Ir para conteúdo
  • Cadastre-se

Email enviando forjado pelo endereço de origem


mliell

Posts Recomendados

Tem um email que está enviando a cada minuto um email de spam para vários destinatários. Não é da máquina do cliente. Já alterei a senha e nada. O que posso fazer para resolver isso? Estão forjando e tentando utilizar meu smtp para mandar spam através desse email do cliente. Veja a imagem anexo. Obrigado

remetentesemautorizacao.JPG

Link para o comentário
Compartilhar em outros sites

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Link para o comentário
Compartilhar em outros sites

47 minutos atrás, LeandroCarlosRodrigues disse:

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Link para o comentário
Compartilhar em outros sites

3 minutos atrás, mliell disse:

Como posso fazer isso? Realmente funciona?

https://pt.wikipedia.org/wiki/DNSSEC

Da uma lida, seu provedor deve fornecer no cPanel se for o caso, ele fica no Zone Editor.

Te dará uma base de como encontrar: 

Usamos o DMARC abaixo:

 

 

 

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites

24 minutos atrás, mliell disse:

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Infelizmente, a solução não depende de uma medida do seu lado. Ela depende exclusivamente de uma medida do lado do cliente, mais especificamente na máquina dele. Você deve instruí-lo a instalar um antivirus bom ou então mandar formatar a máquina.

Esses antivirus gratuitos podem não conseguir resolver pois o malware é polimórfico, onde ele se auto encripta e usa chaves de encriptação diferente a cada salto. Se ele não fosse polimórfico, daria para pegar pelo padrão de código fonte no script VB dentro do documento Word. Os antivirus bons conseguem visualizar o comportamento do script, rodando ele em uma sandbox e vendo se ele tenta executar o tal código malicioso.

4 minutos atrás, mliell disse:

O SPF, DKIM e DMARC estão em funcionamento sim. Somente o DNSSEC não. Será que ele resolveria isso? @LeandroCarlosRodrigues

Pessoal. Nada disso vai resolver o problema pois, uma vez que o hacker tem acesso à máquina do usuário, os emails serão enviados com a autenticação e senha usada pelo próprio usuário naquele momento. Significa que seu servidor de email não é capaz de diferenciar os envios do usuário humano e os envios do bot, assinando assim o DKIM para ambos os casos. Quem recebe essas mensagens, também não é capaz de diferencia-los pelo DKIM nem pelo SPF.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?