Clicky

Jump to content
  • Sign Up
Sign in to follow this  
LeandroRS

Email Spoofing

Recommended Posts

Olá amigos, tudo bom?

 

Caros amigos, tenho sofrido com Email Spoofing (quando terceiros mascaram o remetente usando e-mails de outras pessoas ao enviar spam), por isso, gostaria de saber de vocês se há como se prevenir.

 

Nâo estou com o computador infectado, tenho um bom conhecimento de informática, principalmente em Windows e tenho certeza absoluta que não tenho nenhum vírus, worm, malware em geral.

 

Mas, meu e-mail tem ido para a caixa de spam ou de lixo eletrônico dos meus destinatários, isto tem me gerado um certo desconforto e inconvenientes.

 

Nunca, jamais, fiz o envio de propaganda enviando spam, nem tão pouco participei de correntes, por isso, tenho certeza que seja Email Spoofing.

 

O servidor (Cloud com LAMP + Nginx + CSF) está 100% limpo também até onde sei, mas Linux não é lá muito a minha área ainda, não conheço a fundo e não posso falar com 100% de certeza.

 

Tenho recebido e-mails de spam onde o remetente é o meu próprio e-mail, com pouca frequência, mas tenho recebido. Ao ver o código fonte ou cabeçalho do e-mail, apesar do remetente ser o meu e-mail, não partiu do meu servidor, tenho certeza absoluta.

 

E aí, há alguma solução ou medida para ao menos amenizar isso?

 

Obrigado.

Share this post


Link to post
Share on other sites

Está muito confusa a sua mensagem, geralmente o que acontece é de spammer que seta email original de alguém como sender/return-path, você não está recebendo apenas mensagens retornadas?

 

Coloca o cabeçalho aqui!

Share this post


Link to post
Share on other sites

Está muito confusa a sua mensagem, geralmente o que acontece é de spammer que seta email original de alguém como sender/return-path, você não está recebendo apenas mensagens retornadas?

 

Coloca o cabeçalho aqui!

 

Desculpe pela mensagem confusa... vamos por partes:

 

1. Tenho percebido que meus e-mails estão indo para caixa de spam dos meus destinatários, causando confusão pois os mesmos acusam não ter recebido minhas mensagens, até que descobrem que meus e-mails foram para as caixas de Spam.

 

2. Às vezes recebo mensagens onde o remetente é nada mais, nada menos, do que eu mesmo. Mas, quando vou verificar o código fonte dos e-mails, o e-mail não partiu do meu servidor, mas apenas o campo "remetente" é que consta meu e-mail, mas partiu de um servidor desconhecido e muitas vezes fora do Brasil.

 

Veja exemplo de código fonte de um destes e-mails (onde o meu e-mail é contato @ umarizal . com)

 

Return-path: <www-data@live.com>

Envelope-to: contato@umarizal.com

Delivery-date: Tue, 27 Jan 2015 06:56:00 -0200

Received: from [23.97.194.64] (port=1120 helo=live.com)

    by serv.hospedagemecriacaodesites.com.br with esmtp (Exim 4.84)

    (envelope-from <www-data@live.com>)

    id 1YG1wG-0006Ji-4g

    for contato@umarizal.com; Tue, 27 Jan 2015 06:56:00 -0200

Received: by live.com (Postfix, from userid 33)

    id 2040B25B33; Tue, 27 Jan 2015 07:42:54 +0000 (UTC)

To: contato@umarizal.com

Subject: [FW.GJ.CV] Secretaria De Segurança - [ 263289762195  ]

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

MIME-Version: 1.0

Content-type: text/html; charset=iso-8859-1

From:  <contato@umarizal.com

 >

Message-Id: <20150127082152.2040B25B33@live.com>

Date: Tue, 27 Jan 2015 07:42:54 +0000 (UTC)

<p><a href="http://ww1.ultimato-online.com.br/Ocorrencias-Online.html?897598759856078958976t78567t786895779785976"><imgsrc="http://bitly.com/ocorrencia2015" width="450" height="316"></a></p>

<p>Caso nao visualize Imagem <a href="http://ww1.ultimato-online.com.br/Ocorrencias-Online.html?e5846978364679465364873583648">ClickAqui</a> &quot;</p>

27/01/2015 07:42:54

 

 

Desde já, obrigado.

Share this post


Link to post
Share on other sites

Você configurou o RDNS e o SPF em seu servidor?

 

Não, caro amigo.

 

Poderia me dar algumas dicas sobre o que posso fazer? Vou pesquisar sobre esses nomes RDNS e SPF e como configurá-los enquanto isso.

 

O rDNS seria um DNS Reverso, é isso? Não tenho isso configurado não, o máximo que fiz foi incluir os DNS do Google como "Resolvedor" de DNS do servidor, por considerá-los melhores e mais rápidos.

 

Obrigado ;-)

Share this post


Link to post
Share on other sites

Não, caro amigo.

 

Poderia me dar algumas dicas sobre o que posso fazer? Vou pesquisar sobre esses nomes RDNS e SPF e como configurá-los enquanto isso.

 

Obrigado ;-)

 

Não é isso. Seu servidor provavelmente está rodando um script p/ automatização de envio de mensagens, leia-se spam

 

olha o header

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

reconhece esse arquivo? kpemetnqphvccl8l3wleh.php

 

Se não, dê um locate se tiver acesso ao shell! Se encontrar você está hackeado

Share this post


Link to post
Share on other sites

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Share this post


Link to post
Share on other sites

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.

 

Sim... eu mesmo estou comentando com base no header, já que ele não informou a quantidade de mensagens recebidas, se já possui filtros etc. Cada caso é um caso!

 

Por experiência em pegar spammer, esse arquivo no header aparenta ser um backdoor!

Share this post


Link to post
Share on other sites

Não é isso. Seu servidor provavelmente está rodando um script p/ automatização de envio de mensagens, leia-se spam

 

olha o header

X-PHP-Originating-Script: 0:kpemetnqphvccl8l3wleh.php

reconhece esse arquivo? kpemetnqphvccl8l3wleh.php

 

Se não, dê um locate se tiver acesso ao shell! Se encontrar você está hackeado

 

Tentei o camando:

#locate kpemetnqphvccl8l3wleh.php

e também

#find -name kpemetnqphvccl8l3wleh.php

 

Nenhum deles retornou resultado... ou eu que não estou sabendo usar os comandos.

 

Acho difícil estar "contaminado" pois muito recentemente o pessoal do servidor reinstalou todo o sistema para atualizar e ficar 100% limpinho com o Centos 6.6.

 

Em certa ocasião, um amigo meu testou uma apluicação do flash que fazia envio de emails se passando por outra pessoa.

 

Mesmo com spf e dkim ativo, o cliente de email não identificava problemas no recebimento desse email.

 

Ele chegou a testar com contas do gmail e conseguiu enviar normalmente.

 

Apesar desse meu comentário, acredito que isso não tenha relação com o problema que o colega reporta, vez outra recebo emails "dos meus emails", o numero desses emails nunca foi relevante e ocorre apenas por alguns períodos.

 

Não entendi muito bem a relação do seu depoimento com o caso. Você está dizendo que o mesmo problema ocorria com seu amigo mesmo ele tendo configurado SPF e DKIM?

 

De qualquer forma, agradeço e peço desculpas pela "newbiece" minha xD

 

O load anda muito, mas muito baixo, agora está a 0.0 0.08 0.06 ...

 

A frequencia de e-mails que recebo onde o remetente sou eu mesmo é muito baixa, cerca de 2 por dia no máximo, com teor de spam (anúncios de remédios, por exemplo, sempre em inglês).

 

E o que me assusta é meus e-mails serem "considerados" spam no sistema dos meus destinatários (alguns deles).

Share this post


Link to post
Share on other sites

Aí é que você se engana, com a popularidade do wordpress, principalmente a utilização de temas/plugins nulled ou vulneráveis, é prato cheio p/ spammers!

 

Você possui CXS ou mesmo clamscan?

 

Tenta utilizar

find /var/www/ -type f -iname ?.php -uid 0
grep "kpemetnqphvccl8l3wleh.php" /var/log/apache2/access.log

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...