¿Cómo puedo saber dónde se envió un correo electrónico falsificado utilizando bounce-backs en postfix?

Question

¿Cómo puedo saber dónde se envió un correo electrónico falsificado utilizando bounce-backs en postfix?

#1 de Nalaurien (1 votos)

0

Una buena persona ha simulado amablemente mi correo electrónico y ha enviado a todos un archivo de virus desde "yo".

Creo que puedo ver la dirección IP de origen del servidor desde el que se envió el correo falsificado al observar algunos de los mensajes de registro de correo de devolución.

Mi postfix está configurado para enviar mensajes desde direcciones de correo electrónico no reales en mi dominio.

Aquí hay un ejemplo de algunas de las entradas del registro de correo: -

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: filter: RCPT from unknown[37.139.21.195]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Jun  6 05:44:09 server3 postfix/smtpd[5567]: NOQUEUE: reject: RCPT from unknown[37.139.21.195]: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<[email protected]> proto=ESMTP helo=<sconline.com>

Lo que creo que muestran los mensajes anteriores es lo siguiente: -

La dirección en blanco del remitente activa mi amavis para verificar el mensaje entrante.
Al ver que no tengo una dirección de correo electrónico "Salas @", el mensaje es rechazado.
El correo original que fue falsificado fue enviado desde la dirección IP 37.139.21.195, que tiene un helo =.

Estoy bastante seguro de que lo que digo arriba en el punto 3 es correcto, pero ¿alguien puede decirme por qué?

spam

pregunta showe1966 07.06.2017 - 12:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas spam

¿Capturar ejecución de solicitud de cmd de windows? [cerrado] ¿HPKP es una alternativa a DNSSEC? [duplicar]

score 1 · Answer 1

EDITAR: Agregar TLDR:

El punto 3 probablemente no sea correcto, es correcto que se dirija al servidor y que sea spam, pero no hay garantía de que se haya originado en la dirección IP que tiene. 37.139.21.195 es ocean digital, un conocido host vps. Esto probablemente se transmite a través de todo tipo de basura. A los servidores de correo no les importa a quién identifique (helo) como o cuál es el contenido del mensaje, no hay verificación de esta información.

también desplácese hasta la parte inferior y siga el enlace a una hilarante dramatización de un servidor de correo para tener una mejor idea de cómo sucede esto exactamente. Vale la pena.

ORIGINAL:

Realmente no hay una manera confiable de hacer esto. Las transacciones entre servidores de correo son completamente indicativas. Pero, ¿por qué no? Echemos un vistazo para ver qué podemos encontrar en la información. A veces las personas se meten tan mal al dar información correcta. pero la mayor parte del tiempo toda la información es inútil o falsa. pero qué diablos, siempre es divertido practicar el seguimiento :)

sconline.com, si observamos esto, encontramos muchas relaciones con Rusia. pero luego obtenemos un whois, encontramos la ip y nslookup que:

Domain Name: sconline.com
Registry Domain ID: 131697708_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.ename.com
Registrar URL: http://www.ename.net
Updated Date: 2016-03-10T07:28:28Z
Creation Date: 2004-10-03T18:23:32Z
Registrar Registration Expiration Date: 2017-10-03T18:23:32Z
Registrar: 1331
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Registry Registrant ID:Not Available From Registry
Registrant Name: li wei
Registrant Organization: li wei
Registrant Street: hu nan chang sha fu rong qu jie fang dong lu
Registrant City: chang sha shi
Registrant State/Province: hu nan
Registrant Postal Code: 410000
Registrant Country: CN
Registrant Phone: +86.73188888888
Registrant Phone Ext:
Registrant Fax: +86.73188888888
Registrant Fax Ext:
Registrant Email: [email protected]
...
all other details for admin and tech the same
...
Name Server:ns1.sedoparking.com
Name Server:ns2.sedoparking.com
DNSSEC: unsigned

por lo que el motor de búsqueda lo ve como Rusia, pero nslookup muestra un nombre y una dirección de China. Genial, pero esto es todo detalles falsos.

tomando esta línea de lo anterior:

hu nan chang sha fu rong qu jie fang dong lu

en google maps encontramos:

Jiefang E Rd, HuoCheZhan ShangQuan, Furong Qu, Changsha Shi, Hunan Sheng, China, 410001

que es una tienda de autoservicio. De acuerdo. pero no estaban seguros de la dirección exacta. vamos a obtener la otra ip en ese correo.

WHOIS result for 37.139.21.195

inetnum: 37.139.16.0 - 37.139.23.255
netname: DIGITALOCEAN-AMS-3
descr: Digital Ocean, Inc.
country: NL
admin-c: BU332-RIPE
tech-c: BU332-RIPE
status: ASSIGNED PA
mnt-by: digitalocean
mnt-lower: digitalocean
mnt-routes: digitalocean
created: 2013-08-05T17:05:20Z
last-modified: 2013-08-21T16:15:42Z
source: RIPE

person: Ben Uretsky
address: 101 Ave of the Americas, 10th Floor
address: New York, NY 10013
phone: +16463978051
nic-hdl: BU332-RIPE
mnt-by: digitalocean
created: 2012-12-21T18:34:57Z
last-modified: 2014-09-03T16:32:57Z
source: RIPE # Filtered

Aquí vemos entradas que parecen bastante válidas. para digital ocean. un conocido host vps.

De esta evidencia, lo que probablemente ocurrió (no del todo seguro, solo una teoría):

el spammer en Rusia encuentra un camino en una computadora en China. Probablemente lo usa como un relé, no es necesario pero es un buen paso para el anonimato. especialmente China, que no le gusta cooperar con nadie con respecto a este tipo de cosas.
el spammer también compra un servidor vps, probablemente para actuar como vps de ese lugar, o como propio. (No sabemos la red que tiene detrás de esto, solo el océano digital tendría el siguiente rebote si hubiera alguno)
el spammer emite correo a varias personas con una declaración de saludo proveniente de su servidor en algún sistema comprometido en algún lugar, pasando por vps o vpn y probablemente otros lugares.
usted recibe este correo.

como dije antes, al servidor de correo no le importa a quién se identifica, el correo nunca fue tan seguro. Es por eso que los spammers todavía existen.

Hay una excelente respuesta a cómo funciona el proceso de correo en este sitio hace un tiempo, todavía me hace reír hasta el día de hoy, dale una lectura. Si por nada más que una sonrisa para el día:

¿Cómo puede PayPal falsificar los correos electrónicos tan fácilmente para decir que vienen de otra persona?

De todos modos espero que ayude!