Rintracciare la fonte degli attacchi e-mail

Naviga le tue risposte
3

La scorsa settimana l'ID dell'azienda della nostra azienda ha bloccato 100-200 inviti al giorno per e-mail di invito da uno specifico client caricato con buffer overflow destinati a Exchange 2003. I payload sono innocui per noi, ma il flusso di log è fastidioso per non dire altro. Sono stato in contatto con il responsabile IT presso la società cliente e sono stato assicurato che non ci sono registrazioni di queste e-mail provenienti dal loro server di posta, ma gli attacchi stanno prendendo velocità e provengono da più indirizzi sul loro dominio ogni giorno. Sembra abbastanza chiaro per noi che c'è un'infezione che si diffonde attraverso il loro dominio, ma sostengono che il loro sistema è pulito. Siamo ragionevolmente certi che non provengano da nessuna delle nostre macchine perché le e-mail vengono bloccate prima ancora che entrino nella nostra rete. Se gli attacchi non provengono veramente da loro, come possiamo rintracciare la loro fonte? O quali tipi di prove possiamo raccogliere per dimostrare che proviene davvero dal cliente?

    
posta thanby 26.12.2013 - 16:00
fonte

1 risposta

3

Le intestazioni delle email dovrebbero essere sufficienti (vedi " indirizzo IP dell'intestazione email per un esempio di come leggerli. "). Magari pubblicali anche qui.

Voglio sottolineare che, mentre solo la riga di intestazione più recente è assolutamente affidabile , le informazioni sull'intestazione sono in realtà le uniche informazioni sull'origine della posta elettronica che puoi ottenere.

Potresti mandare via email una copia delle intestazioni al "mittente", e dovrebbero quindi avere abbastanza informazioni da confermare o negare - ma spetta a loro avere il desiderio, la competenza e la diligenza per fare qualcosa riguardo Come dice il vecchio proverbio, "puoi portare un cavallo all'acqua, ma non puoi farlo partecipare al nuoto sincronizzato".

Se sospetti che le intestazioni non siano affidabili, allora l'unica risorsa è quella di lavorare lentamente all'indietro attraverso ogni intermedia MTA , ogni volta confermando che la riga di intestazione corrisponde ai loro registri. Questo ti permetterebbe di provare chi era l'MTA di invio con assoluta certezza, ma:

  • È una quantità enorme di lavoro. Diverse ore almeno.
  • Dovresti essere veloce, poiché molti grandi sistemi di posta non possono archiviare i dati di log per molto tempo a causa del volume di archiviazione richiesto
  • Dovresti essere fortunato e sperare che ogni intermediario MTA cooperi con te

Anche se ci riesci, il mittente può ancora scegliere di ignorarti (è il loro server di posta dopotutto), nel qual caso l'unica risorsa rimasta è segnalare lo spam ai provider di blacklist .

    
risposta data 26.12.2013 - 17:16
fonte

Leggi altre domande sui tag

Come convalidare lato server in Java per prevenire XSS? [chiuso] overflow del buffer in script python