È opportuno bloccare l'indirizzo email di un mittente

3

Questa mattina ho ricevuto una mail da Apple suspension UK <[email protected]> con l'oggetto Apple "Unauthorised transaction alert" .

La posta è stata inviata a uno dei gruppi di distribuzione della mia azienda, piuttosto che a una persona reale; quindi sono fiducioso che non sia autentico.

L'ho segnalato al nostro team di supporto di Exchange, che ha risposto dicendo che avrebbe bloccato tutte le email da [email protected] .

Sospetto che sia la linea di condotta sbagliata; poiché l'indirizzo e-mail del mittente è presumibilmente valido / probabilmente usato molto da Apple; quindi ora abbiamo introdotto un problema in cui nessuno riceverà email autentiche da questo indirizzo. Piuttosto, presumo che gli spammer abbiano falsificato l'indirizzo di questo mittente, quindi puoi semplicemente scegliere un indirizzo diverso e riprovare.

Domanda:

  • Il blocco della posta di un mittente è considerato un buon approccio?
  • C'è qualcosa che potrei fare (ad esempio attaccare lo spam a una nuova posta e inoltrarla a un servizio che la analizzerà ed evidenziare se è un rischio per la sicurezza / eseguire automaticamente una nuova firma per la lista nera)?

Aggiorna

Estratti dall'intestazione del messaggio:

Received: from mx0b-001b1801.pphosted.com (148.163.158.1) by
Received: from pps.filterd (m0077987.ppops.net [127.0.0.1]) by
Received: from 190.106.222.31 ([190.106.222.7]) by mx0b-001b1801.pphosted.com
Received: from unknown (HELO 8erd) ([173.233.206.183])  by 190.106.222.7 with
From: Apple suspension UK <[email protected]>
Return-Path: [email protected]
    
posta JohnLBevan 12.08.2015 - 20:02
fonte

2 risposte

4

È improbabile che bloccare l'indirizzo e-mail dei mittenti sia una misura efficace in quanto gli spammer / gli attori malintenzionati cambieranno comunemente l'indirizzo che usano regolarmente. Detto questo, vale la pena notare in questo caso che una rapida ricerca di [email protected] mostra le uniche istanze indicizzate di questo indirizzo come spam, quindi non sembra essere una di quelle Apple utilizzare.

In genere, la migliore risposta per gli utenti a questi messaggi è ignorarli e non aprire alcun allegato né seguire alcun collegamento che essi contengono.

A livello di rete o aziendale è probabile che l'approccio migliore faccia uso di un servizio anti-spam che tenterà di identificare e bloccare questo tipo di messaggio. Questi sistemi ridurranno i volumi di spam che passeranno attraverso, anche se non sono perfetti e c'è sempre il rischio di falsi positivi che potrebbero portare alla posta legittima consegnata alla cartella spam del tuo sistema di posta.

    
risposta data 12.08.2015 - 20:20
fonte
2

Risposta breve: no, non puoi.

Ci sono 3 mittenti nella tua e-mail. 2 falsi e uno nascosto e irraggiungibile.
  1. Quello che trovi nelle intestazioni:

    From:
    
    Il campo

    è gratuito. Chiunque può mettere ciò che vuole lì. Non ci si può fidare di esso. Non puoi costruire nulla su questo. Il mittente modificato dell'e-mail che hai ricevuto è [email protected] . Sembra serio e reale. Non è né Questa è la firma di un attacco di phishing.

  2. La "busta" da cui proviene quella tra MX mittente e MX. Questa "busta" potrebbe essere riprodotta dal tuo MX se è professionale. In questo caso lo troverai nella prima riga delle intestazioni e lo riconosci al fatto che inizia con:

    From 
    

    (esattamente "Da spazio "). Questo può anche essere falsificato se il vero mittente dell'e-mail è dietro un ISP che consente connessioni dirette 25 / tcp. Il mittente efficace dell'e-mail che hai ricevuto utilizza un computer situato in Mixco, Guatemala . Ma potrei sbagliarmi dal momento che le tue intestazioni sono troncate.

  3. Il vero mittente conosciuto solo dal primo MX che accetta la sua connessione SMTP. Questo MX può conoscere il vero mittente guardando il suo registro delle connessioni MX.

La maggior parte del tempo, come in questo caso, non puoi facilmente conoscere questo vero mittente e non puoi fare nulla di efficace bloccando From: o From che sono robot o modificati manualmente.

Se la tua azienda ha un postmaster a tempo pieno o un funzionario capo della sicurezza, tu potrebbe inoltrargli qualsiasi e-mail sospetta che non sia stata bloccata dal tuo anti-spam. Fornisci loro questa e-mail non toccata, con le intestazioni complete (dovrai trasferirla come allegato in modo da conservare queste informazioni chiave). Potrebbero approfittare del tuo rapporto per migliorare la messa a punto anti-spam della tua azienda.

    
risposta data 13.08.2015 - 19:54
fonte

Leggi altre domande sui tag