Skocz do zawartości
Mega

Wysyłka SPAMU z domeny przez inny serwer

Polecane posty

Cześć, mam problem z wysyłką SPAMU, gdzie wykorzystywana jest jedna z domen na moim serwerze, ale wysyłka odbywa się jakby z innego serwera przez losowo generowane adresy e-mail. Nie bardzo wiem jak ustalić co jest przyczyną i w jaki sposób się to odbywa, a co najważniejsze jak to zablokować. Na serwerze Exim w wersji 4.92.3, Dovecot 2.3.8 do obsługi DA

 

Mam domenę na serwerze example.pl gdzie założone jest 5 skrzynek pocztowych w DA dodane to jako user "john". Zmieniłem już hasło dla użytkownika jednak nic to nie dało.  Wygląda to mniej więcej w ten sposób jak poniżej. Dodam tylko, że adres IP który jest widoczny poniżej (177.181.219.12) nie jest adresem mojego serwera.

 

2019-12-12 00:48:44 1ifBil-0007pQ-RX <= lfmtzrc@example.pl H=(mail.example.pl) [177.181.219.12] P=esmtp S=2022 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <lfmtzrc@example.pl> for tendax@tendax.com.br percyfreitas@gmail.com ouvidoria@ofranco.com.br contato@tudodebom.net.br suporte@funlec.com.br

 

2019-12-12 00:48:45 1ifBim-0007pY-N7 <= ggqtkod@example.pl H=(mail.example.pl) [177.181.219.12] P=esmtp S=2028 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <ggqtkod@example.pl> for contato@narjaralara.com.br marcelo-1408@hotmail.com contato@dominaiengenharia.com.br ricardo.gomes@autorac.com.br shopcannabis@shopcannabis.com.br

 

W nagłówkach tych wiadomości wszystko wygląda "prawidłowo" czyli host mojej domeny, użytkownik "john" + losowo wygenerowany adres e-mail. Ktoś ma jakiś pomysł ?

 

 

 

Wrzucam jeszcze jak wygląda nagłówek jeden z wiadomości

 

1ifNMD-0002xx-W8-H
mail 8 12
<cfbhdlar@example.pl>
1576152853 0
-received_time_usec .996219
-helo_name mail.example.pl
-host_address 118.163.47.37.59030
-host_name 118-163-47-37.hinet-ip.hinet.net
-interface_address TUTAJ_ADRES_IP_MOJEGO_SERWERA.25
-received_protocol esmtp
-body_linecount 22
-max_received_linelength 115
YY cpsics@gmail.com
NN cpshukla10@gmail.com
NN cpsievert1@gmail.com
5
cpshukla10@gmail.com
cpsics@gmail.com
cpsievert1@gmail.com
cpsilva@prsp.mpf.gov.br
cpsinfo@terra.com.br

232P Received: from 118-163-47-37.hinet-ip.hinet.net ([118.163.47.37] helo=mail.example.pl)
    by s1.TUTAJ_PRAWIDŁOWY_HOST_SERWERA.pl with esmtp (Exim 4.92.3)
    (envelope-from <cfbhdlar@example.pl>)
    id 1ifNMD-0002xx-W8; Thu, 12 Dec 2019 13:14:14 +0100
061F From: "ENVIO ILIMITADO de emails" <cfbhdlar@example.pl>
093  Subject: Lidar com perdas - Dor, =?ISO-8859-1?Q?f=E9,?= sonhos,
 =?ISO-8859-1?Q?ado=E7=E3o?=
025T To: cpshukla10@gmail.com
034R Reply-To: ultramartinfo@gmail.com
038  Date: Thu, 12 Dec 2019 04:13:58 -0800

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zainteresuj się tematami:

- SPF - jakie adresy IP mają prawo wysyłać maile z adresem Twojej domeny

- DomainKeys - kryptograficznie podpisuje maile wysyłane z Twoich serwerów

- DMARC - instruuje serwery odbiorców maili, co mają zrobić z mailami, które nie spełniły dwóch wymogów powyżej (np. umieść w spamie lub odrzuć).

Edytowano przez psz

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@mariaczi wrzuciłem sobie w te narzędzia host z którego korzysta SPAM mail.example.pl wynik dla MX Toolbox

 

Cytat

SMTP Reverse DNS Mismatch    OK - ADRES_IP_SERWERA resolves to mail.s1.NAZWA_HOSTA.pl
SMTP Valid Hostname    OK - Reverse DNS is a valid Hostname
SMTP Banner Check    OK - Reverse DNS matches SMTP Banner
SMTP TLS    OK - Supports TLS.
SMTP Connection Time    0.937 seconds - Good on Connection time
SMTP Open Relay    OK - Not an open relay.
SMTP Transaction Time    3.234 seconds - Good on Transaction Time

 

Cytat

 

Connecting to ADRES_IP_MOJEGO_SERWERA

220 s1.HOST_MOJEGO_SERWERA.pl ESMTP Exim 4.92.3 Thu, 12 Dec 2019 16:51:39 +0100 [797 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-s1.HOST_MOJEGO_SERWERA.pl Hello keeper-us-east-1b.mxtoolbox.com [52.55.244.91]
250-SIZE 20971520
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP [734 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 OK [719 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
550 authentication required [734 ms]

LookupServer 4281ms

 

 

Dla narzędzia Wormly wynik:

Cytat

Resolving hostname...
Connecting...
Connection: opening to mail.ADRES_DOMENY:25, timeout=300, options=array (
                   )
Connection: opened
SERVER -> CLIENT: 220 s1.NAZWA_HOSTA.pl ESMTP Exim 4.92.3 Thu, 12 Dec 2019 16:55:58 +0100
CLIENT -> SERVER: EHLO tools.wormly.com
SERVER -> CLIENT: 250-s1.NAZWA_HOSTA.pl Hello tools.wormly.com [96.126.113.160]
                   250-SIZE 20971520
                   250-8BITMIME
                   250-PIPELINING
                   250-AUTH PLAIN LOGIN
                   250-CHUNKING
                   250-STARTTLS
                   250 HELP
CLIENT -> SERVER: STARTTLS
SERVER -> CLIENT: 220 TLS go ahead
CLIENT -> SERVER: EHLO tools.wormly.com
SERVER -> CLIENT: 250-s1.NAZWA_HOSTA.pl Hello tools.wormly.com [96.126.113.160]
                   250-SIZE 20971520
                   250-8BITMIME
                   250-PIPELINING
                   250-AUTH PLAIN LOGIN
                   250-CHUNKING
                   250 HELP
CLIENT -> SERVER: MAIL FROM:
SERVER -> CLIENT: 250 OK
CLIENT -> SERVER: RCPT TO:
SERVER -> CLIENT: 250 Accepted
CLIENT -> SERVER: DATA
SERVER -> CLIENT: 354 Enter message, ending with "." on a line by itself
CLIENT -> SERVER: Date: Thu, 12 Dec 2019 15:55:58 +0000
CLIENT -> SERVER: To: tech@NAZWA_DOMENY.pl
CLIENT -> SERVER: From: Wormly SMTP Test 
CLIENT -> SERVER: Subject: Wormly SMTP Test Message
CLIENT -> SERVER: Message-ID: 
CLIENT -> SERVER: MIME-Version: 1.0
CLIENT -> SERVER: Content-Type: text/plain; charset=iso-8859-1
CLIENT -> SERVER:
CLIENT -> SERVER: This message was sent using the Wormly SMTP testing tool by this user:
CLIENT -> SERVER: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.72 Safari/537.36 Vivaldi/2.9.1705.34
CLIENT -> SERVER: 89.73.19.103
CLIENT -> SERVER:
CLIENT -> SERVER: .
SERVER -> CLIENT: 250 OK id=1ifQoq-0001oP-2L
CLIENT -> SERVER: QUIT
SERVER -> CLIENT: 221 s1.NAZWA_HOSTA.pl closing connection
Connection: closed
Message completed successfully.

 

Cała ta akcja wygląda Wam na jakąś "lepiej" zorganizowaną akcję SPAMOWĄ i wykorzystaniu braków w konfiguracji serwera czy mówimy tutaj o luce w zabezpieczeniach serwera i coś się przedostało na serwer ?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak widzisz wormly wysłał wiadomość do "tech@NAZWA_DOMENY.pl" bez konieczności logowania się, bo dostałeś "250 OK id=1ifQoq-0001oP-2L".

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
5 godzin temu, mariaczi napisał:

Jak widzisz wormly wysłał wiadomość do "tech@NAZWA_DOMENY.pl" bez konieczności logowania się, bo dostałeś "250 OK id=1ifQoq-0001oP-2L".

 

To chyba dobrze, znaczy że serwer działa i przyjmuje wiadomości. Gorzej by było jakby przyjął wiadomość od tech@NAZWA_DOMENY.pl do tech@NAZWA_DOMENY.pl.  A już najgorzej jakby przyjął wiadomość od tech@NAZWA_DOMENY.pl do jakis_adres@zewnetrznadomena.pl, ale open relay raczej nie jest co już sprawdzono.

 

@Mega Jeśli serwerem wysyłającym nie jest Twój serwer to znaczy, że nie ty wysyłasz. Ktoś daje adresy z twojej domeny w nagłówkach i tyle. @psz ci napisał co zrobić. Po pierwsze SPF, po drugie DKIM, po trzecie DMARC.

 

SPF mówi które serwery są autoryzowane do wysyłki poczty z twojej domeny, DKIM - podpisuje twoje emaile, a w DMARC możesz poinformować świat że emaile nie wysłane i nie podpisane przez ciebie mają wylądować w spamie albo być usunięte. Przy okazji w DMARCu możesz włączyć monitorowanie to sobie będziesz mógł zobaczyć kto się bawi w rozsyłanie poczty z twojej domeny. I czekaj aż się temu komuś znudzi.

 

Chyba, że kompletnie nie zrozumiałem twojego problemu

Edytowano przez nnd.newbie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mój problem polega na tym, że ciągle LFD wysyła mi takie wiadomość: "lfd on s1.MÓJ_HOST.pl: RELAY Alert for 177.181.217.33 (BR/Brazil/b1b5d921.virtua.com.br)"

Cytat

 

Time:  Thu Dec 12 22:52:02 2019 +0100
Type:  RELAY, Remote IP - 177.181.217.33 (BR/Brazil/b1b5d921.virtua.com.br)
Count: 205 emails relayed
Blocked: No

 

Sample of the first 10 emails:

2019-12-12 03:35:29 1ifEK9-0005qW-52 <= pcdbggpr@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.217.33] P=esmtp S=2043 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <pcdbggpr@MOJA_DOMENA.pl> for vendas@contagemforrosedivisorias.com.br comercial@montal.com.br some1so6@gmail.com contato@agradarimoveis.com.br rochavilma2004@gmail.com
2019-12-12 03:35:32 1ifEKC-0005rS-3J <= rrvcvdxjt@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.217.33] P=esmtp S=2027 T="Divulgue para até 200 MILHÕES\n DE EMAILS - Boom de vendas" from <rrvcvdxjt@MOJA_DOMENA.pl> for lmoreira@coamo.com.br psicolife@terra.com.br comercial@argos.ind.br reservas@marinaplazahotel.com.br beth@brturbo.com.br

...

 

 

Adres e-mail z raportu: pcdbggpr@MOJA_DOMENA.pl jest jakiś losowy, nie mam takiego założonego na serwerze i są one generowane przez "TO".  Adres IP 177.181.217.33 w raporcie też nie jest mój Cały czas zapycha mi kolejkę maili na serwerze, a dzisiaj rano miałem w kolejce ponad 5000 maili. W DA dla użytkownika, który ma przypisaną domenę ustawiłem dzienny limit na 50 maili, ale i tak kolejka cały czas jest generowana i rośnie. 

 

Podsumowując SPF, DKIM i DMARC załatwi w tym wypadku sprawę ? Czy mam/mogę sprawdzić coś jeszcze żeby się upewnić, że coś nie siedzi bezpośrednio na moim serwerze ? Bo jakby z jeden strony widzę, że host, nagłówki, IP nie są mojego serwera, ale kurcze kolejkę maili, limit dzienny maili zapycha po stronie mojego serwera o_O ?

 

 

Edytowano przez Mega

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czemu nie sprawdzisz w logach? Najprawdopodobniej robi to jakiś skrypt php.

 

Pole from można wstawić sobie dowolne, więc pewnie losowość adresów wynika z tego, że skrypt wrzuca nadawcę losowego np. pcdbggpr a domenę automatycznie uzupełnia serwer poczty na swoją. Logi poczty i apacza powinny pokazać konkretnie jaki skrypt jest za to odpowiedzialny.

  • Lubię 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zanim tutaj napisałem to przeglądałem logi i jedyne co znajduje powiązanego z tym to na przykład:

 

Cytat

2019-12-13 10:44:59 1ifhVL-0004FM-7l ** gelcimail@bol.com.br F=<qqepqran@MOJA_DOMENA.pl>: Unrouteable address
2019-12-13 10:44:59 1ifhVL-0004FM-7l failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Cytat

2019-12-13 10:27:06 1ifctp-0000WC-Pj failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Cytat

2019-12-13 10:43:16 1ifhTf-0003i3-JF <= jbaiq@MOJA_DOMENA.pl H=(mail.MOJA_DOMENA.pl) [177.181.214.31] P=esmtp S=2024 T="Divulgue para até 200 MILHŐES\n DE EMAILS - Boom de vendas" from <jbaiq@MOJA_DOMENA.pl> for diniz@iguanaeventos.com.br trilhabela.tur@gmail.com larissanunes@zipmail.com.br pachu-el-otro-yo@hotmail.com contato@mi4u.com.br
2019-12-13 10:43:16 1ifhTf-0003i3-JF failed to expand condition "${perl{check_limits}}" for lookuphost router: You (NAZWA_UŻYTKOWNIKA_DA) have reached your daily email limit of 50 emails

 

Nic innego w logach poczty lub apache powiązanego z generowanymi adresami email/adresami IP z których jest wysyłka, godziną zbliżoną do wysyłki pierwszej partii SPAMU nie widzę co mogłoby mnie jakoś naprowadzić.

 

 

Edytowano przez Mega

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy w ramach tej domeny jest odpalony jakiś wordpress lub inny popularny cms:)?

Edytowano przez sempre
  • Super! 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja bym na Twoim miejscu zaczął od zmiany haseł do tych 5 kont (bo rozumiem, że zmieniłeś hasło tylko użytkownikowi) oraz wyłączył mail() w PHP. I obserwował czy/co pomogło.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie, nic popularnego. Stoi to na autorskim rozwiązaniu. Formularz kontaktowy przez stronę która jest dodana pod domeną jest używany PHP Mailer, ale pliki też już przejrzałem i nie ma tam nic co wskazuje na jakąś "modyfikację" lub nadprogramowy plik. Hasła właśnie zmieniłem dla wszystkich kont w domenie. 

 

Funkcja mail() jest wyłączona, zero reakcji na

 

Cytat

$to='MÓJ_ADRES';
$message='Test';
$headers = 'Content-type: text/html; charset=utf-8' . PHP_EOL . 'From:  X <john@doe.pl>' . "\r\n";
$temat= 'Test.';
mail($to, $subject, $message, $headers);

 

Edytowano przez Mega

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W logach nic z POST'em co by było nie moje nie ma. Żadnych informacji, danych w żadnym w plików z logami, które przeglądałem nie ma ani jednej wzmianki o adresach IP z których jest to wysyłane lub innych wskazówek gdzie mógłbym szukać. Nie liczę logów, które wrzucałem wyżej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W katalogu użytkownika DA jest podkatalog .php, gdzie jest plik php-mail.log. Jeżeli cokolwiek wysyła pocztę przez jakiś skrypt php, to tam będzie konkretnie podana ścieżka do tego pliku i każda wysłana wiadomość.

Jeżeli pusto to wysyła przez konto email - wtedy musi być w logach exima.

Innych możliwości raczej nie ma :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

php-mail.log nie zawiera nic podejrzanego. Jeżeli chodzi o logi exima, to tylko to co powyżej wstawiałem. W innych logach znalazłem coś takiego:

Cytat

 

2019:12:13-00:29:18: Warning: 152 emails have been sent yesterday by NAZWA_UŻYTKOWNIKA_DA

2019:12:11-08:23:02: Warning: 500 emails have just been sent by NAZWA_UŻYTKOWNIKA_DA.  Sender qbbeiqoms@NAZWA_DOMENY.pl sent 6.  authenticated_id=(null) sent 0.  host=46.183.56.107 sent 256.  0 emails came from (null)

 

 

Teraz jakby cisza już od jakiegoś czasu, hasła pozmieniałem jeszcze raz, dzienny limit maili mocno ograniczyłem, właśnie się zresetował. Zobaczę co się będzie działo przez noc. Bo dzisiaj rano w kolejce miałem 60k zamrożonych maili o_O ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zupełna cisza, zero spamu chyba, że spam ma wolne w weekend 😉  Wyglądana to, że to była kwestia hasła użytkownika DA nie mniej jednak dziękuje za zainteresowanie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Xrumer wysyła email przez Twoje formularze kontaktowe. Nie jest to kwestia związana z DA, włamaniem, konfiguracja czy inne rzeczy które tu opisujecie.

Edytowano przez MaxPan

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
3 godziny temu, MaxPan napisał:

Xrumer wysyła email przez Twoje formularze kontaktowe. Nie jest to kwestia związana z DA, włamaniem, konfiguracja czy inne rzeczy które tu opisujecie.

 

To w logach chyba powinna być jakaś informacja odnośnie odwołania do jakiegoś pliku z formularzem, skryptem do wysyłki, a nic takiego nie ma. Tym bardziej, że na serwerze nie ma żadnej strony, która ma formularz wykorzystujący funkcję MAIL. Wszystko jest robione przez PHP Mailer (https://github.com/PHPMailer/PHPMailer

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Cytat

 Formularz kontaktowy przez stronę która jest dodana pod domeną jest używany PHP Mailer

 

On wchodzi w formularz w pole gdzie email zwrotny wpisuje email tam gdzie wysyła i cala filozofia.

Edytowano przez MaxPan

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
10 godzin temu, Mega napisał:

Tym bardziej, że na serwerze nie ma żadnej strony, która ma formularz wykorzystujący funkcję MAIL.

Każdy formularz wysyłany metodą POST ( a nawet GET) musi mieć podaną akcje action="adresat", czyli adres odbiorcy danych z formularza. Jeśli parametr action= nie został podany, to adresatem jest bieżący URL formularza. Dane z formularza można również wysłać AJAXEM, ale to nie zmienia faktu, że musi istnieć  adres URL odbiorcy danych. 

 

Odbiorca danych formularza umownie nazwany skryptem przetwarza dane i wykonuje jakąś operacje w tym wypadku wysyłka e-maila w sposób mu zaimplementowany np " PHP Mailer ".  By uniknąć wysyłki spamu  z takiego formularza stosuje się rożne zabezpieczenia zanim dojdzie do wywołania samej funkcji wysyłającej właśnie w tym skrypcie.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli  nie jest używana funkcja mail z PHP to poczta jest wysyłana przez SMTP (PHPMailer to skrypt do wysyłania poczty i używa albo funkcji mail albo połączenia SMTP),  a więc normalnie i legalnie przez Twój serwer pocztowy. Wszystkie takie emaile powinieneś widzieć w logach serwera pocztowego, łączenie z tym kto, gdzie, do kogo i przy użyciu jakiego konta wysyłał. Ale już wcześniej napisałeś, że:

 

Dnia 12.12.2019 o 12:05, Mega napisał:

wysyłka odbywa się jakby z innego serwera

 

Dnia 12.12.2019 o 23:27, Mega napisał:

ustawiłem dzienny limit na 50 maili, ale i tak kolejka cały czas jest generowana i rośnie.

 

Więc zdecyduj w końcu czy:

1) Twój serwer wysyła pocztę?

2) Czy ktoś inny wysyła pocztę z twojej domeny?

 

Ad 2) Jeśli to nie twój serwer wysyła pocztę to niewiele z tym zrobisz. Możesz tylko autoryzować swoją pocztę przez SPF, DKIM i DMARC

 

Ad 1) Jeśli Twój serwer wysyła pocztę to w jaki sposób? Przez mail z PHP? Przez SMTP?

Jeśli inaczej niż przez SMTP to zablokuj wysyłkę w jakikolwiek inny sposób niż przez logowanie przez SMTP. Jeśli przez SMTP to nałóż ograniczenia na liczbę wysyłanych emaili przez konto, wysyłanie tylko  przez dane konta po autoryzacji, itp.

 

Skrypt wysyłający może być na twoim serwerze, na innym serwerze lub gdziekolwiek, a wysyła łącząc się z Twoim serwerem SMTP. Jak masz kontakt z klientem i/lub kontrolę nad skryptem to możesz poprawić formularz, wprowadzić dodatkowe zabezpieczenia przed automatami (np. captcha) itp. ale niestety pogódź się z tym, że nie zawsze klient będzie potrafił czy chciał poprawić, a czasami to Twój klient będzie spammerem. W takich przypadkach pozostaje ci polegać na zabezpieczeniach i ograniczeniach serwera pocztowego, a w skrajnych przypadkach notorycznego rozsyłania spamu blokada konta i/lub pożegnanie się z klientem.

Edytowano przez nnd.newbie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dołącz do rozmowy

Możesz pisać i zarejestrować się później. Jeśli masz konto,Zaloguj się teraz, aby publikować na swoim koncie.

Gość
Odpowiedz...

×   Wklejony jako tekst z formatowaniem.   Wklej jako zwykły tekst

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.