Rastreando el origen de los ataques de correo electrónico

3

Durante la semana pasada, el IDS de nuestra compañía ha estado bloqueando 100-200 correos electrónicos de invitación a reuniones por día de un cliente específico que están cargados con desbordamientos de búfer dirigidos a Exchange 2003. La carga útil es inofensiva para nosotros, pero la inundación de registros es molesta por decir lo menos He estado en contacto con el gerente de TI de la empresa cliente y se me ha asegurado que no hay registros de estos correos electrónicos provenientes de su servidor de correo; sin embargo, los ataques solo toman velocidad y provienen de más direcciones en su dominio todos los días. Nos parece bastante claro que hay una infección que se propaga a través de su dominio, pero mantienen que su sistema está limpio. Estamos razonablemente seguros de que no proviene de ninguna de nuestras máquinas porque los correos electrónicos se bloquean antes de que ingresen a nuestra red. Si los ataques realmente no se originan en ellos, ¿cómo podemos rastrear su origen? ¿O qué tipo de evidencia podemos reunir para demostrar que realmente proviene del cliente?

    
pregunta thanby 26.12.2013 - 16:00
fuente

1 respuesta

3

Los encabezados de correo electrónico deberían ser suficientes (consulte " dirección IP del encabezado de correo electrónico para ver un ejemplo) de como leerlos ". Quizás publicarlos aquí también.

Quiero enfatizar que mientras solo la línea de encabezado más reciente es absolutamente confiable , la información del encabezado es realmente la única información sobre el origen del correo electrónico que puede obtener.

Puede enviar por correo electrónico una copia de los encabezados al "remitente", y entonces deberían tener suficiente información para confirmar o rechazar, pero depende de ellos tener el deseo, la experiencia y la diligencia para hacer algo al respecto. it. Como dice el viejo refrán, "Puedes llevar un caballo al agua, pero no puedes hacerlo participar en natación sincronizada".

Si sospechas que los encabezados no son confiables, entonces el único recurso es trabajar lentamente hacia atrás a través de cada MTA , confirmando cada vez que la línea del encabezado coincide con sus registros. Esto le permitiría probar quién era el MTA remitente con absoluta certeza, pero:

  • Es una ENORME cantidad de trabajo. Varias horas por lo menos.
  • Debería ser rápido, ya que muchos sistemas de correo grandes no pueden almacenar datos de registro por mucho tiempo debido al volumen de almacenamiento requerido
  • Tendrías que tener suerte y esperar que todos los MTA intermedios cooperen contigo

Incluso si tiene éxito, el remitente puede still elegir ignorarlo (después de todo, es su servidor de correo), en cuyo caso, su único recurso es informar el spam a los proveedores de listas negras .

    
respondido por el scuzzy-delta 26.12.2013 - 17:16
fuente

Lea otras preguntas en las etiquetas