Jump to content

Email enviando forjado pelo endereço de origem


Recommended Posts

Tem um email que está enviando a cada minuto um email de spam para vários destinatários. Não é da máquina do cliente. Já alterei a senha e nada. O que posso fazer para resolver isso? Estão forjando e tentando utilizar meu smtp para mandar spam através desse email do cliente. Veja a imagem anexo. Obrigado

remetentesemautorizacao.JPG

Link to post
Share on other sites

  • Replies 12
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Posted Images

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Link to post
Share on other sites
47 minutos atrás, LeandroCarlosRodrigues disse:

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Link to post
Share on other sites
24 minutos atrás, mliell disse:

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Infelizmente, a solução não depende de uma medida do seu lado. Ela depende exclusivamente de uma medida do lado do cliente, mais especificamente na máquina dele. Você deve instruí-lo a instalar um antivirus bom ou então mandar formatar a máquina.

Esses antivirus gratuitos podem não conseguir resolver pois o malware é polimórfico, onde ele se auto encripta e usa chaves de encriptação diferente a cada salto. Se ele não fosse polimórfico, daria para pegar pelo padrão de código fonte no script VB dentro do documento Word. Os antivirus bons conseguem visualizar o comportamento do script, rodando ele em uma sandbox e vendo se ele tenta executar o tal código malicioso.

4 minutos atrás, mliell disse:

O SPF, DKIM e DMARC estão em funcionamento sim. Somente o DNSSEC não. Será que ele resolveria isso? @LeandroCarlosRodrigues

Pessoal. Nada disso vai resolver o problema pois, uma vez que o hacker tem acesso à máquina do usuário, os emails serão enviados com a autenticação e senha usada pelo próprio usuário naquele momento. Significa que seu servidor de email não é capaz de diferenciar os envios do usuário humano e os envios do bot, assinando assim o DKIM para ambos os casos. Quem recebe essas mensagens, também não é capaz de diferencia-los pelo DKIM nem pelo SPF.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...