Ho un sito Web che ha un server smtp aperto sulla porta 25. Non ci sono funzionalità in uscita sul server smtp. Analizziamo solo gli allegati dei nostri utenti, quindi "accodiamo" l'email in una coda fittizia. Quindi in sostanza eliminiamo l'e-mail dopo averlo analizzato.
Ultimamente ho notato un po 'di traffico strano nei log. Fondamentalmente, ricevo un sacco di richieste intermittenti per inviare email a un destinatario specifico, chiamandolo [email protected]. L'indirizzo da sarà un nome casuale, con il dominio che è lo stesso dominio dell'URL del mio sito web. Quindi, cose come [email protected], [email protected], [email protected], ecc.
Ho guardato i dati reali che stanno cercando di inviare, ed è solo una linea di merda ingarbugliata come, 'xdf dznfsdf vsswu lfndfg qsdf'. La stessa cosa con la riga dell'oggetto, solo una riga di merda ingarbugliata.
Si noti inoltre che le richieste provengono da diversi IP e, se le visualizzo, ottengo solo posizioni casuali come Russia, Cina, Australia, Qutar.
Quindi, sto cercando di capire l'intenzione della persona che sta facendo questo. Ho pensato che forse stavano cercando di usarmi come relay per inviare spam, e questo avrebbe avuto senso se ci fosse effettivamente un messaggio spam nel corpo dell'email, piuttosto che una semplice riga di caratteri casuali.
Ho anche pensato che forse dovessero trovare indirizzi email da persone della mia azienda, il che spiegherebbe perché il mittente è [email protected]. L'unica cosa è che non sembra che stiano usando un vero dizionario di nomi. Sembra essere un piccolo sottoinsieme degli stessi nomi (come forse 10-15 diversi inviati senza un ordine particolare)
Qualcuno ha un'idea di cosa potrebbe fare?