Qualche persona gentile ha gentilmente falsificato la mia e-mail e inviato a tutti un file di virus da "me".
Penso di poter vedere l'indirizzo IP di origine del server dal quale è stata inviata la posta falsificata osservando alcuni dei messaggi di log della posta di rimbalzo.
Il mio postfix è configurato per far rimbalzare qualsiasi messaggio da indirizzi e-mail non reali nel mio dominio.
Ecco un esempio di alcune voci del registro di posta: -
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Jun 6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>
Quello che penso che i messaggi sopra mostrino è il seguente: -
- L'indirizzo vuoto del mittente attiva il mio amavis per controllare il messaggio in arrivo.
- Visto che non ho un indirizzo e-mail "Salas @", il messaggio è respinto.
- La posta originale che è stata falsificata è stata inviata dall'indirizzo IP 37.139.21.195, che ha un helo =.
Sono abbastanza sicuro di quello che sto dicendo sopra al punto 3 è corretto, ma qualcuno può dirmi perché?