Мошенники используют мой почтовый сервер
Мошенник использует мой почтовый сервер для отправки своих мошенников, могу ли я его заблокировать?
Я использую Exim4 и Dovecot на стабильном дистрибутиве Debian.
Вот доставка почты, которую я получаю:
------ This is a copy of the message, including all the headers. ------
Return-path: <mnml@free.fr>
Received: from [210.83.81.189] (helo=User)
by server.hotconference.com with esmtpa (Exim 4.69)
(envelope-from <mnml@free.fr>)
id 1Mh7A5-0008Lz-Vo; Fri, 28 Aug 2009 15:31:03 -0400
Reply-To: <westernunionmoneytransfer147@gmail.com>
From: "Mr. Frank Bell"<mnml@free.fr>
Subject: Western Union Payment Center®
Date: Fri, 28 Aug 2009 12:30:54 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
</DIV>
<DIV>
Attn: Beneficiary,</DIV>
<DIV>
</DIV>
<DIV>
There is an issue with the WESTERN UNION MONEY TRANSFER NIGERIA in the amount of $500.000.00 USD directed in cash credited to file KTU/9023118308/03, at the owner of this email address. The INTERNATIONAL MONETARY FUND contacted us for your compensation a couple of hours ago due to your allocated security code.</DIV>
<DIV>
They said that they choose to send it to an email address instead of a name. We are unable to complete a transfer directed at an email address, so we require some more information in order to complete this transfer.</DIV>
<DIV>
</DIV>
<DIV>
FULL NAME:</DIV>
<DIV>
FULL CONTACT ADDRESS:</DIV>
<DIV>
MOBILE PHONE NUMBER:</DIV>
<DIV>
OCCUPATION:</DIV>
<DIV>
MARITAL STATUS AND AGE:</DIV>
<DIV>
</DIV>
<DIV>
In order to resolve this problem, please email via Western Union Solicitors Fund Verification Department: westernunionmoneytransfer147@gmail.com</DIV>
<DIV>
As soon as this information is received, and you have complied with the requirements of our payment of the western union charges which is $420, payment will be made to your nominated bank account or at the counter directly from The Western Union Transferring Bank.</DIV>
<DIV>
Note: That this is directly from the Management of Western Union Money Transfer NIGERIA Head Office and our Motto is (To Serve You Better).</DIV>
<DIV>
Also note that you would be responsible for any payment that is needed for the transfer of your funds into your nominated bank account or at the counter directly from the Western Union Transferring Bank.</DIV>
<DIV>
THE MANAGEMENT OF WESTERN UNION MONEY TRANSFER, DISPATCHED THIS DAY.</DIV>
<DIV>
</DIV>
<DIV>
Call this number for verification +2348032263275</DIV>
<DIV>
Sincerely,</DIV>
<DIV>
Mr. Frank Bell.</DIV>
</FONT>
</BODY></HTML>
И это:
Return-Path: <>
Delivered-To: online.fr-mnml@free.fr
Received: (qmail 5451 invoked from network); 14 Sep 2009 13:46:51 -0000
Received: from mx24-g26.free.fr (HELO server.hotconference.com) (212.27.42.86)
by mrelay6-g25.free.fr with SMTP; 14 Sep 2009 13:46:51 -0000
Received: from server.hotconference.com ([12.68.137.174])
by mx2-g20.free.fr (MXproxy) for mnml@free.fr ;
Mon, 14 Sep 2009 15:46:51 +0200 (CEST)
X-ProXaD-SC: state=HAM score=10
Received: from mailnull by server.hotconference.com with local (Exim 4.69)
id 1MnBtK-0001Qr-Le
for mnml@free.fr; Mon, 14 Sep 2009 09:46:50 -0400
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@server.hotconference.com>
To: mnml@free.fr
Subject: Warning: message 1Mh72E-0007Zk-0r delayed 384 hours
Message-Id: <E1MnBtK-0001Qr-Le@server.hotconference.com>
Date: Mon, 14 Sep 2009 09:46:50 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.hotconference.com
X-AntiAbuse: Original Domain - free.fr
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Source:
X-Source-Args:
X-Source-Dir:
This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 384 hours on the queue on server.hotconference.com.
The message identifier is: 1Mh72E-0007Zk-0r
The subject of the message is: Western Union Payment Center®
The date of the message is: Fri, 28 Aug 2009 12:22:46 -0700
The addresses to which the message has not yet been delivered are:
abhrussell@alltel.net
abhi_9489@yahoo.co.in
abhisekrath67@yahoo.co.in
abhishek_bhm@yahoo.co.in
abfm@sbcglobal.net
abercrombie8guy6@aol.com
aberlanassoc@aol.com
abertom@aol.com
abhunn@aol.com
abi2win@aol.com
aberash1111@yahoo.com
abercrombie_amber14@yahoo.com
abercrombieguy212@yahoo.com
abey012000@yahoo.com
abh1morepitch@yahoo.com
abhijeet_kute@yahoo.com
abhilashajune@yahoo.com
abhimanyujamwal@yahoo.com
abhisekmitra@yahoo.com
abhishek_kapoor880@yahoo.com
abidi_abdo@yahoo.com
No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.
3 ответа
Если 210.83.81.189 не принадлежит вам, я не вижу здесь никаких доказательств того, что кто-либо использует ваш сервер для отправки электронной почты.
Обновление: Хорошо, основываясь на ваших изменениях от 14 сентября, возможно, что ваш сервер используется для рассылки спама или нет. Единственный способ узнать это - посмотреть на вашу очередь исходящей почты и ваши журналы почты, чтобы увидеть, отправляется ли почта, которая не должна была быть.
По-прежнему не похоже, что вы были скомпрометированы - 210.83.81.189 отправляет вам электронное письмо с поддельным путем возврата и ответом. Единственная причина, по которой это происходит на вашем почтовом сервере, заключается в том, что он адресован вам.
Проверьте журналы сервера, чтобы узнать, действительно ли почтовый сервер отправляет мошеннические письма на другие компьютеры, а затем отправьте отчет.
Сначала проверьте ваши журналы на вашем почтовом сервере. если заголовки подделаны, то вы фактически не используете свой почтовый сервер в качестве посредника. Ваши почтовые журналы на сервере должны сообщать вам, откуда приходит почта. Знайте, если ваша система взломана, однако, журналы могут быть подделаны или изменены.
Во-вторых, найдите сайты, которые будут проверять, является ли ваша система открытым реле.
В-третьих, проверьте и дважды проверьте, что ваша система настроена на ретрансляцию почты только для ваших авторизованных IP-адресов.
В-четвертых, запустите проверку руткитов, чтобы проверить вашу систему на наличие аномалий. Такие программы, как rkhunter и chkrootkit.
В-пятых, поищите учебные пособия по усилению защиты вашего почтового сервера, которые специфичны для вашего почтового сервера, и перепроверьте конфигурацию.
В-шестых, посмотрите на свои маршрутизаторы информацию о странных соединениях с вашей сетью и о ней, что-нибудь подозрительное. Если вы сможете разбить его по протоколу, вы получите представление о том, что происходит в вашей сети, независимо от потенциально скомпрометированной системы.
Если ваша система взломана, вам настоятельно рекомендуется переустановить операционную систему, поскольку, если она взломана, НЕТ НИКАКОГО пути, вы можете быть уверены, что двоичные файлы не были заменены и, в свою очередь, скрывают другие вредоносные программы. Даже ваши исполняемые файлы, используемые для обнаружения активности, могли быть изменены (например, PS скрывает определенные процессы).
Также, если ваша система скомпрометирована как открытый ретранслятор, есть вероятность, что вы уже заблокированы другими почтовыми серверами и списками. Вы можете просмотреть некоторые открытые списки, чтобы увидеть, указан ли ваш домен в списке.