Jump to content

Email enviando forjado pelo endereço de origem


mliell

Recommended Posts

Tem um email que está enviando a cada minuto um email de spam para vários destinatários. Não é da máquina do cliente. Já alterei a senha e nada. O que posso fazer para resolver isso? Estão forjando e tentando utilizar meu smtp para mandar spam através desse email do cliente. Veja a imagem anexo. Obrigado

remetentesemautorizacao.JPG

Link to comment
Share on other sites

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Link to comment
Share on other sites

47 minutos atrás, LeandroCarlosRodrigues disse:

Recomendo que você mande o cliente investigar sobre o ataque hacker, realizado por documentos de Word infectados, pois esse ataque permite a abertura de um backdoor, onde o hacker tem acesso ao sistema e todos os privilégios do usuário, inclusive credencial de SMTP dele. Significa que não resolve alterar a senha pois, uma vez que o hacker tem acesso à conta de SMTP do usuário, o malware dele irá usar a mesma autenticação de usuário para envio destes spams no seu servidor SMTP.

Esse ataque já vem ocorrendo desde o ano passado e sua infecção se dá pelo envio de um documento Word, anexado em um email aparentemente inofensivo, aonde a abertura deste anexo faz o script rodar na máquina do destinatário e então o hacker ganha acesso a essa nova máquina, repetindo o processo pelo crescimento exponencial.

Estamos presenciando grandes ondas desse ataque nessas ultimas semanas, de diversas contas de usuários e de diversos provedores. Não é um problema fácil de resolver e depende de instalação de bons antivírus nas máquinas dos usuários.

Mais detalhes sobre essa vulnerabilidade:

https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28087

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Link to comment
Share on other sites

24 minutos atrás, mliell disse:

Nossa, complicado hein. Pode ser realmente isso que aconteceu. Como posso evitar? Alterar alguns dados do servidor? Removendo o script da máquina creio que não resolva, pois ja teve o acesso neh.

o Problema é que fica mandando direto.. mas está sendo rejeitado. Até mesmo porque meu servidor recebe as solicitações e passa da quantidade de email que o cliente pode enviar, logo, quando o cliente envia ele também não consegue pois passou da cota.

Infelizmente, a solução não depende de uma medida do seu lado. Ela depende exclusivamente de uma medida do lado do cliente, mais especificamente na máquina dele. Você deve instruí-lo a instalar um antivirus bom ou então mandar formatar a máquina.

Esses antivirus gratuitos podem não conseguir resolver pois o malware é polimórfico, onde ele se auto encripta e usa chaves de encriptação diferente a cada salto. Se ele não fosse polimórfico, daria para pegar pelo padrão de código fonte no script VB dentro do documento Word. Os antivirus bons conseguem visualizar o comportamento do script, rodando ele em uma sandbox e vendo se ele tenta executar o tal código malicioso.

4 minutos atrás, mliell disse:

O SPF, DKIM e DMARC estão em funcionamento sim. Somente o DNSSEC não. Será que ele resolveria isso? @LeandroCarlosRodrigues

Pessoal. Nada disso vai resolver o problema pois, uma vez que o hacker tem acesso à máquina do usuário, os emails serão enviados com a autenticação e senha usada pelo próprio usuário naquele momento. Significa que seu servidor de email não é capaz de diferenciar os envios do usuário humano e os envios do bot, assinando assim o DKIM para ambos os casos. Quem recebe essas mensagens, também não é capaz de diferencia-los pelo DKIM nem pelo SPF.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?