Поиск вредоносных программ спам электронной почты (или, по крайней мере, блокируя их) с компьютера Windows

Я ищу помощь о некоторых невозможно отследить вредоносных программ спам все мои контакты список с помощью прямой отправки SMTP.

  • Он использует мой личный адрес электронной почты (ИСП протоколы POP3 и SMTP, а не веб-интерфейс, как я мог не найти ничего, кроме Gmail или Hotmail проблем и ответа на веб-сайте, что это не мой случай) и может просматривать и использовать свой список контактов, чтобы отправить короткое спам mesasges с ссылкой на зараженный сайт группы recipent (только так можно обнаружить что-то не так происходит, получает сообщения о сбое, когда один из адресов в списке устарел, например, или когда один из серверов получателей или сервер ISP отвергает его)

  • мой провайдер проверил историю с даты и времени, указанных в таких возвращаемых предупреждениях, и может подтвердить, что спам был отправлен с моего IP-адреса, поэтому он не только подменяет мой адрес : мой компьютер был фактическим отправителем. Кстати, все получатели находятся в моем актуальный список контактов.

  • Это началось, когда я использовал свой старый компьютер под управлением Windows XP и с помощью Outlook Express. Тем не менее, теперь он делает то же самое на моем новом компьютере под управлением Windows 7 Pro и Thunderbird, что означает, что он также может просматривать мой список контактов Thunderbird, а не только старый Outlook Express очевидный файл WAB.

недавно один из моих клиентов сообщил о той же проблеме (они заметили, когда некоторые из их клиентов серверы занесли их в черный список, и они начали получать те же недоставленные возвращаемые сообщения, что и я). Кстати, их провайдер такой же, как и мой (см. ниже о том, что они все еще могут разрешить анонимный SMTP). В ее случае, ее компьютер работает под управлением Windows 10 Professional, и она использует MS Outlook 2007.

  • он, скорее всего, не использует мою почтовую клиентскую программу для выдачи спам-писем в любом случае (хотя, конечно, трудно сказать, не запускает ли он ее в фон), но хотя компьютер, конечно, должен быть включен, он обычно отправляет их ночью (большую часть времени около 1-3 часов утра, хотя иногда они были выпущены в дневное время), когда мой почтовый клиент закрыт.

таким образом, он должен напрямую подключаться к моему серверу провайдера с SMTP (используя, конечно, мой адрес электронной почты и пароль, хотя мой провайдер может по-прежнему позволяют анонимный SMTP, который, конечно, проблема).

к сожалению, мой локальный провайдер не использует SSL, ни Шифрование TLS (хотя я предполагаю, что это не изменится, пока пароль не требуется). Однако, учитывая, что он может получить мой адрес электронной почты и список контактов, я думаю, что, вероятно, было не так сложно получить мой сохраненный пароль, так как NirSoft может это сделать, например).

  • ни одно антивирусное программное обеспечение не может ничего обнаружить, но оно все еще там, спам весь мой список контактов примерно два раза в месяц, иногда чаще, иногда только один раз : частота, час и т. д. абсолютно случайны и непредсказуемы.

Я пробовал все, что было рекомендовано в интернете, абсолютно без результата.

  • конечно, вручную проверяющ реестр, обслуживания, etc. ничего подозрительного при запуске. И все же, проклятый процесс должен быть где-то скрывается, или он не сможет лопнуть сотых писем в течение нескольких секунд, как это делает !

Так что теперь я просто попытался заблокировать его с помощью правил брандмауэра ;

однако, используя брандмауэр Microsoft, я мог бы добавить исходящее правило, позволяющее Thunderbird использовать порт 25 с аутентификацией пользователя, но я совершенно не уверен, что это делает правило эксклюзивным, т. е. включение этого, вероятно, не отключает любое другое использование.

к сожалению, добавив еще одно правило блокирует порт 25 не выше правилом исключение. Если я это сделаю, это просто не позволит мне отправлять электронную почту вообще, несмотря на явное разрешение. Видимо, правило запрета переопределяет разрешение, в котором я хотел бы получить совершенно противоположное поведение (заблокировать все, а затем разрешить исключение).

В идеале, я хотел бы получить любую попытку из единственного разрешенного приложения (Thunderbird в моем текущем случае), чтобы войти, чтобы я мог отследить преступника.

  • кто-нибудь из вас когда-нибудь слышал о такой проблеме, и, возможно, мог бы привести меня к решению или к кому-то, кто мог бы решить эту проблему, или знал бы о любом инструменте, который был бы более эффективно его обнаруживать ?

  • кто-нибудь знает, как я мог настроить брандмауэр, чтобы он блокировал любое использование порта 25, но из одного разрешенного приложения ? И в идеале, как зарегистрировать любую попытку из любого процесса, кроме разрешенного ? Или, может быть, какое-то бесплатное программное обеспечение брандмауэра сторонних производителей, которое будет выполнять эту работу ?

конечно, идентификация виновника и возможность его устранения были бы идеальны, но если этого нельзя сделать, предотвращение его вреда было бы все еще приемлемый компромисс до тех пор пока антивирусы не будут мочь обнаружить его один день.

изменить :

вот пример: http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip

EDIT: Итак, в заключение, анализ заголовка поможет вам узнать, был ли спам с Вашего компьютера или если ваш адрес электронной почты был подделан.

проблема решена в моем случае, благодаря ответу Дэвида ниже. Это объясняет, почему ни один антивирусный инструмент не мог найти ничего подозрительного на месте.

8
задан Z80
24.01.2023 8:05 Количество просмотров материала 2797
Распечатать страницу

1 ответ

откуда на самом деле пришло это письмо?

мой интернет-провайдер проверил историю с даты и времени, указанных в таких предупреждениях о возврате, и может подтвердить, что спам был отправлен с моего IP-адреса, поэтому он не только подделывает мой адрес : мой компьютер был фактическим отправителем

мой провайдер canl.nc

вот несколько заголовков из одной такой вернулся электронной почты:

Return-Path: <my email address>
Received: from localhost (localhost [127.0.0.1])
  by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2;
  Sun,  7 Aug 2016 23:00:34 +0800 (MYT)
X-Virus-Scanned: amavisd-new at zakat.com.my
Received: from mail.zakat.com.my ([127.0.0.1])
  by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024)
  with ESMTP id cl7meerEgQyi; Sun,  7 Aug 2016 23:00:33 +0800 (MYT)
Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227])
  by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085;
  Sun,  7 Aug 2016 23:00:28 +0800 (MYT)
From: <my email address>
To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address>
Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?=
Date: Sun, 7 Aug 2016 17:59:57 +0300
Message-ID: <0000ec23df25587aa0$cc09b055$@canl.nc>

ваш поставщик интернет-услуг некомпетентный:

  • это письмо пришло не от вас (если вы живете в Польше)

  • пришло из 82.160.175.227 (Польша)

    % Information related to '82.160.175.0 - 82.160.175.255'

% Abuse contact for '82.160.175.0 - 82.160.175.255' is 'abuse@tktelekom.pl'

inetnum 82.160.175.0 - 82.160.175.255
netname PL-NETLINE-STARGARD
descr   Net-line sp. z o.o.
descr   Stargard Szczecinski
country PL
admin-c LH133-RIPE
tech-c  LH133-RIPE
status  ASSIGNED PA
mnt-by  NETIA-MNT
mnt-lower   NETIA-MNT
mnt-routes  NETIA-MNT
created 2014-04-07T07:36:13Z
last-modified   2016-03-15T14:24:30Z
source  RIPE # Filtered

  • он был отправлен (и доставлен) по почте.закят.com.my (Малайзия).

  • закят.ком.моя отклонил письмо с ошибкой 451 по протоколу SMTP:

    если вы получаете одно из вышеуказанных (или подобное) сообщений об ошибках от вашего почта сервер (после того, как вы отправили несколько сообщений), то у вас есть достигнут предел на вашем почтовом сервере (или учетной записи электронной почты). Это средство ваш почтовый сервер не будет принимать никаких дополнительных сообщений, пока вы ждали некоторое время.

    ваш почтовый аккаунт может иметь один или несколько ограничений:



    • ежедневный лимит почты, например, Макс. 2000 сообщений в день
    • часовой лимит почты, например, Макс. 500 сообщений в час
    • ограничение скорости отправки сообщений

  • уведомление об отказе было отправлено вам, потому что:

    Return-Path: <my email address>

  • ваш провайдер-canl.nc. Ни в коем случае в отправка из этого письма является canl.nc участвует. Они участвуют только потому, что отказов был послан к вам.

Так что же произошло на самом деле?

  1. адресная книга была как-то протекавшая.

  2. спамер в Польше отправил спам с вашего поддельного адреса электронной почты в качестве обратного адреса с IP-адреса 82.160.175.227

  3. спам был отправлен на почту.закят.com.мой и отклонил-наверное потому что Почта.закят.com.мой заметил слишком много спама, поступающих с IP-адреса спамера.

    • почте.закят.ком.мой не очень хорошо настроен, как 82.160.175.227 на самом деле черный список IP адрес.

    • почта.закят.com.мой не является открытым реле, так что возможно спамер имеет учетную запись там.

  4. таким образом, спам отскочил, и вы являетесь получателем того, что называется backscatter:

    Backscatter (также известный как outscatter, неправильно отскоков, ответный удар или сопутствующий спам) неправильно автоматизированные отказов сообщения, отправляемые почтовыми серверами, как правило, в качестве побочного эффекта входящий спам.

Примечания:

  1. многие из заголовков электронной почты могут быть (и, как правило, являются) подделаны спамеров, когда они посылают спам.

    • " From: "адрес
    • Return-Path: address
    • некоторые заголовки "received:" также могут быть подделаны.

  2. SMTP спуфинг сообщений показывает, насколько легко это можно сделать с помощью открытой (незащищенной) реле почтовый сервер.

анализ заголовков писем

есть много инструментов для анализа заголовков электронной почты, некоторые из которых могут показать, если какой-либо из ip-адресов в цепочке находятся на черных списках спама.

эти инструменты также могут определить, подделаны ли какие-либо заголовки" Received: "в цепочке.

одним из таких инструментов является MxToolbox Написать Заголовок Анализатор.

анализ с помощью этого инструмента показывает следующее результаты:

enter image description here

enter image description here

более дальнеишее чтение

1
отвечен DavidPostill 2023-01-25 15:53

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх