Email Spoofing

[LeandroRS]

Olá amigos, tudo bom?

 

Caros amigos, tenho sofrido com Email Spoofing (quando terceiros mascaram o remetente usando e-mails de outras pessoas ao enviar spam), por isso, gostaria de saber de vocês se há como se prevenir.

 

Nâo estou com o computador infectado, tenho um bom conhecimento de informática, principalmente em Windows e tenho certeza absoluta que não tenho nenhum vírus, worm, malware em geral.

 

Mas, meu e-mail tem ido para a caixa de spam ou de lixo eletrônico dos meus destinatários, isto tem me gerado um certo desconforto e inconvenientes.

 

Nunca, jamais, fiz o envio de propaganda enviando spam, nem tão pouco participei de correntes, por isso, tenho certeza que seja Email Spoofing.

 

O servidor (Cloud com LAMP + Nginx + CSF) está 100% limpo também até onde sei, mas Linux não é lá muito a minha área ainda, não conheço a fundo e não posso falar com 100% de certeza.

 

Tenho recebido e-mails de spam onde o remetente é o meu próprio e-mail, com pouca frequência, mas tenho recebido. Ao ver o código fonte ou cabeçalho do e-mail, apesar do remetente ser o meu e-mail, não partiu do meu servidor, tenho certeza absoluta.

 

E aí, há alguma solução ou medida para ao menos amenizar isso?

 

Obrigado.

[RobertSP]

Está muito confusa a sua mensagem, geralmente o que acontece é de spammer que seta email original de alguém como sender/return-path, você não está recebendo apenas mensagens retornadas?

 

Coloca o cabeçalho aqui!

[LeandroRS]

Está muito confusa a sua mensagem, geralmente o que acontece é de spammer que seta email original de alguém como sender/return-path, você não está recebendo apenas mensagens retornadas?

 

Coloca o cabeçalho aqui!

 

Desculpe pela mensagem confusa... vamos por partes:

 

1. Tenho percebido que meus e-mails estão indo para caixa de spam dos meus destinatários, causando confusão pois os mesmos acusam não ter recebido minhas mensagens, até que descobrem que meus e-mails foram para as caixas de Spam.

 

2. Às vezes recebo mensagens onde o remetente é nada mais, nada menos, do que eu mesmo. Mas, quando vou verificar o código fonte dos e-mails, o e-mail não partiu do meu servidor, mas apenas o campo "remetente" é que consta meu e-mail, mas partiu de um servidor desconhecido e muitas vezes fora do Brasil.

 

Veja exemplo de código fonte de um destes e-mails (onde o meu e-mail é contato @ umarizal . com)

 

Return-path: <www-data@live.com>

Envelope-to: contato@umarizal.com

Delivery-date: Tue, 27 Jan 2015 06:56:00 -0200

Received: from [23.97.194.64] (port=1120 helo=live.com)

    by serv.hospedagemecriacaodesites.com.br with esmtp (Exim 4.84)

    (envelope-from <www-data@live.com>)

    id 1YG1wG-0006Ji-4g

    for contato@umarizal.com; Tue, 27 Jan 2015 06:56:00 -0200

Received: by live.com (Postfix, from userid 33)

    id 2040B25B33; Tue, 27 Jan 2015 07:42:54 +0000 (UTC)

To: contato@umarizal.com

Subject: [FW.GJ.CV] Secretaria De Segurança - [ 263289762195  ]

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

MIME-Version: 1.0

Content-type: text/html; charset=iso-8859-1

From:  <contato@umarizal.com

 >

Message-Id: <20150127082152.2040B25B33@live.com>

Date: Tue, 27 Jan 2015 07:42:54 +0000 (UTC)

<p><a href="http://ww1.ultimato-online.com.br/Ocorrencias-Online.html?897598759856078958976t78567t786895779785976"><imgsrc="http://bitly.com/ocorrencia2015" width="450" height="316"></a></p>

<p>Caso nao visualize Imagem <a href="http://ww1.ultimato-online.com.br/Ocorrencias-Online.html?e5846978364679465364873583648">ClickAqui</a> &quot;</p>

27/01/2015 07:42:54

 

 

Desde já, obrigado.

[Jesmarcelo]

Você configurou o RDNS e o SPF em seu servidor?

[LeandroRS]

Você configurou o RDNS e o SPF em seu servidor?

 

Não, caro amigo.

 

Poderia me dar algumas dicas sobre o que posso fazer? Vou pesquisar sobre esses nomes RDNS e SPF e como configurá-los enquanto isso.

 

O rDNS seria um DNS Reverso, é isso? Não tenho isso configurado não, o máximo que fiz foi incluir os DNS do Google como "Resolvedor" de DNS do servidor, por considerá-los melhores e mais rápidos.

 

Obrigado ;-)

[RobertSP]

Não, caro amigo.

 

Poderia me dar algumas dicas sobre o que posso fazer? Vou pesquisar sobre esses nomes RDNS e SPF e como configurá-los enquanto isso.

 

Obrigado ;-)

 

Não é isso. Seu servidor provavelmente está rodando um script p/ automatização de envio de mensagens, leia-se spam

 

olha o header

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

reconhece esse arquivo? kpemetnqphvccl8l3wleh.php

 

Se não, dê um locate se tiver acesso ao shell! Se encontrar você está hackeado

[chuvadenovembro]

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.

[RobertSP]

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.

 

Sim... eu mesmo estou comentando com base no header, já que ele não informou a quantidade de mensagens recebidas, se já possui filtros etc. Cada caso é um caso!

 

Por experiência em pegar spammer, esse arquivo no header aparenta ser um backdoor!

[LeandroRS]

Não é isso. Seu servidor provavelmente está rodando um script p/ automatização de envio de mensagens, leia-se spam

 

olha o header

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

reconhece esse arquivo? kpemetnqphvccl8l3wleh.php

 

Se não, dê um locate se tiver acesso ao shell! Se encontrar você está hackeado

 

Tentei o camando:

#locate kpemetnqphvccl8l3wleh.php

e também

#find -name kpemetnqphvccl8l3wleh.php

 

Nenhum deles retornou resultado... ou eu que não estou sabendo usar os comandos.

 

Acho difícil estar "contaminado" pois muito recentemente o pessoal do servidor reinstalou todo o sistema para atualizar e ficar 100% limpinho com o Centos 6.6.

 

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.

 

Não entendi muito bem a relação do seu depoimento com o caso. Você está dizendo que o mesmo problema ocorria com seu amigo mesmo ele tendo configurado SPF e DKIM?

 

De qualquer forma, agradeço e peço desculpas pela "newbiece" minha xD

 

O load anda muito, mas muito baixo, agora está a 0.0 0.08 0.06 ...

 

A frequencia de e-mails que recebo onde o remetente sou eu mesmo é muito baixa, cerca de 2 por dia no máximo, com teor de spam (anúncios de remédios, por exemplo, sempre em inglês).

 

E o que me assusta é meus e-mails serem "considerados" spam no sistema dos meus destinatários (alguns deles).

[RobertSP]

Aí é que você se engana, com a popularidade do wordpress, principalmente a utilização de temas/plugins nulled ou vulneráveis, é prato cheio p/ spammers!

 

Você possui CXS ou mesmo clamscan?

 

Tenta utilizar

find /var/www/ -type f -iname ?.php -uid 0
grep "kpemetnqphvccl8l3wleh.php" /var/log/apache2/access.log