Wysyłka SPAMU z domeny przez inny serwer

[Mega]

Cześć, mam problem z wysyłką SPAMU, gdzie wykorzystywana jest jedna z domen na moim serwerze, ale wysyłka odbywa się jakby z innego serwera przez losowo generowane adresy e-mail. Nie bardzo wiem jak ustalić co jest przyczyną i w jaki sposób się to odbywa, a co najważniejsze jak to zablokować. Na serwerze Exim w wersji 4.92.3, Dovecot 2.3.8 do obsługi DA

 

Mam domenę na serwerze example.pl gdzie założone jest 5 skrzynek pocztowych w DA dodane to jako user "john". Zmieniłem już hasło dla użytkownika jednak nic to nie dało.  Wygląda to mniej więcej w ten sposób jak poniżej. Dodam tylko, że adres IP który jest widoczny poniżej (177.181.219.12) nie jest adresem mojego serwera.

 

2019-12-12 00:48:44 1ifBil-0007pQ-RX <= [email protected] H=(mail.example.pl) [177.181.219.12] P=esmtp S=2022 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <[email protected]> for [email protected] [email protected] [email protected] [email protected] [email protected]

 

2019-12-12 00:48:45 1ifBim-0007pY-N7 <= [email protected] H=(mail.example.pl) [177.181.219.12] P=esmtp S=2028 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <[email protected]> for [email protected] [email protected] [email protected] [email protected] [email protected]

 

W nagłówkach tych wiadomości wszystko wygląda "prawidłowo" czyli host mojej domeny, użytkownik "john" + losowo wygenerowany adres e-mail. Ktoś ma jakiś pomysł ?

 

 

 

Wrzucam jeszcze jak wygląda nagłówek jeden z wiadomości

 

1ifNMD-0002xx-W8-H
mail 8 12
<[email protected]>
1576152853 0
-received_time_usec .996219
-helo_name mail.example.pl
-host_address 118.163.47.37.59030
-host_name 118-163-47-37.hinet-ip.hinet.net
-interface_address TUTAJ_ADRES_IP_MOJEGO_SERWERA.25
-received_protocol esmtp
-body_linecount 22
-max_received_linelength 115
YY [email protected]
NN [email protected]
NN [email protected]
5
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

232P Received: from 118-163-47-37.hinet-ip.hinet.net ([118.163.47.37] helo=mail.example.pl)
    by s1.TUTAJ_PRAWIDŁOWY_HOST_SERWERA.pl with esmtp (Exim 4.92.3)
    (envelope-from <[email protected]>)
    id 1ifNMD-0002xx-W8; Thu, 12 Dec 2019 13:14:14 +0100
061F From: "ENVIO ILIMITADO de emails" <[email protected]>
093  Subject: Lidar com perdas - Dor, =?ISO-8859-1?Q?f=E9,?= sonhos,
 =?ISO-8859-1?Q?ado=E7=E3o?=
025T To: [email protected]
034R Reply-To: [email protected]
038  Date: Thu, 12 Dec 2019 04:13:58 -0800

 

 

[mariaczi]

Przetestuj konfigurację swojego serwera np. tym https://mxtoolbox.com/diagnostic.aspx i tym https://www.wormly.com/test-smtp-server

I ewentualnie lektura https://blog.mailtrap.io/test-smtp-relay/

Edytowane 12 Grudnia 2019 przez mariaczi

[psz]

Zainteresuj się tematami:

- SPF - jakie adresy IP mają prawo wysyłać maile z adresem Twojej domeny

- DomainKeys - kryptograficznie podpisuje maile wysyłane z Twoich serwerów

- DMARC - instruuje serwery odbiorców maili, co mają zrobić z mailami, które nie spełniły dwóch wymogów powyżej (np. umieść w spamie lub odrzuć).

Edytowane 12 Grudnia 2019 przez psz

[Mega]

@mariaczi wrzuciłem sobie w te narzędzia host z którego korzysta SPAM mail.example.pl wynik dla MX Toolbox

 

Cytat

SMTP Reverse DNS Mismatch    OK - ADRES_IP_SERWERA resolves to mail.s1.NAZWA_HOSTA.pl
SMTP Valid Hostname    OK - Reverse DNS is a valid Hostname
SMTP Banner Check    OK - Reverse DNS matches SMTP Banner
SMTP TLS    OK - Supports TLS.
SMTP Connection Time    0.937 seconds - Good on Connection time
SMTP Open Relay    OK - Not an open relay.
SMTP Transaction Time    3.234 seconds - Good on Transaction Time

 

Cytat

 

Connecting to ADRES_IP_MOJEGO_SERWERA

220 s1.HOST_MOJEGO_SERWERA.pl ESMTP Exim 4.92.3 Thu, 12 Dec 2019 16:51:39 +0100 [797 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-s1.HOST_MOJEGO_SERWERA.pl Hello keeper-us-east-1b.mxtoolbox.com [52.55.244.91]
250-SIZE 20971520
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP [734 ms]
MAIL FROM:<[email protected]>
250 OK [719 ms]
RCPT TO:<[email protected]>
550 authentication required [734 ms]

LookupServer 4281ms

 

 

Dla narzędzia Wormly wynik:

Cytat

Resolving hostname...
Connecting...
Connection: opening to mail.ADRES_DOMENY:25, timeout=300, options=array (
                   )
Connection: opened
SERVER -> CLIENT: 220 s1.NAZWA_HOSTA.pl ESMTP Exim 4.92.3 Thu, 12 Dec 2019 16:55:58 +0100
CLIENT -> SERVER: EHLO tools.wormly.com
SERVER -> CLIENT: 250-s1.NAZWA_HOSTA.pl Hello tools.wormly.com [96.126.113.160]
                   250-SIZE 20971520
                   250-8BITMIME
                   250-PIPELINING
                   250-AUTH PLAIN LOGIN
                   250-CHUNKING
                   250-STARTTLS
                   250 HELP
CLIENT -> SERVER: STARTTLS
SERVER -> CLIENT: 220 TLS go ahead
CLIENT -> SERVER: EHLO tools.wormly.com
SERVER -> CLIENT: 250-s1.NAZWA_HOSTA.pl Hello tools.wormly.com [96.126.113.160]
                   250-SIZE 20971520
                   250-8BITMIME
                   250-PIPELINING
                   250-AUTH PLAIN LOGIN
                   250-CHUNKING
                   250 HELP
CLIENT -> SERVER: MAIL FROM:
SERVER -> CLIENT: 250 OK
CLIENT -> SERVER: RCPT TO:
SERVER -> CLIENT: 250 Accepted
CLIENT -> SERVER: DATA
SERVER -> CLIENT: 354 Enter message, ending with "." on a line by itself
CLIENT -> SERVER: Date: Thu, 12 Dec 2019 15:55:58 +0000
CLIENT -> SERVER: To: tech@NAZWA_DOMENY.pl
CLIENT -> SERVER: From: Wormly SMTP Test 
CLIENT -> SERVER: Subject: Wormly SMTP Test Message
CLIENT -> SERVER: Message-ID: 
CLIENT -> SERVER: MIME-Version: 1.0
CLIENT -> SERVER: Content-Type: text/plain; charset=iso-8859-1
CLIENT -> SERVER:
CLIENT -> SERVER: This message was sent using the Wormly SMTP testing tool by this user:
CLIENT -> SERVER: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.72 Safari/537.36 Vivaldi/2.9.1705.34
CLIENT -> SERVER: 89.73.19.103
CLIENT -> SERVER:
CLIENT -> SERVER: .
SERVER -> CLIENT: 250 OK id=1ifQoq-0001oP-2L
CLIENT -> SERVER: QUIT
SERVER -> CLIENT: 221 s1.NAZWA_HOSTA.pl closing connection
Connection: closed
Message completed successfully.

 

Cała ta akcja wygląda Wam na jakąś "lepiej" zorganizowaną akcję SPAMOWĄ i wykorzystaniu braków w konfiguracji serwera czy mówimy tutaj o luce w zabezpieczeniach serwera i coś się przedostało na serwer ?

 

[mariaczi]

Jak widzisz wormly wysłał wiadomość do "tech@NAZWA_DOMENY.pl" bez konieczności logowania się, bo dostałeś "250 OK id=1ifQoq-0001oP-2L".

[nnd.newbie]

5 godzin temu, mariaczi napisał:

Jak widzisz wormly wysłał wiadomość do "tech@NAZWA_DOMENY.pl" bez konieczności logowania się, bo dostałeś "250 OK id=1ifQoq-0001oP-2L".

 

To chyba dobrze, znaczy że serwer działa i przyjmuje wiadomości. Gorzej by było jakby przyjął wiadomość od tech@NAZWA_DOMENY.pl do tech@NAZWA_DOMENY.pl.  A już najgorzej jakby przyjął wiadomość od tech@NAZWA_DOMENY.pl do [email protected], ale open relay raczej nie jest co już sprawdzono.

 

@Mega Jeśli serwerem wysyłającym nie jest Twój serwer to znaczy, że nie ty wysyłasz. Ktoś daje adresy z twojej domeny w nagłówkach i tyle. @psz ci napisał co zrobić. Po pierwsze SPF, po drugie DKIM, po trzecie DMARC.

 

SPF mówi które serwery są autoryzowane do wysyłki poczty z twojej domeny, DKIM - podpisuje twoje emaile, a w DMARC możesz poinformować świat że emaile nie wysłane i nie podpisane przez ciebie mają wylądować w spamie albo być usunięte. Przy okazji w DMARCu możesz włączyć monitorowanie to sobie będziesz mógł zobaczyć kto się bawi w rozsyłanie poczty z twojej domeny. I czekaj aż się temu komuś znudzi.

 

Chyba, że kompletnie nie zrozumiałem twojego problemu

Edytowane 12 Grudnia 2019 przez nnd.newbie

[Mega]

Mój problem polega na tym, że ciągle LFD wysyła mi takie wiadomość: "lfd on s1.MÓJ_HOST.pl: RELAY Alert for 177.181.217.33 (BR/Brazil/b1b5d921.virtua.com.br)"

Cytat

 

Time:  Thu Dec 12 22:52:02 2019 +0100
Type:  RELAY, Remote IP - 177.181.217.33 (BR/Brazil/b1b5d921.virtua.com.br)
Count: 205 emails relayed
Blocked: No

 

Sample of the first 10 emails:

2019-12-12 03:35:29 1ifEK9-0005qW-52 <= pcdbggpr@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.217.33] P=esmtp S=2043 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <pcdbggpr@MOJA_DOMENA.pl> for [email protected] [email protected] [email protected] [email protected] [email protected]
2019-12-12 03:35:32 1ifEKC-0005rS-3J <= rrvcvdxjt@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.217.33] P=esmtp S=2027 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <rrvcvdxjt@MOJA_DOMENA.pl> for [email protected] [email protected] [email protected] [email protected] [email protected]

...

 

 

Adres e-mail z raportu: pcdbggpr@MOJA_DOMENA.pl jest jakiś losowy, nie mam takiego założonego na serwerze i są one generowane przez "TO".  Adres IP 177.181.217.33 w raporcie też nie jest mój Cały czas zapycha mi kolejkę maili na serwerze, a dzisiaj rano miałem w kolejce ponad 5000 maili. W DA dla użytkownika, który ma przypisaną domenę ustawiłem dzienny limit na 50 maili, ale i tak kolejka cały czas jest generowana i rośnie. 

 

Podsumowując SPF, DKIM i DMARC załatwi w tym wypadku sprawę ? Czy mam/mogę sprawdzić coś jeszcze żeby się upewnić, że coś nie siedzi bezpośrednio na moim serwerze ? Bo jakby z jeden strony widzę, że host, nagłówki, IP nie są mojego serwera, ale kurcze kolejkę maili, limit dzienny maili zapycha po stronie mojego serwera o_O ?

 

 

Edytowane 12 Grudnia 2019 przez Mega

[Arkadiusz Bednarczyk]

Czemu nie sprawdzisz w logach? Najprawdopodobniej robi to jakiś skrypt php.

 

Pole from można wstawić sobie dowolne, więc pewnie losowość adresów wynika z tego, że skrypt wrzuca nadawcę losowego np. pcdbggpr a domenę automatycznie uzupełnia serwer poczty na swoją. Logi poczty i apacza powinny pokazać konkretnie jaki skrypt jest za to odpowiedzialny.

[Mega]

Zanim tutaj napisałem to przeglądałem logi i jedyne co znajduje powiązanego z tym to na przykład:

 

Cytat

2019-12-13 10:44:59 1ifhVL-0004FM-7l ** [email protected] F=<qqepqran@MOJA_DOMENA.pl>: Unrouteable address
2019-12-13 10:44:59 1ifhVL-0004FM-7l failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Cytat

2019-12-13 10:27:06 1ifctp-0000WC-Pj failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Cytat

2019-12-13 10:43:16 1ifhTf-0003i3-JF <= jbaiq@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.214.31] P=esmtp S=2024 T="Divulgue para até 200 MILHŐES\n DE EMAILS - Boom de vendas" from <jbaiq@MOJA_DOMENA.pl> for [email protected] [email protected] [email protected] [email protected] [email protected]
2019-12-13 10:43:16 1ifhTf-0003i3-JF failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Nic innego w logach poczty lub apache powiązanego z generowanymi adresami email/adresami IP z których jest wysyłka, godziną zbliżoną do wysyłki pierwszej partii SPAMU nie widzę co mogłoby mnie jakoś naprowadzić.

 

 

Edytowane 13 Grudnia 2019 przez Mega

[sempre]

Czy w ramach tej domeny jest odpalony jakiś wordpress lub inny popularny cms:)?

Edytowane 13 Grudnia 2019 przez sempre

[Kapitan_Bomba]

Ja bym na Twoim miejscu zaczął od zmiany haseł do tych 5 kont (bo rozumiem, że zmieniłeś hasło tylko użytkownikowi) oraz wyłączył mail() w PHP. I obserwował czy/co pomogło.

[Mega]

Nie, nic popularnego. Stoi to na autorskim rozwiązaniu. Formularz kontaktowy przez stronę która jest dodana pod domeną jest używany PHP Mailer, ale pliki też już przejrzałem i nie ma tam nic co wskazuje na jakąś "modyfikację" lub nadprogramowy plik. Hasła właśnie zmieniłem dla wszystkich kont w domenie. 

 

Funkcja mail() jest wyłączona, zero reakcji na

 

Cytat

$to='MÓJ_ADRES';
$message='Test';
$headers = 'Content-type: text/html; charset=utf-8' . PHP_EOL . 'From:  X <[email protected]>' . "\r\n";
$temat= 'Test.';
mail($to, $subject, $message, $headers);

 

Edytowane 13 Grudnia 2019 przez Mega

[Kapitan_Bomba]

Zamiast sprawdzać pliki, to zerknij w logi apache czy nie masz tam np. dziwnych POSTów.

[Mega]

W logach nic z POST'em co by było nie moje nie ma. Żadnych informacji, danych w żadnym w plików z logami, które przeglądałem nie ma ani jednej wzmianki o adresach IP z których jest to wysyłane lub innych wskazówek gdzie mógłbym szukać. Nie liczę logów, które wrzucałem wyżej.

[Arkadiusz Bednarczyk]

W katalogu użytkownika DA jest podkatalog .php, gdzie jest plik php-mail.log. Jeżeli cokolwiek wysyła pocztę przez jakiś skrypt php, to tam będzie konkretnie podana ścieżka do tego pliku i każda wysłana wiadomość.

Jeżeli pusto to wysyła przez konto email - wtedy musi być w logach exima.

Innych możliwości raczej nie ma

[Mega]

php-mail.log nie zawiera nic podejrzanego. Jeżeli chodzi o logi exima, to tylko to co powyżej wstawiałem. W innych logach znalazłem coś takiego:

Cytat

 

2019:12:13-00:29:18: Warning: 152 emails have been sent yesterday by NAZWA_UŻYTKOWNIKA_DA

2019:12:11-08:23:02: Warning: 500 emails have just been sent by NAZWA_UŻYTKOWNIKA_DA.  Sender qbbeiqoms@NAZWA_DOMENY.pl sent 6.  authenticated_id=(null) sent 0.  host=46.183.56.107 sent 256.  0 emails came from (null)

 

 

Teraz jakby cisza już od jakiegoś czasu, hasła pozmieniałem jeszcze raz, dzienny limit maili mocno ograniczyłem, właśnie się zresetował. Zobaczę co się będzie działo przez noc. Bo dzisiaj rano w kolejce miałem 60k zamrożonych maili o_O ?

[Mega]

Zupełna cisza, zero spamu chyba, że spam ma wolne w weekend   Wyglądana to, że to była kwestia hasła użytkownika DA nie mniej jednak dziękuje za zainteresowanie.

[MaxPan]

Xrumer wysyła email przez Twoje formularze kontaktowe. Nie jest to kwestia związana z DA, włamaniem, konfiguracja czy inne rzeczy które tu opisujecie.

Edytowane 29 Grudnia 2019 przez MaxPan

[Mega]

3 godziny temu, MaxPan napisał:

Xrumer wysyła email przez Twoje formularze kontaktowe. Nie jest to kwestia związana z DA, włamaniem, konfiguracja czy inne rzeczy które tu opisujecie.

 

To w logach chyba powinna być jakaś informacja odnośnie odwołania do jakiegoś pliku z formularzem, skryptem do wysyłki, a nic takiego nie ma. Tym bardziej, że na serwerze nie ma żadnej strony, która ma formularz wykorzystujący funkcję MAIL. Wszystko jest robione przez PHP Mailer (https://github.com/PHPMailer/PHPMailer) 

[MaxPan]

Cytat

 Formularz kontaktowy przez stronę która jest dodana pod domeną jest używany PHP Mailer

 

On wchodzi w formularz w pole gdzie email zwrotny wpisuje email tam gdzie wysyła i cala filozofia.

Edytowane 29 Grudnia 2019 przez MaxPan

[Mion]

10 godzin temu, Mega napisał:

Tym bardziej, że na serwerze nie ma żadnej strony, która ma formularz wykorzystujący funkcję MAIL.

Każdy formularz wysyłany metodą POST ( a nawet GET) musi mieć podaną akcje action="adresat", czyli adres odbiorcy danych z formularza. Jeśli parametr action= nie został podany, to adresatem jest bieżący URL formularza. Dane z formularza można również wysłać AJAXEM, ale to nie zmienia faktu, że musi istnieć  adres URL odbiorcy danych. 

 

Odbiorca danych formularza umownie nazwany skryptem przetwarza dane i wykonuje jakąś operacje w tym wypadku wysyłka e-maila w sposób mu zaimplementowany np " PHP Mailer ".  By uniknąć wysyłki spamu  z takiego formularza stosuje się rożne zabezpieczenia zanim dojdzie do wywołania samej funkcji wysyłającej właśnie w tym skrypcie.

 

[nnd.newbie]

Jeśli  nie jest używana funkcja mail z PHP to poczta jest wysyłana przez SMTP (PHPMailer to skrypt do wysyłania poczty i używa albo funkcji mail albo połączenia SMTP),  a więc normalnie i legalnie przez Twój serwer pocztowy. Wszystkie takie emaile powinieneś widzieć w logach serwera pocztowego, łączenie z tym kto, gdzie, do kogo i przy użyciu jakiego konta wysyłał. Ale już wcześniej napisałeś, że:

 

Dnia 12.12.2019 o 12:05, Mega napisał:

wysyłka odbywa się jakby z innego serwera

 

Dnia 12.12.2019 o 23:27, Mega napisał:

ustawiłem dzienny limit na 50 maili, ale i tak kolejka cały czas jest generowana i rośnie.

 

Więc zdecyduj w końcu czy:

1) Twój serwer wysyła pocztę?

2) Czy ktoś inny wysyła pocztę z twojej domeny?

 

Ad 2) Jeśli to nie twój serwer wysyła pocztę to niewiele z tym zrobisz. Możesz tylko autoryzować swoją pocztę przez SPF, DKIM i DMARC

 

Ad 1) Jeśli Twój serwer wysyła pocztę to w jaki sposób? Przez mail z PHP? Przez SMTP?

Jeśli inaczej niż przez SMTP to zablokuj wysyłkę w jakikolwiek inny sposób niż przez logowanie przez SMTP. Jeśli przez SMTP to nałóż ograniczenia na liczbę wysyłanych emaili przez konto, wysyłanie tylko  przez dane konta po autoryzacji, itp.

 

Skrypt wysyłający może być na twoim serwerze, na innym serwerze lub gdziekolwiek, a wysyła łącząc się z Twoim serwerem SMTP. Jak masz kontakt z klientem i/lub kontrolę nad skryptem to możesz poprawić formularz, wprowadzić dodatkowe zabezpieczenia przed automatami (np. captcha) itp. ale niestety pogódź się z tym, że nie zawsze klient będzie potrafił czy chciał poprawić, a czasami to Twój klient będzie spammerem. W takich przypadkach pozostaje ci polegać na zabezpieczeniach i ograniczeniach serwera pocztowego, a w skrajnych przypadkach notorycznego rozsyłania spamu blokada konta i/lub pożegnanie się z klientem.

Edytowane 30 Grudnia 2019 przez nnd.newbie