Recibiendo datos extraños sobre SMTP donde el cuerpo es una línea de caracteres aleatorios

0

Tengo un sitio web que tiene un servidor smtp abierto en el puerto 25. No hay ninguna funcionalidad de salida en el servidor smtp. Simplemente analizamos los archivos adjuntos de nuestros usuarios, luego "hacemos cola" el correo electrónico en una cola ficticia. Básicamente, dejamos el correo electrónico después de analizarlo.

Últimamente he notado algo de tráfico extraño en los registros. Básicamente, recibo un montón de solicitudes intermitentes para enviar un correo electrónico a un destinatario específico, llámelo [email protected]. La dirección de origen será un nombre aleatorio, siendo el dominio el mismo dominio que mi URL de sitios web. Entonces, cosas como [email protected], [email protected], [email protected], etc.

Observé los datos reales que están tratando de enviar, y es solo una línea de basura falsa como 'xdf dznfsdf vsswu lfndfg qsdf'. Lo mismo con la línea de asunto, solo una línea de basura ilegible.

También tenga en cuenta que las solicitudes son de diferentes IP, y si las busco, solo obtengo ubicaciones aleatorias como Rusia, China, Australia, Qutar.

Entonces, estoy tratando de averiguar la intención de la persona que hace esto. Pensé que tal vez estaban intentando usarme como un relevo para enviar spam, y eso habría tenido sentido si hubiera un mensaje de spam en el cuerpo del correo electrónico, en lugar de solo una línea de caracteres aleatorios.

También pensé que tal vez debían encontrar direcciones de correo electrónico de personas de mi empresa, lo que explicaría por qué el remitente es [email protected]. Lo único es que no parece que estén usando un verdadero diccionario de nombres. Parece ser un pequeño subconjunto de los mismos nombres (como quizás 10-15 nombres diferentes que se envían en ningún orden en particular)

¿Alguien tiene una idea de lo que puede estar haciendo?

    
pregunta 20.07.2014 - 23:30
fuente

1 respuesta

1

Probablemente sea una prueba para identificar servidores SMTP existentes y / o usuarios aceptables. Por lo tanto, para decirlo por primera vez antes de iniciar algún tipo de ataque o mal uso (por ejemplo, como relé).

    
respondido por el Thor 21.07.2014 - 00:04
fuente

Lea otras preguntas en las etiquetas