mliell Posted January 29, 2020 Share Posted January 29, 2020 Tem um email que está enviando a cada minuto um email de spam para vários destinatários. Não é da máquina do cliente. Já alterei a senha e nada. O que posso fazer para resolver isso? Estão forjando e tentando utilizar meu smtp para mandar spam através desse email do cliente. Veja a imagem anexo. Obrigado 0 Quote Link to comment Share on other sites More sharing options...
LeandroCarlosRodrigues Posted January 29, 2020 Share Posted January 29, 2020 Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP. Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial. Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários. Mais detalhes sobre essa vulnerabilidade: https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087 0 Quote Link to comment Share on other sites More sharing options...
mliell Posted January 29, 2020 Author Share Posted January 29, 2020 47 minutos atrás, LeandroCarlosRodrigues disse: Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP. Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial. Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários. Mais detalhes sobre essa vulnerabilidade: https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087 Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh. o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota. 0 Quote Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted January 29, 2020 Share Posted January 29, 2020 Bom dia! Já pensou em ativar o DNSSEC e DMARC para tal cliente? Ajuda e bastante com essas coisas, exclusivo quando alguém se passar por você. 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
mliell Posted January 29, 2020 Author Share Posted January 29, 2020 3 minutos atrás, DELTA SERVERS disse: Bom dia! Já pensou em ativar o DNSSEC e DMARC para tal cliente? Ajuda e bastante com essas coisas, exclusivo quando alguém se passar por você. Como posso fazer isso? Realmente funciona? 0 Quote Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted January 29, 2020 Share Posted January 29, 2020 3 minutos atrás, mliell disse: Como posso fazer isso? Realmente funciona? https://pt.wikipedia.org/wiki/DNSSEC Da uma lida, seu provedor deve fornecer no cPanel se for o caso, ele fica no Zone Editor. Te dará uma base de como encontrar: Usamos o DMARC abaixo: 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
mliell Posted January 29, 2020 Author Share Posted January 29, 2020 O SPF, DKIM e DMARC estão em funcionamento sim. Somente o DNSSEC não. Será que ele resolveria isso? @LeandroCarlosRodrigues 0 Quote Link to comment Share on other sites More sharing options...
LeandroCarlosRodrigues Posted January 29, 2020 Share Posted January 29, 2020 24 minutos atrás, mliell disse: Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh. o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota. Infelizmente, a solução não depende de uma medida do seu lado. Ela depende exclusivamente de uma medida do lado do cliente, mais especificamente na máquina dele. Você deve instruí-lo a instalar um antivirus bom ou então mandar formatar a máquina. Esses antivirus gratuitos podem não conseguir resolver pois o malware é polimórfico, onde ele se auto encripta e usa chaves de encriptação diferente a cada salto. Se ele não fosse polimórfico, daria para pegar pelo padrão de código fonte no script VB dentro do documento Word. Os antivirus bons conseguem visualizar o comportamento do script, rodando ele em uma sandbox e vendo se ele tenta executar o tal código malicioso. 4 minutos atrás, mliell disse: O SPF, DKIM e DMARC estão em funcionamento sim. Somente o DNSSEC não. Será que ele resolveria isso? @LeandroCarlosRodrigues Pessoal. Nada disso vai resolver o problema pois, uma vez que o hacker tem acesso à máquina do usuário, os emails serão enviados com a autenticação e senha usada pelo próprio usuário naquele momento. Significa que seu servidor de email não é capaz de diferenciar os envios do usuário humano e os envios do bot, assinando assim o DKIM para ambos os casos. Quem recebe essas mensagens, também não é capaz de diferencia-los pelo DKIM nem pelo SPF. 0 Quote Link to comment Share on other sites More sharing options...
mliell Posted January 29, 2020 Author Share Posted January 29, 2020 Obrigado.. o cliente vai formatar a máquina para ver se resolve. 0 Quote Link to comment Share on other sites More sharing options...
LeandroCarlosRodrigues Posted January 29, 2020 Share Posted January 29, 2020 51 minutos atrás, mliell disse: Obrigado.. o cliente vai formatar a máquina para ver se resolve. Disponha sempre que precisar! 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.