Попытка отследить поддельный e-mail с заголовками сервера

2116

У меня были некоторые проблемы с моим адресом электронной почты AOL (я знаю, никто не должен использовать AOL и т. Д., Но у нас есть, так как я был ребенком, и мы боимся перемен). Я получил бесчисленные уведомления от почтовой программы о неудачной доставке электронной почты на адреса в моей адресной книге AOL. Проблема в том, что я не отправлял электронные письма. Очевидно, кому-то удалось получить доступ к моему адресу электронной почты и адресной книге, взломав AOL или мой компьютер.

Я связывался с моим провайдером несколько раз, но у них было мало советов.

Однако теперь я получил одно из этих сообщений со спамом на другой адрес электронной почты и у меня есть полный список заголовков сервера. К сожалению, мой опыт (если можно так назвать) связан с веб-разработкой, а не с сервером / системным администратором, поэтому заголовки для меня очень мало значат. Я опубликую их ниже, и если кто-нибудь может помочь мне распаковать его и попытаться отследить этого раздражающего фрикера, я был бы очень признателен. Я, конечно, также отправил их в AOL. Сообщение является ссылкой на сайт, который я не настолько глуп, чтобы посетить.

Изменить: заголовки удалены - комментарий о предоставлении моего адреса в массы был прямо на деньги.

0
отправляя свою электронную почту несколько раз, вы просто стали спам-бейтом для примерно миллиарда других спам-ботов. Поздравляем! Nick Kavadias 13 лет назад 1
Проблема в том, что адрес электронной почты теперь живет до конца времени в истории изменений :) Mark Henderson 13 лет назад 0

4 ответа на вопрос

1
Bart Silverstrim

Две быстрые заметки. Во-первых, это не значит, что кто-то явно взломал ваш аккаунт. Раньше я отправлял письма другу с God@heaven.com, используя telnet для хихиканья (да, он знал об этом, я демонстрировал ему спуфинг). Если я отправлю электронное письмо на сервер с проверкой дерьма, используя ваш адрес электронной почты в качестве ответа, оно вполне может отразиться на вашем реальном аккаунте. Вы ничего не можете с этим поделать.

Во-вторых, есть бесчисленное множество людей, которые попадают в такую ​​ситуацию. Спамер, вероятно, установил ваш адрес в качестве адреса возврата или ответа. Вы не можете остановить это, и это обычно уменьшается или уходит через некоторое время. Лучшее, что я нашел, что это приводит к минимальным хлопотам (или, по крайней мере, к минимальной потере волос), - это создать фильтр на моем почтовом клиенте, который будет удалять сообщения, перемещать их в другую папку и / или стирать их при выходе из системы. В других случаях вы можете настроить фильтр нежелательной почты, чтобы перехватывать эти сообщения и скрывать их для вас, но это может привести к отсутствию реальных отказов сообщений.

Посмотрите в заголовках общую строку (или, если вам повезет, у нее есть общее тело сообщения) и создайте правило фильтрации или обучите систему фильтрации спама трактовать их как ненужные.

Худший вариант? У человека (забывшего свое имя) есть запись в Интернете, где она (кажется, это она) описала, как ее адрес электронной почты использовался одним из известных интернет-червей в качестве обратного адреса, и это наводнило ее электронную почту, поскольку люди достаточно глуп, чтобы ответить на него, вместе с отскоками. Я думаю, что она закончила тем, что сменила свой адрес электронной почты на старую коробку, поскольку количество отказов увеличивалось до тысяч в день.

Обычно это никогда не доходит до этой точки, хотя. Сначала попробуйте метод фильтрации.

РЕДАКТИРОВАТЬ: Я также добавлю, что даже если вы действительно отследить источник, шансы малы, что-нибудь будет сделано с этим. Если это ботнет, вы не можете найти один источник, он исходит от некоторого idgit, который, вероятно, не знает или не заботится о том, что их компьютер зомбирован. Если это от какого-то идиота, который считает спам законным маркетингом, они уверены, что @ #% не будут прислушиваться к вашим жалобам (вы «сопутствующий ущерб»). Если это иностранный провайдер, ну, опять же ... им все равно. Единственный, кто можетЗабота - это AOL, и если вы передали им информацию, а они пожали плечами, вы уже знаете, что им все равно. Они могли даже быть отключены в тот момент, когда вы сказали, что ваш аккаунт был "взломан"). Интернет-провайдеры обычно знают, отправляет ли кто-то спам. Они могут заработать на этом немного денег и уже сомнительны, потому что знают, что это приводит к появлению чёрных дыр и контр-спамерам. AOL, вероятно, уделил достаточно внимания вашему отчету, чтобы убедиться, что он не был создан в их сети, а затем отмахнулся от вас ...

I take your point about spoofing and understand how to do it, but I can still be sure of having been hacked because the addresses receiving the spoofed e-mails are ones in my AOL address book and not random ones. So the person doing it knows that these addresses are associated with my e-mail address. I am less concerned about the incoming mail as I am about the fact that some of the addresses are businesses and I don't want to end up blacklisted by them. 13 лет назад 0
Тогда первое, что нужно знать, это где хранятся эти адреса; на сервере веб-почты AOL или на вашем локальном компьютере? Bart Silverstrim 13 лет назад 0
Являются ли все адреса только из вашей адресной книги (для тети Тилли и вашего босса, которые не знают друг друга) или есть кто-то еще, кто бы указал ваш адрес электронной почты в своей книге, а также знает всех, кого вы видите отскок от? И в этом отношении, почему они подпрыгивают, если они только посылают на адреса вашей адресной книги, которые, я бы предположил, были известны как хорошие адреса? Довольно странно, если только ваш компьютер не заражен вредоносным ПО и не подвергается активному зомбированию. Bart Silverstrim 13 лет назад 0
AOL's address book automatically adds any addresses that you receive non-spam from or that you send e-mails to, and I've been using this SN for well in excess of 5 years, so there are loads of addresses, some now defunct. The e-mails are going to any and all addresses - personal and business. The address book is stored on AOL's server - I know this because there are many addresses accessible in it that predate the purchase of my current laptop. 13 лет назад 0
Случайный спамер, вероятно, не предназначался для вас конкретно, потому что это больше усилий, чем случайный сбор. Адреса генерируются случайным образом или собираются с помощью ботов большую часть времени. Это просто проще, чем нацелить Джона Доу на его конкретную информацию. Сканируйте свой компьютер на наличие вредоносных программ, используя такие инструменты, как Ad -ware и Spybot, чтобы увидеть, что находится в вашей системе. Проверьте свой маршрутизатор, если у него есть журналы исходящего соединения. Кроме того, вы могли получить данные своей учетной записи, если вы вошли в нее из зараженной системы. Bart Silverstrim 13 лет назад 0
0
joeqwerty

Для меня это выглядит как электронное письмо от ip-адреса 118.136.169.35, которое nslookup показывает как хост fm-ip-118.136.169.35.fast.net.id, который, вероятно, является ip-адресом, выданным провайдером одному из их клиентов., Это ваш IP-адрес? Вы можете узнать это, зайдя на сайт www.ipchicken.com и узнав, какой IP-адрес указан.

Если это так, то я бы сказал, что эти письма приходят с вашего компьютера \ сети. Я бы запустил проверку на наличие вредоносного ПО на вашем компьютере.

Не забывайте, что если IP является клиентом интернет-провайдера по коммутируемому или кабельному модему (и т. Д.), То это может быть просто зомби. Он должен совпадать по всем письмам (или большинству), чтобы увидеть, приходят ли они из ботнета или хоста идиотского маркетинга, если только вы не сказали, что IP - это OP ... вроде удивлен, что ваш ISP не блокировка исходящего порта 25 со всеми проблемами, которые провайдеры имеют с спамерами и ботнетами. Bart Silverstrim 13 лет назад 0
I checked at ipchicken.com and my IP address is not the one in the headers. However, I suspect that AOL assigns a random temporary IP address to users when they first connect in a day/however AOL defines a usage session. I will test this later. I have run a Spybot scan and a full McAfee scan in the last week. 13 лет назад 0
И вы сменили свои пароли, да? Bart Silverstrim 13 лет назад 0
0
Mark Henderson

Поздравляем, вы получили спам Backscatter . Это очень распространенный метод обхода спам-блоков и еще много чего.

0
Chris

У меня была такая же проблема, и я не думаю, что она подделывает, насколько я понимаю. Мало того, что я получил отскок назад (старые адреса в моей адресной книге), но у меня фактически есть исходящие электронные письма в моей отправленной папке. Значит, кто-то взломал мою адресную книгу.

Похоже, они пошли по списку в алфавитном порядке и отправили несколько электронных писем. Каждое письмо было отправлено на 5 или 6 адресов одновременно. McAfee обнаружил троян EXPLOITS-CVE2010-0840. Это было помещено на карантин, и я удалил его.

McAfee по-прежнему сообщает, что они обнаружили троян, но на этот раз карантина нет. Письма в ранние утренние часы 2 дня подряд. Я заблокировал свой брандмауэр на следующую ночь, а на следующее утро никаких писем не было. На 4-е утро он отправил электронные письма около 7 утра, но большинство пришло в норму, вероятно, потому что мой брандмауэр был заблокирован.

Сообщение электронной почты имеет словесное выражение "Вы будете выглядеть как суперзвезда! ..", за которым следует ссылка. Строка темы в исходящих письмах гласит «RE:», за которой следует номер. Каждое письмо имеет свой номер.

Похожие вопросы