Воланд

Спам на почту. Может кто сталкивался

17 posts in this topic

Приветствую коллеги!

 

С недавнего времени на почту клиентов начался агрессивный спам, при чем спам именно возвратными письмами, такое чувство, что кто то делает рассылку, указывая почтовый ящик клиентов. Я, к сожалению, с таким не сталкивался, может кто знает, как с этим бороться?

 

Вот собственно и само письмо:

 

2014-08-15 11-37-35 Скриншот экрана.png

 

Несколько дней назад приходили другие, но смысл в том же, все как то связаны с EBay.

 

п.с. Попрошу не высказывать "умных" мыслей, вида - "почистить компьютер от вирусов" и "проверить сервер"...не первый год за мужем, всё там чисто

Share this post


Link to post
Share on other sites

@Воланд, недавно такая же тема была, лень было разбираться, сразу же создал новую почту и теперь при регистрации на сайтах убираю галочки для уведомлений разных, пока нету спама. Может и Вам стоит это сделать? 

Share this post


Link to post
Share on other sites

@Woren, Была бы моя почта, конечно не было бы проблем. Почта клиентов, корпоративная, указана на сайте, почта вида info@.........ru по этому сменить, к сожалению возможности нет. 

Share this post


Link to post
Share on other sites

@Воланд, не сменить, если от сайта пришло уведомление какое-то, то отписаться можете. Тот же ebay, там отписаться. Если конечно на эту почту регистрировались.

Share this post


Link to post
Share on other sites

@Воланд, не сменить, если от сайта пришло уведомление какое-то, то отписаться можете. Тот же ebay, там отписаться. Если конечно на эту почту регистрировались.

Какое отписаться? это же спам

Share this post


Link to post
Share on other sites

@Woren, Это спам, возвратными письмами, то есть, как будто я написал им письмо, а оно вернулось, но прикол в том, что никто их не писал 

Share this post


Link to post
Share on other sites

@nikdsn, ну вот у меня такая же тема была. Я её не знал как решить, да сменил ящик и всё.

Перепутал, думал уведомление с сайтов идёт. Может ещё кому приходило такого вида спам: "Ваш дальний родственник умер, в наследство оставил несколько десятков миллионов, но не хватает пару долларов, чтобы активировать счёт и переслать деньги вам", причём абсолютно чистый ящик был, как только находят, фиг его знает.

Share this post


Link to post
Share on other sites

Приветствую коллеги!

 

С недавнего времени на почту клиентов начался агрессивный спам, при чем спам именно возвратными письмами, такое чувство, что кто то делает рассылку, указывая почтовый ящик клиентов. Я, к сожалению, с таким не сталкивался, может кто знает, как с этим бороться?

 

 

Была точно такая же ситуация, когда якобы с моего адреса приходят недоставленные сообщения, которых я не отправлял, но адрес с которого отправлены письма - мой. В инете (к сожалению не помню источника) нашёл ответ, что это новый метод мошенничества с целью получить Ваши данные, пароли и т.д. Совет был таков никак не реагировать и не в коем случае не переходить по ссылкам или иным данным из этих писем. Что я и делал - полный игнор (письма приходили в папку СПАМ) Прошло месяца примерно 3 и всё исчезло само собой, всякая активность прекратилась. Сейчас ни одного письма такого содержания не приходит.

Воланд likes this

Share this post


Link to post
Share on other sites

Присоединюсь к @BayBackOff.

На несколько адресов (публичные емэйлы компаний) подобный спам приходил.

Решилось полным игнором.

На те адреса, что размещались на  google/yandex почте, прекратилось сравнительно быстро (неделя-две). Письма сразу шли в спам, а дальше уже почтовики учились фильтровать.

Размещённая же на хостинге почта "училась" отсекать этот мусор дольше (месяц-три). Но тоже справилась.

На текущий момент, может раз в несколько месяцев проскочить "залётное" письмецо, но, в целом, не беспокоят.

Share this post


Link to post
Share on other sites

Могу пояснить техническую сторону такого явления. Все дело в том, что первичная архитектура "почты" в априори не имеет средств валидации "отправителя". Т.е. поле "sender" может быть определено как угодно, независимо от того принадлежит ли вам домен или нет.

И к сожалению, целью такой "атаки" стали не непосредственно вы, а удаленный сервис. Есть конечно технологии "доверительных подписей", которую лидеры почтовых сервисов давно эксплуатируют, к примеру http://help.yandex.ru/mail/security.xml#dkim . Но дело именно в том, что цель атаки(какой то сервис) и ваша почта не поддерживает эту технологию, поэтому его и бьют "поддельными" запросами.

То что вам пришло(выше скриншот) - это видимо запрос подтверждения отправки какого-то письма. Единственное решение - не реагировать на него.

Arty220, ApxuBapuyc, PRammer and 1 other like this

Share this post


Link to post
Share on other sites

@zenn,

 

Спасибо, но тут дело в том, что только что от Хостера пришло оповещение о том, что из за жалобы, наш почтовый сервер прикрывают...

 

То ли кто то решил всерьез заняться сайтом моих подопечных, то ли я не знаю, что это за совпадения... 

Share this post


Link to post
Share on other sites

@zenn,

 

Спасибо, но тут дело в том, что только что от Хостера пришло оповещение о том, что из за жалобы, наш почтовый сервер прикрывают...

 

То ли кто то решил всерьез заняться сайтом моих подопечных, то ли я не знаю, что это за совпадения... 

Почтовый сервер другого хостера, при приеме сообщения сохраняет IP отправителя (sender`a) - если вас блокируют, значит сообщения были отправлены с вашего IP (возможно взлом и скрипт отправшик спама с вашего веб-сервера - отключить sendmail и использовать SMTP с паролем).

Arty220 likes this

Share this post


Link to post
Share on other sites

Ну что ж, коллеги, кому интересно, Уважаемый @zenn, был прав - вирус.

 

После обращения в поддержку выяснилось, что рассылка и правда осуществляется, при чем и в данный момент. На момент отключения сервера писем в очереди стояло 1341 письмо.

 

К чему я все это пишу....если Вы столкнетесь с данной проблемой, настоятельно рекомендую поставить из ISP либо через SSH (заодно и я эту штуку подучил) утилиту Clamav

 

Ставится с помощью команды: 

 

yum install clamav

 

После этого обновляем базу командой:

 

freshclam

 

Далее запускаем сканирование командой:

 

clamscan -r -i /var/www (где /var/www - это путь к директории которую нужно проверить.)

 

Очень надеюсь, что кому то будет полезно

 

п.с. Как они туда попали-науке неизвестно, скорее всего через письма

BlackMaN333, Arty220 and BayBackOff like this

Share this post


Link to post
Share on other sites

Ну что ж, коллеги, кому интересно, Уважаемый @zenn, был прав - вирус.

 

После обращения в поддержку выяснилось, что рассылка и правда осуществляется, при чем и в данный момент. На момент отключения сервера писем в очереди стояло 1341 письмо.

 

К чему я все это пишу....если Вы столкнетесь с данной проблемой, настоятельно рекомендую поставить из ISP либо через SSH (заодно и я эту штуку подучил) утилиту Clamav

 

Ставится с помощью команды: 

 

yum install clamav

 

После этого обновляем базу командой:

 

freshclam

 

Далее запускаем сканирование командой:

 

clamscan -r -i /var/www (где /var/www - это путь к директории которую нужно проверить.)

 

Очень надеюсь, что кому то будет полезно

 

п.с. Как они туда попали-науке неизвестно, скорее всего через письма

Ну хоть где-то я оказался правым. По поводу clamav - есть более лучший подход, его лучше запилить в крон и регулярно проверять логи(после 4х лет администрирования это как рецепт долголетия ваших проектов):

nano /etc/cron.daily/manual_clamscan

вносим:

/usr/bin/clamscan -i -r /var/www >> /home/clam_log.txt

ну и чмодим на execute:

chmod +x /etc/cron.daily/manual_clamscan

Ну а после проверяем свой clam_log.txt ежедневно, ну или по желанию  :)

Еще несколько рецептов для безопасности:

1. Распределение прав пользователей на директории проекта (убрать ненужный execute в директориях загрузки и там, где он не нужен)

2. Установить apache mod_status (отличный мониторинг нагрузки по доменам и файлам проекта - если есть спамный скрипт его будет очень просто найти)

3. Для проверки почтового сервера(проблема как у автора) - проще всего глянуть логи sendmail`a в реальном времени:

tail -f /var/log/maillog -n 50

4. Регулярно просматривать bash историю команд: 

history

Если увидели неизвестные команды - смотри логи авторизаций(centos, rhel):

tail -f /var/log/secure -n 50

Вот собственно и все  B)

Share this post


Link to post
Share on other sites

На сайте был вебмайл, его Засаживали спамом,  сайт переехал на новый домен и сменились ящики домена, на новом активировали майл бизнес и спам пропал.  На старом сделали редирект, но почта осталась(её не видно, идёт переход на новый сайт и новую почту) и её до сих пор засаживает спам ...

Т.е. я считаю что проблема в почтовом хосте ....

Но я не профи, а просто собственник сайта

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.