Recientemente recibí algunos correos no deseados extraños en mi servidor de correo, estoy usando zimbra 8.x. incluido con postfix.
Creo que he asegurado el postfix lo suficiente como para evitar recibir spam de mi propio dominio mediante una conexión smtp externa sin autenticación.
Aquí está la parte de zimbra.log cuando algunos spammers intentan enviar correos electrónicos desde mi dirección de correo electrónico a mi dirección de correo electrónico sin autenticación SMTP.
Message ID '[reject:NOQUEUE:mail]'
virginie@mydomain.com -->
virginie@mydomain.com
Recipient virginie@mydomain.com
Nov 19 12:24:41 - unknown (91.x.24.x) status reject
553 5.7.1 <virginie@mydomain.com>: Sender address rejected: not logged in
Todos son rechazados, por lo que en teoría no debería poder recibir correos electrónicos provenientes de mi propia dirección de correo electrónico de spammers, excepto si mi cuenta ha sido pirateada, lo cual no es el caso, te mostraré por qué en los registros.
El spammer usó como remitente una dirección de correo electrónico externa, lo cual es habitual y luego no se necesita autenticación en ese caso.
Nov 19 20:39:40 mail postfix/smtpd[4733]: NOQUEUE: filter: RCPT from hackzor.net[185.24.1.1]: <spammer@hackzor.net>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:100
26; from=<spammer@hackzor.net> to=<virginie@mydomain.com> proto=ESMTP helo=<hackzor.net>
Pero lo extraño es que el correo electrónico en mi bandeja de entrada, el remitente ha cambiado a mi propia dirección de correo electrónico, aquí el encabezado.
Return-Path: spammer@hackzor.net
Received: from mail.mydomain.com (LHLO mail.mydomain.com) (192.168.1.1) by
mail.mydomain.com with LMTP; Mon, 19 Nov 2018 20:39:45 +0800 (CST)
Received: from localhost (localhost [127.0.0.1])
by mail.mydomain.com (Postfix) with ESMTP id 60A105B459DE;
Mon, 19 Nov 2018 20:39:45 +0800 (CST)
X-Virus-Scanned: amavisd-new at mail.mydomain.com
Received: from mail.mydomain.com ([127.0.0.1])
by localhost (mail.mydomain.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id yARN2OhX10-F; Mon, 19 Nov 2018 20:39:41 +0800 (CST)
Received: from hackzor.net (hackzor.net [185.24.1.1])
by mail.mydomain.com (Postfix) with ESMTPS id 7325D5B459A3
for <virginie@mydomain.com>; Mon, 19 Nov 2018 20:39:38 +0800 (CST)
Received: by hackzor.net (Postfix, from userid 10000)
id 28A931650A4; Mon, 19 Nov 2018 07:15:11 -0500 (EST)
To: virginie@mydomain.com
Subject: virginie@mydomain.com was hacked.
X-PHP-Originating-Script: 10000:c.php
MIME-Version: 1.0
Content-type:text/html;charset=UTF-8
From: virginie@mydomain.com <virginie@mydomain.com>
Message-Id: <20181119121513.28A931650A4@hackzor.net>
Date: Mon, 19 Nov 2018 07:15:11 -0500 (EST)
¿Alguien tiene idea de cómo es posible y cómo evitar este tipo de suplantación de identidad?
Adiós