* Через нас идет спам?

04.06.2013 11:51

Хм. Неприятно... На всех компах стоит антивирус (симантек), а пароль использовали только в одноклассниках, но там нет связи с нашим доменом, емейл указан совсем другой... Так что даже не знаю... Поменять пароль, понятно, не проблема, пугает сам факт.

Спасибо!

wikipost

05.06.2013 12:06
ред: 05.06.2013 12:08

Продолжаю копаться в журналах на предмет вторжений. Нашла сотни записей вида:

2013-06-04 05:50:57;78.186.166.240;backup@;94207;4636;IN;AUTH LOGIN 2013-06-04 05:50:57;78.186.166.240;backup@;94206;4320;IN;AUTH LOGIN 2013-06-04 05:50:57;78.186.166.240;backup@;94203;212;IN;AUTH LOGIN ... 2013-06-04 05:50:58;78.186.166.240;backup@;94206;4320;IN;QUIT 2013-06-04 05:50:58;78.186.166.240;backup@;94206;4320;OUT;221 Goodbye. 2013-06-04 05:50:58;78.186.166.240;backup@;94203;212;IN;QUIT 2013-06-04 05:50:58;78.186.166.240;backup@;94203;212;OUT;221 Goodbye. 2013-06-04 05:50:58;78.186.166.240;backup@;94207;4636;IN;QUIT 2013-06-04 05:50:58;78.186.166.240;backup@;94207;4636;OUT;221 Goodbye. ...

Вроде же должна быть блокировка после 10 неудачных попыток авторизоваться? А почему тогда Eserv продолжает "общаться" с этим IP? В управлении сервером, в "попытках авторизации", действительно перечислено только 10 попыток с этого IP, но в журнале их намного больше.
И по поводу вчерашнего вопроса: объясните, пожалуйста: подряд идущие строки:

... ...;IN;AUTH LOGIN ...;IN;RSET ...;OUT;250 Reset state ...;IN;MAIL FROM:<> ...

говорят ли о том, что авторизация удалась? Если да, то беда совсем! Ситуация продолжается после смены пароля, и вчера, и сегодня, по-прежнему встречаются AUTH LOGIN и RSET. Спасает только то, что в поле MAIL FROM: они ставят наши же адреса, а у меня отправки от имени нашего домена запрещены фильтром для не локальных IP. А во вчерашнем случае MAIL FROM: был пустой, и враг прошел

wikipost

05.06.2013 14:17

matveeva пишет: А почему тогда Eserv продолжает "общаться" с этим IP?

Он с ним "понарошку" общается, сразу давая отлуп, не нагружая базы (пишет только в текстовые логи acSMTP.log и т.д.) Просто закрывать соединение смысла нет, т.к. будет просто чаще подключаться. А так он думает, что успешно перебирает пароли...

matveeva пишет: говорят ли о том, что авторизация удалась? Если да, то беда совсем!

А у вас случайно IP-авторизация ему не назначается? Вот такие штуки подозрительны:

78.186.166.240;backup@

wikipost

05.06.2013 14:42

ac пишет: А так он думает, что успешно перебирает пароли...

))

ac пишет: А у вас случайно IP-авторизация ему не назначается?

У меня у всех заведенных "живых" пользователей назначен их локальный IP в уч. записи. нешних IP там нет. Сейчас проверю...Ну да, правильно, все IP Из 192.168...

wikipost

05.06.2013 15:11

Файл:

acSMTP debug [462953 bytes]

Перед заменой exe переименуйте acSMTP.log в old, чтобы новый создался. И если в новом логе заметите подобные подозрительные сессии, то вышлите мне acSMTP.log, directory.db3 и SMTP-лог за это время. Спасибо!

wikipost

05.06.2013 15:29

Ок. Сделаю. Спасибо!

wikipost

17.06.2013 01:21

К нашему серверу тоже взломщики неравнодушны. Последние несколько дней целенаправленно ломают именно мою почту:

2013-06-14 15:10:39: ac bond007ac — blocked 221.172.124.22 [1767]
2013-06-14 15:10:41: ac murphyac — blocked 221.172.124.22 [1768]
2013-06-14 15:10:43: ac 987654ac — blocked 221.172.124.22 [1769]
2013-06-14 15:10:45: ac letmeinac — blocked 221.172.124.22 [1770]
2013-06-14 15:10:47: ac amandaac — blocked 221.172.124.22 [1771]

2013-06-10 08:50:56: support@eserv.ru jennifer — blocked 183.236.35.235 [232]
2013-06-10 08:50:57: support@eserv.ru jessica — blocked 183.236.35.235 [233]
2013-06-10 08:50:59: support@eserv.ru master — blocked 183.236.35.235 [234]
2013-06-10 08:51:00: support@eserv.ru michael — blocked 183.236.35.235 [235]
2013-06-10 08:51:02: support@eserv.ru michelle — blocked 183.236.35.235 [236]
2013-06-10 08:51:03: support@eserv.ru mishael — blocked 183.236.35.235 [237]

wikipost

17.06.2013 01:23

Интересно, что они хотят там найти... Просто проспамиться от моего имени, или может хотят помочь с техподдержкой

wikipost

17.06.2013 14:32

Вернулась из отпуска, увидела аналогичные строки и у себя. Забавно, что в том числе бомбят и учетку, которая у меня заведена для сохранения всей почты ( на нее автоматом дублируются все входящие — типа для архива). И этот логин точно нигде не светился. Вот интересно, откуда они его взяли... На всяк. случай вышлю Вам журналы, вдруг там криминал какой найдете.

Интересно, что они хотят там найти...

Конечно, помочь! Что ж еще-то! Они ж тоже специалисты знающие, скучают без настоящего дела

))) Кстати, судя по паролям — иностранные романтичные граждане

))
Спасибо!

wikipost

26.06.2013 11:38
ред: 26.06.2013 12:31

Опять беда

Опять враг прорвался... Уже не знаю даже, что делать...

Пароль поменяла три недели назад. На компе стоит Symantec Endpoint Protection, базы обновляются.
А как запретить отправку почты от пустого адресата? У меня есть такое правило:

Стадия протокола mailfrom IP не равен ..\LocalIP.txt MAIL FROM ..\FromBlack.txt Выполнить smtpRefuse с параметрами CloseConnection FALSE

В файл FromBlack.txt кладу шаблоны адресов, от которых часто идет спам, по этому фильтру много входящих писем отсекается. Но враг ничего не указывает в поле MAIL FROM:

5720;900;IN;MAIL FROM:<>

Фильтр не срабатывает, рассылка на целую кучу адресов производится. Как в файле шаблонов указать пустую строку? Или отдельный фильтр сделать на обязательное наличие этого поля, а потом проверить существующим фильтром?
Вражеский IP забанила, пароль поменяла, но, видимо этого мало

В acSMTP.log записей не было за этот день. На всяк. случай вышлю что есть.
Спасибо.
UPD
Сделала быструю проверку Kaspersky Security Scan, ничего не обнаружено, кроме некоторых рекомендаций по безопасности (IE И автозапуск). На ночь запущу полную проверку.

wikipost

26.06.2013 13:10

Пустой FROM запрещать нельзя, т.к. это специальный адрес, от которого приходят уведомления о недоставке (если промежуточный сервер принял от вас, а конечному получателю доставить не смог, то "разворот" к вам придёт с этого адреса). Это по стандарту, поэтому при блокировке можете попасть в черные списки rfc-ignorant и т.п. Но если очень надо, то можно правило "MAILFROM NIP 0=" использовать (даёт TRUE при пустом MAILFROM). Или "MAILFROM NIP 0= UID @ AND" (авторизованный пользователь, но пустой MAILFROM — вот так уже не бывает в природе, т.к. в норме возвраты идут анонимно).

Это в версии acSMTP от 5 июня прошло?

После того как вы сменили пароль (до установки явной блокировки фильтром по IP) — спам перестал идти?

Касперский наверняка проверил, но на всякий случай загляните в файл "hosts", не перенаправляют ли вас на другой сервер. Если получаете свою почту без SSL, то переключите на SSL-порт, или на 25м порту в "STARTTLS"-режиме. Проверить на вирусы надо не столько сервер, сколько те компьютеры, с которых вы запускаете свои почтовые клиенты или браузер.

wikipost

26.06.2013 15:28
ред: 26.06.2013 15:29

ac пишет: Это в версии acSMTP от 5 июня прошло?

да

ac пишет: загляните в файл "hosts"

127.0.0.1 localhost

ac пишет: Проверить на вирусы надо не столько сервер, сколько те компьютеры, с которых вы запускаете свои почтовые клиенты или браузер

Да, конечно, проверяла клиентский комп.

ac пишет: После того как вы сменили пароль (до установки явной блокировки фильтром по IP) — спам перестал идти?

Он не таким потоком шел, чтобы статистику набрать. Первый раз поменяла 04/06/2013, как и написала в первом сообщении. И сегодня увидела рассылку. Появляется письмо, что Eserv не смог доставить сообщение по какому-то левому адресу, стала смотреть, увидела, что была рассылка от моего имени по большому списку. Так и обнаружила. Несколько дней в журналах навскидку посмотрела, подобного не видела. Если бы все письма ушли без проблем, то и не заметила бы.
Про SSL сейчас буду курить, у нас стоит все по умолчанию, некоторые сессии идут по SSL (и пишутся логи в SMTPS), но мне казалось, что это отправляющий сервер определяет, как будет передавать.

ac пишет: авторизованный пользователь, но пустой MAILFROM

А чтобы это совместить с моим правилом ( я выше его приводила-26.06.2013 12:38), надо добавить так?

Название BadSpammer Стадия протокола mailfrom IP не равен ..\LocalIP.txt Правило "MAILFROM NIP 0= UID @ AND" Выполнить smtpRefuse с параметрами CloseConnection FALSE

Тогда отрубятся и авторизованные с пустым MAILFROM, и присутствующие в моем FromBlack.txt, так?
Но все равно непонятно главное: откуда они, эти левые авторизованные, берутся-то? Неужели указывают правильный пароль? Не понимаю...

Андрей, а Вы получили от меня файлик с журналами, а то не совсем уверена, что правильно отправила...
Спасибо!

wikipost

26.06.2013 19:15

matveeva пишет: откуда они, эти левые авторизованные, берутся-то? Неужели указывают правильный пароль?

Ответ, как обычно, в логе. Давайте смотреть начало сессии, в которой была эта дивная рассылка.

wikipost

26.06.2013 21:13

А лог приведен в первом посте. Или что-то другое нужно?

wikipost

26.06.2013 21:28
ред: 26.06.2013 21:32

matveeva пишет: Андрей, а Вы получили от меня файлик с журналами, а то не совсем уверена, что правильно отправила...

Да, получил. Там спамер успешно использует явную авторизацию по LOGIN, причем лог действительно аналогичен приведенному выше от 4 июня, даже тот же EHLO ORTOFYSREOOJ8ER. Отличие только в том, что в этот раз ему отправить ничего не удаётся, т.к. заблокирован вашим фильтром.

wikipost

26.06.2013 21:34

Явная авторизация — это он знает пароль, значит?

wikipost

26.06.2013 21:35

ac пишет: Отличие только в том, что в этот раз ему отправить ничего не удаётся, т.к. заблокирован вашим фильтром

Это первые пару раз не получилось (ночные заходы). А потом с пустым MAILFROM очень даже удалось

wikipost

26.06.2013 21:46
ред: 26.06.2013 21:48

matveeva пишет: А лог приведен в первом посте.

Там чётко пароль подошёл. Но по тому логу вы же вроде меры приняли, пароль поменяли. А в свежем, где "Опять враг прорвался", то же самое?

matveeva пишет: была рассылка от моего имени

То есть, авторизовались вашим логином? Пароль на учётную запись на момент рассылки насколько сложный был? И его подобрали? С какого IP рассылка была — с чужого внешнего?
По каждому конкретному случаю надо выяснять картину и причину, гадание по логам трёхнедельной давности неконструктивно.

Если вы меняете пароль на достаточно сильный, а на следующий день его без попыток подбора уже используют спамеры — ваш пароль уводят, ищите шпиона у себя.

wikipost

26.06.2013 21:46

matveeva пишет: Про SSL сейчас буду курить, у нас стоит все по умолчанию, некоторые сессии идут по SSL (и пишутся логи в SMTPS), но мне казалось, что это отправляющий сервер определяет, как будет передавать.

Отправляющий сервер (MTA) — да, сам определяет. Но там паролей нет, т.е. нечего скрывать кроме текстов писем. А вот когда пользовательский почтовый клиент почту принимает/передаёт, используется авторизация, которую можно перехватить, если сессия идёт по открытому каналу.

wikipost

26.06.2013 21:48

pig пишет: Если вы меняете пароль на достаточно сильный, а на следующий день его без попыток подбора уже используют спамеры — ваш пароль уводят, ищите шпиона у себя.

Теоретически еще может быть хитрый баг в Eserv'е или ошибка в настроенных фильтрах. Елена все нужные файлы прислала, разбираюсь.

wikipost

26.06.2013 21:53

по очереди

pig пишет: А в свежем, где "Опять враг прорвался", то же самое?

Да, там все аналогично
Логин мой, пароль сложный случайный (10 дурацких знаков), сомневаюсь, что можно подобрать, IP внешний, чужой. Логи очень схожи по сути.

pig пишет: ищите шпиона у себя

Вот как? Антивирус стоит, этот пароль используется только в Outlook Express и для доступа к управлению Eserv. Не на след. день, прошло три недели, хотя это в принципе одно и то же.

ac пишет: А вот когда пользовательский почтовый клиент почту принимает/передаёт, используется авторизация, которую можно перехватить, если сессия идёт по открытому каналу.

Так открытого канала-то нет. Все внутри локалки. Веб-клиентом не пользуемся...

wikipost

26.06.2013 22:44

Спамер с китайского IP chinatelecom, и спамит на китайские адреса.

matveeva пишет: Вражеский IP забанила, пароль поменяла, но, видимо этого мало

Кстати, в присланном логе спамер банится по MAIL FROM, но пароль у него подходит всё время вплоть до 10:47 (когда последняя сессия просто прерывается без участия фильтров). Вы в какое время меняли пароль и банили IP?

wikipost

26.06.2013 22:48

matveeva пишет: Веб-клиентом не пользуемся...

matveeva пишет: пароль используется [...] и для доступа к управлению Eserv.

А в HTTP-логе ничего подозрительного не делается с вашим логином?

wikipost

27.06.2013 09:13

ac пишет: Вы в какое время меняли пароль и банили IP?

Если речь идет именно о вчерашнем дне, то меняла пароль и банила уже после обнаружения, примерно в 12:30. Т.е. отправленный лог — до изменения. Увидела следы рассылки, стала искать, нашла подтверждение в логах, остановила все службы Eserv, скопировала directory.db3 и SMTPлог, запустила службы снова,забанила, поменяла пароль. Примерно так. Первый раз меняла пароль три недели назад.

ac пишет: А в HTTP-логе ничего подозрительного не делается с вашим логином?

Посмотрела, вроде бы нет. Сейчас вышлю на всяк. случай.

wikipost

27.06.2013 13:54

В сегодняшних журналах опять вижу аналогичную картину:

2013-06-27 04:38:32;121.206.71.129;@;728;788;OUT;220 Eserv v4.32.4948 ESMTP. Thu, 27 Jun 2013 04:38:32 +0500 () 2013-06-27 04:38:32;121.206.71.129;@;728;788;IN;EHLO wbgmtbio 2013-06-27 04:38:32;121.206.71.129;@;728;788;OUT;250-нашдомен Hello [121.206.71.129] 250-AUTH PLAIN LOGIN 250-AUTH=LOGIN 250-SIZE 30000000 250-STARTTLS 250-8bitmime 250-BINARYMIME 250 HELP 2013-06-27 04:38:32;121.206.71.129;нашюзер@;728;788;IN;AUTH LOGIN 2013-06-27 04:38:33;121.206.71.129;нашюзер@нашдомен;728;788;IN;RSET 2013-06-27 04:38:33;121.206.71.129;нашюзер@нашдомен;728;788;OUT;250 Reset state 2013-06-27 04:38:34;121.206.71.129;нашюзер@нашдомен;728;788;IN;MAIL FROM:<нашюзер@нашдомен> 2013-06-27 04:38:34;121.206.71.129;нашюзер@нашдомен;728;788;FILTER;нашюзер@нашдомен;;;FromBlacklList;mailfrom 2013-06-27 04:38:34;121.206.71.129;нашюзер@нашдомен;728;788;OUT;550 denied (filter, CloseConnection FALSE) 2013

Значит ли это, что враг опять успешно прологинился?

wikipost

27.06.2013 14:19

Это тот же самый "вашюзер" или уже другой?

Попробуйте создать в OutlookExpress'е (у вас он?) дополнительную учетную запись с логином, соответствующим одной из взломанных учеток, и произвольным паролем — получится отправить письмо?

wikipost

27.06.2013 14:21
ред: 27.06.2013 14:28

ac пишет: Это тот же самый "вашюзер" или уже другой?

тот же самый

ac пишет: Попробуйте создать в OutlookExpress'е (у вас он?) дополнительную учетную запись

Ок. Сейчас.

Нет, ну нет, конечно. Спрашивает имя и пароль для подключения к серверу.
В журнале SMTP появляется группа записей на каждую попытку. Последняя записью для каждой попытки — ;IN;AUTH LOGIN

wikipost

27.06.2013 15:03

В файле acSMTP\conf\OnStartup.rules.txt после smtp\OnLogin добавьте переопределение этой функции так:

: smtp\OnLogin 5309 LOG S" auth" EvalFilters IF EXIT THEN S" Relay[ProxyMode]" EVALUATE >FLAG IF smtp\ProxyOnLogin ELSE smtp\LocalOnLogin THEN ; : smtp\OnLogin 5309 LOG UID @ Pass User CLIENT " 1:{s};{s};{s};{n}{CRLF}" STYPE CR S" auth" EvalFilters IF EXIT THEN UID @ Pass User CLIENT " 2:{s};{s};{s};{n}{CRLF}" STYPE CR S" Relay[ProxyMode]" EVALUATE >FLAG IF smtp\ProxyOnLogin ELSE smtp\LocalOnLogin THEN UserEmail UID @ Pass User CLIENT " 3:{s};{s};{s};{n};{s}{CRLF}" STYPE CR ;

После перезапуска в логе acSMTP будут появляться логины с паролями, используемыми авторизующимися клиентами. Совпадёт?

wikipost

27.06.2013 15:07

Строка S" auth" EvalFilters — это вычисление фильтров. Не исключено (теоретически), что какая-то ошибка в их настройке вами или в интерпретации сервером приводит к ошибочной установке UID еще до выполнения реальной авторизации внутри smtp\LocalOnLogin — это мы тоже проверим по этому логу.

wikipost

27.06.2013 15:41
ред: 27.06.2013 15:42

ac пишет: В файле acSMTP\conf\OnStartup.rules.txt после smtp\OnLogin добавьте переопределение этой функции так

Туплю...
Надо заменить старый фрагмент

: smtp\OnLogin 5309 LOG S" auth" EvalFilters IF EXIT THEN S" Relay[ProxyMode]" EVALUATE >FLAG IF smtp\ProxyOnLogin ELSE smtp\LocalOnLogin THEN ;

новым

: smtp\OnLogin 5309 LOG UID @ Pass User CLIENT " 1:{s};{s};{s};{n}{CRLF}" STYPE CR S" auth" EvalFilters IF EXIT THEN UID @ Pass User CLIENT " 2:{s};{s};{s};{n}{CRLF}" STYPE CR S" Relay[ProxyMode]" EVALUATE >FLAG IF smtp\ProxyOnLogin ELSE smtp\LocalOnLogin THEN UserEmail UID @ Pass User CLIENT " 3:{s};{s};{s};{n};{s}{CRLF}" STYPE CR ;

?
Или добавить новый под старым?

wikipost

27.06.2013 20:49

Добавьте новый, это отладка, которую потом можно убрать. Поругается при старте на неуникальность имён, но это не страшно.

wikipost

27.06.2013 21:36

А я заменила

)). Но , не страшно, я думаю, т.к. следы AUTH LOGIN в журнале уже видела (пока все наши). А потом просто восстановлю, как было. Спасибо!

wikipost

28.06.2013 09:21

А можно в журнал выводить еще и дату-время, чтобы легче потом с другими журналами склеивать?

wikipost

28.06.2013 10:47

Да, конечно: заменить " 1:{s};{s};{s};{n}{CRLF}" на " {YYYY-MM-DD} {hh:mm:ss}:1:{s};{s};{s};{n}{CRLF}" и т.д.. Кстати там после STYPE надо убрать CR, т.к. CRLF уже есть в печатаемой строке. Будет компактнее запись.

wikipost

28.06.2013 10:52
ред: 28.06.2013 10:54

Спасибо! Поправила.
К этому моменту в журнале появились две "плохие" записи-попытки прологиниться, но обе с паролем 123 и к тому же и фильтром отсекаются по MAIL FROM

wikipost

28.06.2013 11:25

matveeva пишет: обе с паролем 123 и к тому же и фильтром отсекаются по MAIL FROM

А авторизацией отсекаются?

— последнее поле этого лога остаётся нулём или нет?

wikipost

28.06.2013 11:36

1:36.1.39.1;нашюзер;123;0 2:36.1.39.1;нашюзер;123;0 3:36.1.39.1;нашюзер;123;4294967294;нашюзер@нашдомен

вот так это выглядело в обоих случаях

wikipost

28.06.2013 11:54

Беда

А если локально авторизуетесь с этим паролем (временно отключив фильтр по mail from) — пустит?

wikipost

28.06.2013 12:46

сделал в outlook express новую учетку с этим логином и паролем 123, отключила фильтр. Сообщение ушло

Афигеть! С другим паролем не проходит! Это что, у меня есть учетка с таким логином и праолем 123

Иду смотреть... (логин тот же самый, что и во всез предыдущих постах со сложным паролем...) Множественность уч. записей?

wikipost

28.06.2013 12:55

matveeva пишет: 4294967294

Это "-2" — спец.учетка администратора. Её пароль задается в ini. Там не мог быть "123"?

wikipost

28.06.2013 13:11
ред: 28.06.2013 13:13

E4.ini:
AdminPass=202cb962ac59075b964b07152d234b70
AdminUser=нашюзер
Это и есть 123 ?
Можно эти строки оттуда просто удалить? Или там про админа должно быть написано? А как это туда попадает? Это мне еще повезло, что не сильно к нам приставали

))

wikipost

28.06.2013 13:33
ред: 28.06.2013 13:36

S" 123" MD5 TYPE 202cb962ac59075b964b07152d234b70 Ok

Меняется через "Информация/Администратор" в консоли управления.

matveeva пишет: Это мне еще повезло, что не сильно к нам приставали

Угу. Повезло, что логин администратора не "admin", "administrator" или "postmaster", которые подбирают чаще всех.

matveeva пишет: Кстати, судя по паролям — иностранные романтичные граждане ))

Вот вас тоже ломали иностранные романтики. С паролем разобрались, а вот как они логин подобрали (иностранные романтики вряд ли знают русские фамилии)... Хотя, админский email ведь используется в отлупах о недоставке — т.е. он сам по себе иногда "сдаётся" отправителям (в т.ч. спамерам, если спам не опознался) — если Eserv принял письмо для пересылки куда-то, но переслать не смог, то письмо возвращается от имени админа.

wikipost

28.06.2013 14:10
ред: 28.06.2013 14:11

Уффф. Изменила...
Стандартные логины, особенно "админские" стараюсь не использовать никогда

У меня админский логин совпадал с юзерским. Наверное, имеет смысл его вообще другим делать? Или все-таки он должен присутствовать среди уч. записей?

wikipost

28.06.2013 14:23

Админский логин "неявно" всегда присутствует среди других. Он специально сделан отдельным, в ini, чтобы работать независимо от иных обстоятельств, в т.ч. поломки БД или неправильных настроек доменов и т.д. Если в домене есть совпадающий логин, но с другим паролем, то будут работать оба, права будут назначаться в зависимости от контекста. А email админа может быть и внешним при необходимости — главное чтобы "доставлябельным", иначе возможны зацикливания при недоставке.

wikipost

28.06.2013 15:16
ред: 28.06.2013 15:50

Понятно

Заменила админский логин на новый, чтобы не путались, адрес email поставила свой.
Запись в журнал об авторизациях отключать не буду, пусть пишет, понаблюдаю пока (вот уже опять пытаются с паролем 123 пролезть

)))
Так что, наверное, можно считать инцидент исчерпанным.

))))
Большое спасибо всем "детективам" за помощь

wikipost

atest-t

25.08.2014 10:08

На выходных тоже взломали одну учётку и так расстарались, что 8 гигов оперативки были исчерпаны и acSMTP упал.
Так вот вопрос — в таких случаях нужно что-то дополнительное предпринимать, чтобы репутация айпи меньше пострадала? Например от имени постмастера предупредить крупные почтовики о том, что случилось. Или достаточно остановить поток спама и сменить пароль?

wikipost

25.08.2014 11:17

IMHO — посмотреть на последствия. Если где-то начнут отпинывать на основании чёрного списка — принять меры к делистингу.
Партнёров предупредить — это невредно, будут в курсе, если на их стороне отпинывание начнётся.

wikipost

atest-t

29.08.2014 08:38

Таки пришлось связываться с AOL и MSN, а также barracudacentral.
Оно и понятно — за одно 23 число 500 Мб лога SMTP

wikipost

omega23

18.03.2016 05:42

На днях столкнулся с подобной ситуацией.
С ящика пользователя вроде бы идет спам, о чем мы по утрам узнаем по сообщениям о невозможности доставить письма на целую кучу адресов. Почему "вроде бы" — неоднократная смена пароля ящика результата не дала, привязка ящика по МАС-адресу (и смена пароля без записи оного на компе пользователя) то же. Спам от него вроде бы продолжает сыпаться. Проверка двумя антивирусами — всё чисто. Самое интересное — рассылка происходит ночью, когда комп выключен. Поэтому комп пользователя отпадает. Возникает вопрос: как плохой человек умудряется подключатся и делать рассылку. Я понимаю, что можно где-то как-то перехватывать пароль, но как он обходит привязку к ящику по МАС-адресу? Где искать дыру и чем латать?

wikipost

18.03.2016 07:47

Самая большая дыра — в протоколе SMTP, который позволяет указать произвольный адрес отправителя. Надо внимательно изучить сообщения о недоставке. Возможно, что спам шлют как раз пользователю: расчёт на интерес "а что же это я такое отправлял?".

wikipost

18.03.2016 11:55

Если спам действительно отправляли через ваш Eserv, то доставкой занимался он и, соответственно, возвращает почту тоже он. Тогда в теме письма будет Eserv'ное "CAN'T DELIVER MESSAGE ..." и внизу письма ссылка на лог с попытками доставки.

По заголовкам Received в возвращаемых письмах можно понять, откуда они попали на Eserv и с какой авторизацией (авторизация может быть от одной учетной записи, а адрес отправителя другой — если не включать специально опцию проверки их соответствия).

После смены пароля можно на всякий случай перезапустить службы, чтобы прервать возможные текущие активные сессии этого отправителя (авторизация только в начале коннекта) и заодно быстро сбросить кэш авторизации.

wikipost

omega23

21.04.2016 03:40

В заголовке стоит неизвестный IP-адрес.
Message-ID: <d41d8cd98f00b204e9800998ecf8427e$am@мой почтовик.ru>
Received: from [151.57.109.241] (port=44990 helo=SAMSUNG-PC.www.huaweimobilewifi.com) by мой почтовик.ru (acSMTP/4.31.4863) with ESMTP id 2529.0.2258924 (envelope-from <> auth=argunova@мой почтовик.ru)
Авторизация, как я понимаю, происходит под учеткой пользователя? Или это просто подмена?

wikipost

omega23

21.04.2016 03:53

И вопрос в догонку: привязка по МАС-адресу исключает необходимость использования пароля или она работает как то по иному?

wikipost

21.04.2016 07:42

omega23 пишет: Авторизация, как я понимаю, происходит под учеткой пользователя?

Есть авторизация.

wikipost

06.06.2017 12:55

Здравствуйте!
Пользуюсь нативным почтовым клиентом на айфоне, настроена учетка IMAPS/SMTPS еще с прошлого года.
С прошлой недели спамеры начали рассылать из под нее спам.
Смена пароля помогает, но только пока айфон в локалке.
Как только выхожу по LTE сразу через 3-10 мин перехватывают пароль и начинают бомбить с нескольких внешних IP.
Подозреваю, что проблема в нативном клиенте айфона, которая появилась после выхода iOS 10.3.2 т.к. раньше такой проблемы не было ну или нашли дыру в acIMAP/acSMTP. server.cer у меня просроченный, видимо он перестал нравится айфону и тот авторизуется без SSL что и приводит к перехвату.
Как сделать новый самоподписной но не просроченный сертификат?
Что еще посоветуете?
Больше никто не жалуется?
Сможете проверить перехват со своих яблочных девайсов на своем сервере на тестовом аккаунте?

wikipost

06.06.2017 17:01

pva пишет: Как сделать новый самоподписной но не просроченный сертификат?

Смотрите в сторону OpenSSL.

wikipost

07.06.2017 10:58

сделал через acWEB5, уже 12 часов полет нормальный, тьфу тьфу тьфу

wikipost

07.06.2017 22:32
ред: 07.06.2017 22:33

Как сделать новый самоподписной но не просроченный сертификат?

Сейчас уже бесплатно можно делать несамоподписанные сертификаты через letsencrypt. Можно даже ничего не устанавливая сделать сертификат для вашего домена прямо в браузере:

https://zerossl.com/free-ssl/#crt

(полученный там ключ и сертификат записать в файл cert\server.pem или cert\ваш.домен.pem по образцу Eserv'ных сертификатов).

wikipost

08.06.2017 10:22

Обновление самоподписного сертификата не помогло, вечером опять пароль угнали

wikipost

08.06.2017 14:02

Надо по логам глядеть, как айфон подключается — SSL там или где. Кстати, старые версии SSL скомпрометированы на предмет лёгкости взлома, надо посмотреть, что OpenSSL (там те же библиотеки, что и в Eserv) по этому поводу пишет.

wikipost

08.06.2017 16:32

вот вчерашний лог iMAPS до угона пароля
2017-06-07 00:24:47;95.165.54.248;@;IN;126;3880;;2 LOGIN pva@moct.ru 55777755pva
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;;* CAPABILITY IMAP4rev1 LITERAL+ IDLE

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;;2 OK LOGIN completed (pva@moct.ru)

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;IN;126;3880;;3 CAPABILITY
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;;* CAPABILITY IMAP4rev1 AUTH=LOGIN IDLE STARTTLS QUOTA NAMESPACE ACL RIGHTS=texk

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;;3 OK CAPABILITY completed

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;IN;126;3880;;4 SELECT INBOX
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* FLAGS ($Forwarded $MDNSent \Answered \Flagged \Deleted \Draft \Seen $label1 $label2 $label3 $label4 $label5 Junk NonJunk Hidden ambiguous)

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* 1 EXISTS

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* 0 RECENT

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* OK [UIDVALIDITY 590] UID validity status

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* OK [PERMANENTFLAGS ($Forwarded $MDNSent \* \Answered \Flagged \Deleted \Draft \Seen)] Permanent flags

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* OK [UIDNEXT 4200] Predicted next UID

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;4 OK [READ-WRITE] SELECT completed (INBOX)

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;IN;126;3880;INBOX;5 UID SEARCH 1:* NOT DELETED
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* SEARCH
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX; 4199
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;5 OK SEARCH completed

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;IN;126;3880;INBOX;6 UID FETCH 4199 (UID FLAGS)
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* 1 FETCH (UID 4199 FLAGS (\Seen clear))

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;6 OK UID FETCH completed

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;IN;126;3880;INBOX;7 UID SEARCH UID 1:4198 UNSEEN UNDELETED
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* SEARCH
2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;

2017-06-07 00:24:47;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;7 OK SEARCH completed

2017-06-07 00:24:51;95.165.54.248;pva@moct.ru;IN;126;3880;INBOX;8 UID SEARCH 1:* DELETED
2017-06-07 00:24:51;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;* SEARCH
2017-06-07 00:24:51;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;

2017-06-07 00:24:51;95.165.54.248;pva@moct.ru;OUT;126;3880;INBOX;8 OK SEARCH completed

2017-06-07 00:25:00;95.165.54.248;@;IN;127;4156;;1 CAPABILITY
2017-06-07 00:25:00;95.165.54.248;@;OUT;127;4156;;* CAPABILITY IMAP4rev1 AUTH=LOGIN IDLE STARTTLS QUOTA NAMESPACE ACL RIGHTS=texk

2017-06-07 00:25:00;95.165.54.248;@;OUT;127;4156;;1 OK CAPABILITY completed

wikipost

09.06.2017 12:33

Если именно IMAPS, то это SSL. А IMAP рядышком случайно не лежит?

wikipost

http://fridahansdotter.com/javascript.php?s=61&42j4h1EkhTUdoA9FJqG=grdtcq&Dtf=G7Z&7=Dzwvx

09.06.2017 16:15
ред: 09.06.2017 16:17

Логов IMAP нет, т.к. им не пользуются почти.
Есть 201706move.txt, но в нем только перемещения в spam и архив.
В acIMAP.log спамерный ботнет продолжает ломится с последним угнанным паролем
2017-06-09 14:07:39: pva@moct.ru 55777755pva — blocked 82.148.0.138 [42]
2017-06-09 14:07:50: pva@moct.ru 55777755pva — blocked 82.148.0.138 [43]
2017-06-09 14:49:10: pva@moct.ru 55777755pva — blocked 82.148.0.138 [44]
2017-06-09 14:49:24: pva@moct.ru 55777755pva — blocked 82.148.0.138 [45]
2017-06-09 15:26:06:IMAPS pva@moct.ru(pva) 55777755pva — not authorized 213.87.148.92 [1]

А вот с логом IMAPS что-то непонятное...
За сутки в него наваливает по 2Гб спамерских сообщений после последнего пробития + сообщения из архивного ящика со всеми вложениями в MIME, как и зачем это попадает в IMAPS лог я не понимаю. Архивный ящик я от спама очищал, папку Удаленные элементы тоже.

Received: from [188.164.203.122] (port=48579 helo=evangeloskarapetsas.com) by mx.moct.ru (acSMTP/4.31.4863) with ESMTP id 6383.0.825209 (envelope-from <pva@moct.ru> auth=pva@moct.ru) for <g.manni1987@libero.it>; Thu, 08 Jun 2017 06:41:18 +0300
Reply-To: "Donya 1Lombardi" <pva@moct.ru>
From: "Donya 1Lombardi" <pva@moct.ru>
To: <g.manni1987@libero.it>
Subject: La coppia della famiglia cerca una ragazza per il sesso.
Date: Thu, 8 Jun 2017 06:41:02 +0300
Message-ID: <a48203272976ea98ed36f2667ecabbf5@evangeloskarapetsas.com>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="

=_NextPart_000_1999_01D2E03B.FF171200"
X-Mailer: PHPMailer 5.2.14 (

https://github.com/PHPMailer/PHPMailer)
Thread-Index: AQIYLVordQLwMmr/rsXPMvYfK8xu1A==
X-OlkEid: 00000000A2BAB482EFF3C341ACC1062E03A1B2EC0700C3B68E10F77511CEB4CD00AA00BBB6E600000000000B0000362B59A29B64104B9429852D4C277DF2000000005D5900008FC08136E3844E408D64EF18D43C8B42

This is a multipart message in MIME format.

=_NextPart_000_1999_01D2E03B.FF171200
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Sono stufa di masturbare le sere.
Cerco un uomo per le relazioni reali ed il sesso selvaggio!
Sono pronta ad essere un’amante!
La mia ancheta con le foto e qui.

=_NextPart_000_1999_01D2E03B.FF171200
Content-Type: text/html; boundary="b1_a48203272976ea98ed36f2667ecabbf5"; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Логов IMAP нет, т.к. им не пользуются почти. Есть 201706move.txt, но в нем только перемещения в spam и архив. В acIMAP.log спамерный ботнет продолжает ломится с последним угнанным паролем 2017-06-09 14:07:39: pva@moct.ru 55777755pva - blocked 82.148.0.138 [42] 2017-06-09 14:07:50: pva@moct.ru 55777755pva - blocked 82.148.0.138 [43] 2017-06-09 14:49:10: pva@moct.ru 55777755pva - blocked 82.148.0.138 [44] 2017-06-09 14:49:24: pva@moct.ru 55777755pva - blocked 82.148.0.138 [45] 2017-06-09 15:26:06:IMAPS pva@moct.ru(pva) 55777755pva - not authorized 213.87.148.92 [1] А вот с логом IMAPS что-то непонятное... За сутки в него наваливает по 2Гб спамерских сообщений после последнего пробития + сообщения из архивного ящика со всеми вложениями в MIME, как и зачем это попадает в IMAPS лог я не понимаю. Архивный ящик я от спама очищал, папку Удаленные элементы тоже. Received: from [188.164.203.122] (port=48579 helo=evangeloskarapetsas.com) by mx.moct.ru (acSMTP/4.31.4863) with ESMTP id 6383.0.825209 (envelope-from auth=pva@moct.ru) for ; Thu, 08 Jun 2017 06:41:18 +0300 Reply-To: "Donya 1Lombardi" From: "Donya 1Lombardi" To: Subject: La coppia della famiglia cerca una ragazza per il sesso. Date: Thu, 8 Jun 2017 06:41:02 +0300 Message-ID: MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_1999_01D2E03B.FF171200" X-Mailer: PHPMailer 5.2.14 (https://github.com/PHPMailer/PHPMailer) Thread-Index: AQIYLVordQLwMmr/rsXPMvYfK8xu1A== X-OlkEid: 00000000A2BAB482EFF3C341ACC1062E03A1B2EC0700C3B68E10F77511CEB4CD00AA00BBB6E600000000000B0000362B59A29B64104B9429852D4C277DF2000000005D5900008FC08136E3844E408D64EF18D43C8B42 This is a multipart message in MIME format. ------=_NextPart_000_1999_01D2E03B.FF171200 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit Sono stufa di masturbare le sere. Cerco un uomo per le relazioni reali ed il sesso selvaggio! Sono pronta ad essere un’amante! La mia ancheta con le foto e qui. ------=_NextPart_000_1999_01D2E03B.FF171200 Content-Type: text/html; boundary="b1_a48203272976ea98ed36f2667ecabbf5"; charset="utf-8" Content-Transfer-Encoding: quoted-printable Sono stufa di masturbare le sere.
Cerco un uomo per le relazioni reali ed il sesso selvaggio!
Sono pronta ad essere un=E2=80=99amante!
La mia ancheta con le foto =C3=A8 = qui.
------=_NextPart_000_1999_01D2E03B.FF171200-- INTERNALDATE "08-Jun-2017 09:45:45 +0300") * 188 FETCH (UID 8261 FLAGS () RFC822.SIZE 1936 BODY[] {1936} Received: from [188.164.203.122] (port=48521 helo=evangeloskarapetsas.com) by mx.moct.ru (acSMTP/4.31.4863) with ESMTP id 6382.0.825208 (envelope-from auth=pva@moct.ru) for ; Thu, 08 Jun 2017 06:41:01 +0300 Reply-To: "Allecra Costa" From: "Allecra Costa" To: Subject: Le conoscenze per il sesso anale Date: Thu, 8 Jun 2017 06:40:46 +0300 Message-ID: <621e2559a23a178ca54ef62b1cc9b663@evangeloskarapetsas.com> MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_19A0_01D2E03B.FF5F65A0" X-Mailer: PHPMailer 5.2.14 (https://github.com/PHPMailer/PHPMailer) Thread-Index: AQH6IJtxKTBoonkMV6kdUTCgpmgW2Q== X-OlkEid: 00000000A2BAB482EFF3C341ACC1062E03A1B2EC0700C3B68E10F77511CEB4CD00AA00BBB6E600000000000B0000362B59A29B64104B9429852D4C277DF2000000005D5A00006551D8A176760A4E89821328EE2D0BCB This is a multipart message in MIME format. ------=_NextPart_000_19A0_01D2E03B.FF5F65A0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: 8bit Sono stufa di masturbare le sere. Cerco un uomo per le relazioni reali ed il sesso selvaggio! Sono pronta ad essere un’amante! La mia ancheta con le foto e qui. >

wikipost

09.06.2017 21:29
ред: 09.06.2017 21:30

pva пишет: А вот с логом IMAPS что-то непонятное...
За сутки в него наваливает по 2Гб спамерских сообщений после последнего пробития + сообщения из архивного ящика со всеми вложениями в MIME, как и зачем это попадает в IMAPS лог я не понимаю. Архивный ящик я от спама очищал, папку Удаленные элементы тоже.

Если это фрагмент IMAP-лога, то выше по логу можно посмотреть, из какой папки это выкачивается (IMAP-команда SELECT). Раз это почта не для вас, а транзитный спам (отправитель и получатель внешние), то вероятно какой-то архивный ящик.

pva пишет: ]В acIMAP.log спамерный ботнет продолжает ломится с последним угнанным паролем

2017-06-09 14:07:39: pva@moct.ru 55777755pva — blocked 82.148.0.138 [42]

Непонятно зачем спамерам ваша почта в IMAP. Ведь для отправки спама через ваш Eserv им SMTP нужен.

А новый пароль вы устанавливаете через веб-интерфейс Eserv'а уделённо или локально?

Взлом SSL для угона пароля маловероятен. Я бы скорее подозревал наличие посторонней программы, имеющей прямой доступ к учетным записям на телефоне.

wikipost

13.06.2017 12:41

С логом IMAPS ситуация нормализовалась.
По IMAPS спамеры продолжают ломиться с последним угнанным паролем.
Угоняют пароль именно после проверки почты по IMAPS с айфона из внешней сети.
Пароль меняю из локалки.
Приложений новых я давно не ставил, все приложения из app store, проблема с угоном появилась только месяц назад.
Подозреваю новую iOS 10.3.2, после ее установки проблема появилась похоже.
Получил сертификат letsencrypt
Скопировал содержимое domain-key.txt и domain-crt.txt в server.pem но outlook этот сертификат тоже не нравится, не может проверить его подлинность, но работает.
Вечером попробую с ipad на ios 10.3.1 проверить почту, напишу по рез-ту.

wikipost

14.06.2017 22:35

pva пишет: Скопировал содержимое domain-key.txt и domain-crt.txt в server.pem но outlook этот сертификат тоже не нравится, не может проверить его подлинность, но работает.

А он не говорит, что именно ему не нравится? Сертификат показывает? Домен в сертификате и доменное имя хоста, к которому подключаетесь, совпадают? Если браузером подключиться по https к вашему Eserv — браузер не жалуется?

В domain-crt.txt два сертификата — первый ваш, второй CA. domain-key.txt нужно вставлять между ними и в таком виде записывать в server.pem.

wikipost

14.06.2017 22:42

Для проверки установил сертификат letsencrypt на

https://forum.eserv.ru/ — вроде всё нормально работает.

wikipost

16.06.2017 15:27

Переделал сертификат, аутлуку и айфону он теперь нравится, вопросов не задают, спасибо за подсказку.
Пошли третьи сутки, пароль пока не угнали

letsencrypt может интегрироваться с другими приложениями.
Можете научить Eserv4 автоматом обновлять сертификат каждые 90 дней?
Так уже сделано в Synology DSM, очень удобно

wikipost

10.07.2017 10:07

Пароль опять угнали

Три недели не трогали...
Причина угона по прежнему не ясна...
Как отключить отправку из внешних сетей даже при удачной авторизации?

wikipost

11.07.2017 23:03
ред: 11.07.2017 23:04

pva пишет: Пароль опять угнали
Три недели не трогали...
Причина угона по прежнему не ясна...

Угоняют пароль какой-то одной учетной записи? Может вообще отключить эту учетку, а почту алиасом на другой ящик переправить?

pva пишет: Как отключить отправку из внешних сетей даже при удачной авторизации?

Первое, что приходит в голову — SMTP-фильтр с таким правилом

IsLanClient 0= [IF] UID 0! [THEN] FALSE

На стадии mailfrom, например.

Но как тогда ваши пользователи будут отправлять почту, когда они на мобильных сетях?

wikipost