Come faccio a sapere dove è stata inviata una e-mail falsificata dall'utilizzo dei rimbalzi in postfix?

0

Qualche persona gentile ha gentilmente falsificato la mia e-mail e inviato a tutti un file di virus da "me".

Penso di poter vedere l'indirizzo IP di origine del server dal quale è stata inviata la posta falsificata osservando alcuni dei messaggi di log della posta di rimbalzo.

Il mio postfix è configurato per far rimbalzare qualsiasi messaggio da indirizzi e-mail non reali nel mio dominio.

Ecco un esempio di alcune voci del registro di posta: -

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Quello che penso che i messaggi sopra mostrino è il seguente: -

  1. L'indirizzo vuoto del mittente attiva il mio amavis per controllare il messaggio in arrivo.
  2. Visto che non ho un indirizzo e-mail "Salas @", il messaggio è respinto.
  3. La posta originale che è stata falsificata è stata inviata dall'indirizzo IP 37.139.21.195, che ha un helo =.

Sono abbastanza sicuro di quello che sto dicendo sopra al punto 3 è corretto, ma qualcuno può dirmi perché?

    
posta showe1966 07.06.2017 - 12:33
fonte

1 risposta

1

MODIFICA: aggiunta TLDR:

Il punto 3 probabilmente non è corretto, è corretto affermare che helo è il server, ed è spam, ma non è garantito che sia stato generato dall'ip che hai. 37.139.21.195 è l'oceano digitale, un host vps ben noto. Questo è probabilmente trasmesso attraverso tutti i tipi di spazzatura. I server di posta non si preoccupano di chi si identifica (helo) come o qual è il contenuto del messaggio, non c'è alcuna verifica di queste informazioni.

inoltre scorri verso il basso e segui il link per un'esilarante drammatizzazione di un server di posta per avere una migliore idea di come ciò avvenga esattamente. Ne vale la pena.

ORIGINALE:

Non esiste un modo veramente affidabile per farlo. le transazioni tra i server di posta sono completamente indicative. Ma perché no, diamo un'occhiata per vedere cosa possiamo scoprire dalle informazioni. a volte le persone incasinano così tanto dando informazioni corrette. ma la maggior parte delle volte tutte le informazioni sono inutili o false. ma che diavolo, è sempre divertente praticare il monitoraggio:)

sconline.com, se guardiamo a questo, troviamo molte relazioni con la Russia. ma poi otteniamo un whois, troviamo ip e nslookup che:

Domain Name: sconline.com
Registry Domain ID: 131697708_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.ename.com
Registrar URL: http://www.ename.net
Updated Date: 2016-03-10T07:28:28Z
Creation Date: 2004-10-03T18:23:32Z
Registrar Registration Expiration Date: 2017-10-03T18:23:32Z
Registrar: 1331
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registry Registrant ID:Not Available From Registry
Registrant Name: li wei
Registrant Organization: li wei
Registrant Street: hu nan chang sha fu rong qu jie fang dong lu
Registrant City: chang sha shi
Registrant State/Province: hu nan
Registrant Postal Code: 410000
Registrant Country: CN
Registrant Phone: +86.73188888888
Registrant Phone Ext:
Registrant Fax: +86.73188888888
Registrant Fax Ext:
Registrant Email: [email protected]
...
all other details for admin and tech the same
...
Name Server:ns1.sedoparking.com
Name Server:ns2.sedoparking.com
DNSSEC: unsigned

quindi il motore di ricerca lo vede come russia, ma nslookup mostra un nome e un indirizzo dalla Cina. bello, ma questo è tutto falso dettagli.

prendendo questa linea da quanto sopra:

hu nan chang sha fu rong qu jie fang dong lu

in google maps troviamo:

Jiefang E Rd, HuoCheZhan ShangQuan, Furong Qu, Changsha Shi, Hunan Sheng, China, 410001

che è un negozio di autoservizi. ok. ma non erano certi circa l'indirizzo esatto. consente di ottenere l'altro ip in quella mail.

WHOIS result for 37.139.21.195

inetnum: 37.139.16.0 - 37.139.23.255
netname: DIGITALOCEAN-AMS-3
descr: Digital Ocean, Inc.
country: NL
admin-c: BU332-RIPE
tech-c: BU332-RIPE
status: ASSIGNED PA
mnt-by: digitalocean
mnt-lower: digitalocean
mnt-routes: digitalocean
created: 2013-08-05T17:05:20Z
last-modified: 2013-08-21T16:15:42Z
source: RIPE

person: Ben Uretsky
address: 101 Ave of the Americas, 10th Floor
address: New York, NY 10013
phone: +16463978051
nic-hdl: BU332-RIPE
mnt-by: digitalocean
created: 2012-12-21T18:34:57Z
last-modified: 2014-09-03T16:32:57Z
source: RIPE # Filtered

vediamo le voci qui che sembrano abbastanza valide. per l'oceano digitale. un host vps noto.

Da questa evidenza ciò che probabilmente è successo (non è affatto sicuro, solo una teoria):

  • spammer in russia trova un modo in un computer in Cina. probabilmente lo usa come relè, non necessario ma un buon passo per l'anonimato. specialmente la Cina che non ama collaborare con nessuno per quanto riguarda questo genere di cose.
  • spammer compra anche un server vps, probabilmente per agire come il vps di quel luogo, o il suo. (non conosciamo la rete che ha dietro a tutto questo, solo l'oceano digitale avrebbe il prossimo rimbalzo se ce ne sono)
  • spammer invia posta a varie persone con la dichiarazione helo proveniente dal suo server su qualche sistema compromesso da qualche parte, passando per vps o VPN e probabilmente in altri posti.
  • ricevi questa email.

come ho detto prima, al server di posta non importa chi identificate, la posta non è mai stata così sicura. ecco perché gli spammer esistono ancora.

C'è una risposta eccellente a come il processo di posta elettronica funziona su questo sito qualche tempo fa, mi fa ancora ridere fino ad oggi, dargli una lettura. se non altro per un sorriso per il giorno:

In che modo PayPal può falsificare le e-mail così facilmente da dire che proviene da qualcun altro?

Comunque spero che ti aiuti!

    
risposta data 07.06.2017 - 23:05
fonte

Leggi altre domande sui tag