Qualcuno ha inviato una email dal mio account che mi sta facendo sembrare male. Sto cercando di determinare se qualcuno lo ha effettivamente fatto fisicamente dal mio computer o tramite RDP. Come c'è ragione di credere che avrebbe potuto essere fatto RDP anche se entrambi sono plausibili, ma in realtà farlo dal mio computer è meno plausibile ma non impossibile. Io dormo La mia domanda è se fosse fatto RDP c'è comunque per dimostrarlo o sembrerebbe che provenga da me indipendentemente?
Non è necessario avere la password, l'RDP o l'accesso al tuo computer per inviare una tua email. SMTP è il protocollo utilizzato per inviare posta e questo protocollo non esegue alcun tipo di autenticazione. Dai un'occhiata al codice qui sotto dalla libreria nodemailer.js:
// setup e-mail data
var mailOptions = {
from: '"Charles Sarver" <[email protected]>', // sender address
to: '[email protected]', // list of receivers
subject: 'I hate you', // Subject line
text: 'My name is Charles Sarver and i do not like you', // plaintext body
};
transporter.sendMail(mailOptions, function(error, info){
if(error){
return console.log(error);
}
console.log('Message sent: ' + info.response);
});
Fonte: link
Come puoi vedere, con SMTP, puoi inviare un messaggio di posta elettronica e specificare l'indirizzo del mittente a qualsiasi indirizzo email perché SMTP non controlla l'autenticità del mittente. Posso inviare l'e-mail di cui sopra e direbbe che era da [email protected]. Un modo per verificare se questa e-mail è in realtà da te, è controllare le intestazioni delle e-mail. Nelle intestazioni specificherà un indirizzo IP di origine. Questo ti dirà da dove è stata inviata l'email. Usa il link qui sotto per vedere come è possibile visualizzare l'intestazione dell'e-mail. Se conosci qualcuno che ha ricevuto un'email da te che non hai inviato, chiedi loro di utilizzare questo: link
Dopo aver trovato l'intestazione, copialo e incollalo in questo strumento: link
Trova l'intestazione "X-Originating-IP". Dovrebbe esserci un numero in questo formato x.x.x.x.
Prendi il numero o l'indirizzo IP e incollalo in questo strumento: link
Questo ti darà una posizione approssimativa su dove è stata inviata l'email. Il falso mittente potrebbe anche usare un VPN o un proxy che potrebbe anche falsificare questo indirizzo IP.
Puoi utilizzare questo strumento per cercare il tuo indirizzo IP: link
Ma questo IP può cambiare a seconda di dove ti trovi e del tuo ISP
È anche possibile che sia stato eseguito con PowerShell o un'altra connessione di terminl che potrebbe inviare manualmente i comandi smtp a un server di posta elettronica configurato male. Dovresti essere in grado di dire dall'intestazione dell'email o dai registri del server, esattamente da dove proviene l'email. Se proviene dal tuo computer, stai cercando sessioni RDP o PowerShell collegate al tuo computer. Powershell avrebbe potuto essere impostato per ritardare, quindi stai cercando tutte le sessioni al momento o prima.
Ad ogni modo, direi che dovresti vedere se ci sono dei registri della sessione RDP. Dato che hai un tempo in cui è successo (dalle intestazioni delle e-mail), non dovrebbe essere difficile da localizzare. Se era PowerShell è più difficile, perché molti posti non sono PowerShell di logging, perché non si registra per impostazione predefinita, quindi non sanno che non lo registrano finché non ne hanno bisogno, e non c'è.
Leggi altre domande sui tag rdp