёт-письмо-о-невозможности-доставки, приложив то что пришло СО ВСЕМИ ЗАГОЛОВКАМИ.

[abm]

то есть любой может в этом поле указать какой угодно адрес?

Да, любой, причем любое поле в емайле, включая и From.

и что теперь делать?
просто ждать, когда эта рассылка пройдет, отфутболив ко мне всё, что не прошло к адресатам?

Чтобы понять что делать, надо сначала разобраться что это такое.
Я бы предположил что это классический случай NDR-спама, цель - заспамить _твой_ ящик, но обычно в этих случаях не используется большой список рассылки, достаточно по одному аккаунту в каждом выбранном домене. Если только цель не просто доставить спам, а тупо завалить твой аккаунт кучей хлама.


Возможно это атака на те сервера, откуда приходит NDR, но тогда непонятно зачем в полях From и/или Reply-To твой адрес.
Совершенно необязательно что твой почтовый аккаунт стырили, но я бы на всякий случай пароль поменял.
Если можешь, перешли мне парочку таких "возвратов", пришедших от разных доменов. Только не просто "Переслать" из почтового ящика, а "Переслать как вложение", если майл-ру это поддерживает. Когда делаешь просто "Переслать" там не пересылается полный оригинальный заголовок, а именно он и нужен.

Что делать? поставь фильтр по ключевым словам из заголовка. ЧТобы сразу в корзину шло.

[inthex]

+1 к abm, а если Вам не сложно мне так же бы скинули эти вложения тут в ЛС?

[abm]

+1 к abm, а если Вам не сложно мне так же бы скинули эти вложения тут в ЛС?

Да мы уже разобрались в привате. Классика жанра - обычный NDR спам.

[inthex]

Да мы уже разобрались в привате. Классика жанра - обычный NDR спам.

Просто интересно и тоже бы поизучал. Но если автор опасается и не хочет показывать кроме как Вам, то тогда ладно.


Сообщение отредактировал inthex - 1.4.2013, 19:16

[Finnegan]

abm
еще раз спасибо за объяснения!
который раз выручаешь

поставил фильтры на все адреса, чтоб шли прямо в корзину
и на слова "mail daemon" и "postmaster" тоже фильтр поставил, чтоб если даже с других адресов слали, все равно в корзину отправлялись

Просто интересно и тоже бы поизучал. Но если автор опасается и не хочет показывать кроме как Вам, то тогда ладно.

если интересно, то отправил одно письмо поизучать

[inthex]

Finnegan
Только обратите внимание, что такие же письма приходят когда именно с вашего адреса было отправлено письмо и не было доставлено.
Т.е. следующая ситуация. Вы отправляете срочное письмо с доками. По каким то причинам (например техническим) почтовый сервер принимающей стороны был не доступен или вы в конце концов ошиблись в написании адреса. Так вот Вы так же получите подобное письмо и оперативно сможете отреагировать (созвониться с принимающей стороной или на запасной е-майл отправить письмо). А теперь такие письма в корзине будут с кучей отфильтрованных левых. Так что тут нужно внимательнее. А вообще по сути цель достигнута. И то что вы их в корзину перемещаете, по сути ерунда все. Спам будет копиться в корзине.

Сообщение отредактировал inthex - 1.4.2013, 19:51

[abm]

Finnegan
Только обратите внимание, что такие же письма приходят когда именно с вашего адреса было отправлено письмо и не было доставлено.
Т.е. следующая ситуация. Вы отправляете срочное письмо с доками. По каким то причинам (например техническим) почтовый сервер принимающей стороны был не доступен или вы в конце концов ошиблись в написании адреса. Так вот Вы так же получите подобное письмо и оперативно сможете отреагировать (созвониться с принимающей стороной или на запасной е-майл отправить письмо). А теперь такие письма в корзине будут с кучей отфильтрованных левых. Так что тут нужно внимательнее. А вообще по сути цель достигнута. И то что вы их в корзину перемещаете, по сути ерунда все. Спам будет копиться в корзине.

Да, это обратная сторона медали. Нежелательный эффект, которого никак не избежать, к сожалению.
Правда я всегда говорю что електрическая почта по определению не является _гарантированным_ средством доставки. Поэтому вполне нормальная практика, когда отправляешь что-то действительно важное, убедиться что адресат это получил. Например позвонить и спросить.
Ну и в последнее время у майл-администраторов стало достаточно популярным отключать функции NDR на почтовых серверах. Именно по причине использования этой функции спамерами.

[inthex]

Да, это обратная сторона медали. Нежелательный эффект, которого никак не избежать, к сожалению.
Правда я всегда говорю что електрическая почта по определению не является _гарантированным_ средством доставки. Поэтому вполне нормальная практика, когда отправляешь что-то действительно важное, убедиться что адресат это получил. Например позвонить и спросить.
Ну и в последнее время у майл-администраторов стало достаточно популярным отключать функции NDR на почтовых серверах. Именно по причине использования этой функции спамерами.

Тут анализ заголовков, отслеживание цепочки и того звена, через которое можно подействовать. Обращение в тех поддержку.
А ситуация такая попросту (как Вы уже заметили) из-за недоработок почтовых администраторов, очень характерная в Российском сегменте.

Сообщение отредактировал inthex - 1.4.2013, 20:42

[abm]

Тут анализ заголовков, отслеживание цепочки и того звена, через которое можно подействовать. Обращение в тех поддержку.

Это малоэффективно. Для рассылки, судя по всему, используются зараженные сервера и всякий раз разные. В одном из приведенных примеров это сервер charter.com. Писать им что у них компы заражены? Дык у спамеров таких тысячи в бот-нете.
Писать в поддержку тех серверов, которые используются для генерации NDR - еще более тухлое занятие.
Эдак все рабочее время только и будешь заниматься общением с сотней техподдержек с маловероятным положительным результатом.

А ситуация такая попросту (как Вы уже заметили) из-за недоработок почтовых администраторов, очень характерная в Российском сегменте.

Да, заметил. Увы и ах.

[inthex]

Это малоэффективно. Для рассылки, судя по всему, используются зараженные сервера и всякий раз разные. В одном из приведенных примеров это сервер charter.com. Писать им что у них компы заражены? Дык у спамеров таких тысячи в бот-нете.
Писать в поддержку тех серверов, которые используются для генерации NDR - еще более тухлое занятие.
Эдак все рабочее время только и будешь заниматься общением с сотней техподдержек с маловероятным положительным результатом.

Мне предоставили только одно письмо.
Но если ситуация, когда просто переписывается поле отправителя и есть возможность отследить исходного и он окажется единым, вот тогда реально обрубить поток.
А так вот интересно задаться вопросом, кому насолил ТС или просто кто то балуется.

[Finnegan]

Тут анализ заголовков, отслеживание цепочки и того звена, через которое можно подействовать. Обращение в тех поддержку.


Обрати внимание на строчку

From: =?koi8-r?B?IuHS1MXNycog9MXSxc7U2MXXIg==?= <landscaperkr@narod.ru>

Тут конечно может быть тоже не настоящий, так как в российском сегменте почтовики настроен отвратительно, но изначальный отправитель landscaperkr@narod.ru.

я сейчас просмотрел исходные заголовки в других письмах
этот адрес только в самом первом письме был
во всех остальных в этой строчке указан мой собственный адрес

получается он засветил свой адрес в первом письме
а потом postmaster пошел зеркалить мой адрес?

А так вот интересно задаться вопросом, кому насолил ТС или просто кто то балуется.

вряд ли это специально мне кто-то сделал
мне кажется просто берут наобум адреса для рассыла рекламы
в письмах ведь была обычная реклама банковских услуг и турпоездок в индонезию

[inthex]

я сейчас просмотрел исходные заголовки в других письмах
этот адрес только в самом первом письме был
во всех остальных в этой строчке указан мой собственный адрес

получается он засветил свой адрес в первом письме
а потом postmaster пошел зеркалить мой адрес?

Тут вы только можете предполагать.
Возможно и засветил, но опять же, это может быть просто ломанный ящик, который используют для рассылки.
А может просто левого, не существующего отправителя указали.
Его еще было бы неплохо проверить на валидность.

вряд ли это специально мне кто-то сделал
мне кажется просто берут наобум адреса для рассыла рекламы
в письмах ведь была обычная реклама банковских услуг и турпоездок в индонезию

Да, большая вероятность просто вытянули с какого-ни то ломанного почтового адреса, ваш адресок.

Сообщение отредактировал inthex - 1.4.2013, 21:17

[abm]

Да, большая вероятность просто вытянули с какого-ни то ломанного почтового адреса, ваш адресок.

Совершенно необязательно. Емайл адреса - публичная информация и мест, откуда его можно взять - вагон и маленькая тележка.