Spams enviados desde una dirección de correo electrónico externa, pero el remitente de la dirección de correo electrónico cambió a mi propia dirección de correo electrónico en mi bandeja de entrada [cerrado]


1

Recientemente recibí algunos correos no deseados extraños en mi servidor de correo, estoy usando zimbra 8.x. incluido con postfix.

Creo que he asegurado el postfix lo suficiente como para evitar recibir spam de mi propio dominio mediante una conexión smtp externa sin autenticación.

Aquí está la parte de zimbra.log cuando algunos spammers intentan enviar correos electrónicos desde mi dirección de correo electrónico a mi dirección de correo electrónico sin autenticación SMTP.

Message ID '[reject:NOQUEUE:mail]'
virginie@mydomain.com -->
    virginie@mydomain.com
  Recipient virginie@mydomain.com
  Nov 19 12:24:41 - unknown (91.x.24.x) status reject
    553 5.7.1 <virginie@mydomain.com>: Sender address rejected: not logged in

Todos son rechazados, por lo que en teoría no debería poder recibir correos electrónicos provenientes de mi propia dirección de correo electrónico de spammers, excepto si mi cuenta ha sido pirateada, lo cual no es el caso, te mostraré por qué en los registros.

El spammer usó como remitente una dirección de correo electrónico externa, lo cual es habitual y luego no se necesita autenticación en ese caso.

Nov 19 20:39:40 mail postfix/smtpd[4733]: NOQUEUE: filter: RCPT from hackzor.net[185.24.1.1]: <spammer@hackzor.net>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:100
26; from=<spammer@hackzor.net> to=<virginie@mydomain.com> proto=ESMTP helo=<hackzor.net>

Pero lo extraño es que el correo electrónico en mi bandeja de entrada, el remitente ha cambiado a mi propia dirección de correo electrónico, aquí el encabezado.

Return-Path: spammer@hackzor.net
Received: from mail.mydomain.com (LHLO mail.mydomain.com) (192.168.1.1) by
 mail.mydomain.com with LMTP; Mon, 19 Nov 2018 20:39:45 +0800 (CST)
Received: from localhost (localhost [127.0.0.1])
    by mail.mydomain.com (Postfix) with ESMTP id 60A105B459DE;
    Mon, 19 Nov 2018 20:39:45 +0800 (CST)
X-Virus-Scanned: amavisd-new at mail.mydomain.com
Received: from mail.mydomain.com ([127.0.0.1])
    by localhost (mail.mydomain.com [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id yARN2OhX10-F; Mon, 19 Nov 2018 20:39:41 +0800 (CST)
Received: from hackzor.net (hackzor.net [185.24.1.1])
    by mail.mydomain.com (Postfix) with ESMTPS id 7325D5B459A3
    for <virginie@mydomain.com>; Mon, 19 Nov 2018 20:39:38 +0800 (CST)
Received: by hackzor.net (Postfix, from userid 10000)
    id 28A931650A4; Mon, 19 Nov 2018 07:15:11 -0500 (EST)
To: virginie@mydomain.com
Subject: virginie@mydomain.com was hacked.
X-PHP-Originating-Script: 10000:c.php
MIME-Version: 1.0
Content-type:text/html;charset=UTF-8
From: virginie@mydomain.com <virginie@mydomain.com>
Message-Id: <20181119121513.28A931650A4@hackzor.net>
Date: Mon, 19 Nov 2018 07:15:11 -0500 (EST)

¿Alguien tiene idea de cómo es posible y cómo evitar este tipo de suplantación de identidad?

Adiós


1
Busque la suplantación de identidad por correo electrónico. No poco comun.
JakeGould

1
Un registro SPF en su DNS es un buen comienzo y fácil de hacer. Combina eso con DKIM para una mejor protección.
davidgo

Desafortunadamente, no puedo implementar la verificación SPF, muchos de nuestros clientes / proveedores no la usan. : (((
user3723669
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.