СПАМ ... RRS feed

  • Вопрос

  • Каждый день приходят письма юзерам САМИМ от СЕБЯ по нескольку раз в день уже. Последнее время что-то слишком уж зачастило. Вот примерный текст:

    Hi, this account is now hacked! Renew the password immediately!

    You may not know anything about me and you are most likely wondering why you are receiving this particular letter, proper?

    I'm ahacker who crackedyour email boxand devicestwo months ago.

    Do not attempt to get in touch with me or look for me, in fact it's hopeless, since I forwarded you this message from YOUR own account that I've hacked.

    I've build in special program on the adult vids (porn) site and guess that you have spent time on this website to have fun (you understand what I mean).

    When you were taking a look at videos, your browser began functioning as a RDP (Remote Control) that have a keylogger that granted me authority to access your screen and network camera.

    Consequently, my software programaquiredall info.

    You have wrote passcodes on the web services you visited, and I already caught all of them.

    Without a doubt, you are able modify each of them, or already modified them.

    But it really does not matter, my app renews needed data every 5 minutes.

    What actually I have done?

    I generated a reserve copy of your device. Of all the files and contact lists.

    I have managed to create dual-screen record. The first part shows the film that you were observing (you have an interesting taste, haha...), and the second part reveals the recording from your own web camera.

    What actually must you do?

    Good, in my opinion, 1000 USD will be a reasonable price for this small riddle. You'll make the payment by bitcoins (if you don't know this, go searching “how to purchase bitcoin” in Google).

    My bitcoin wallet address:


    (It is cAsE sensitive, so just copy and paste it).


    You will have 2 days to make the payment. (I put an exclusive pixel in this e-mail, and at this time I know that you've read through this email).

    To trackthe reading of a letterand the actionsin it, I usea Facebook pixel. Thanks to them. (That whichis usedfor the authorities may helpus.)

    In the event I fail to get bitcoins, I will certainly offer your video files to each of your contacts, such as relatives, co-workers, and many more?

    Причём, непонятно, как блокировать, т.к. и заголовок и само тело письма периодически меняются. Единственный выход вижу в запрете юзерам писать самим себе. Вот только как это сделать ?


    21 февраля 2019 г. 17:14


Все ответы

  • Добрый День.

    Сеть (клиентские пк, сервера) на вирусняк проверяли?

    Я не волшебник, я только учусь MCP, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Пометить как ответ" или проголосовать за полезное сообщение. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub, Instagram

    21 февраля 2019 г. 17:23
  • Каждый день приходят письма юзерам САМИМ от СЕБЯ по нескольку раз в день уже.

    Отправленные с их адреса или с подставленным адресом отправителя?
    21 февраля 2019 г. 17:31
  • Сюда загляните
    • Помечено в качестве ответа _STAS_ 22 февраля 2019 г. 13:08
    21 февраля 2019 г. 17:37
  • Наверно с подставленными, т.к. если бы отправлялось с юзеровского аккаунта, письмо бы сохранилось в отправленных, а его там нет.


    21 февраля 2019 г. 19:27
  • Привет.

    Покажите headers с этого письма в Message Header Analyzer

    MCITP, MCSE. Regards, Oleg

    21 февраля 2019 г. 21:53
  • А SPF и DKIM-проверки у вас включены на антиспаме?
    22 февраля 2019 г. 5:54
  • вирусов нет - проверял


    22 февраля 2019 г. 10:59
  • уж и не помню ... как проверить ?


    22 февраля 2019 г. 11:06
  • 1 [] (unknown []) (Postfix) 19.02.2019, 13:25:26
    2 ( []) (using TLSv1 (Postfix) 19.02.2019, 19:03:32
    338 minutes 6 seconds
    cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested); ESMTPS
    3 ([]) ( (MDaemon PRO v11.0.3) 19.02.2019, 19:04:37
    1 minute 5 seconds
    4 ( ( 19.02.2019, 19:05:33
    56 seconds
    Microsoft SMTP Server
    5 MAIL.regcon.local ( MAIL.regcon.local ( 19.02.2019, 19:05:33
    0 seconds
    Microsoft SMTP Server (TLS)
    6 MAIL.regcon.local ( MAIL.regcon.local ( 19.02.2019, 19:05:38
    5 seconds
    Microsoft SMTP Server (TLS)

    1 X-Spam-Processed, Tue, 19 Feb 2019 19:04:37 +0300
    2 X-Spam-Checker-Version SpamAssassin 3.2.5 (2008-06-10)
    3 X-Spam-Level ********
    4 X-Spam-Status No, score=8.4 required=10.5 tests=BAYES_50,FORGED_MUA_MOZILLA, LOCALPART_IN_SUBJECT,RCVD_ILLEGAL_IP,RDNS_NONE shortcircuit=no autolearn=no version=3.2.5
    5 X-Spam-Report * 2.0 LOCALPART_IN_SUBJECT Local part of To: address appears in Subject * 1.9 RCVD_ILLEGAL_IP Received: contains illegal IP address * 1.6 BAYES_50 BODY: Bayesian spam probability is 40 to 60% * [score: 0.5000] * 2.7 FORGED_MUA_MOZILLA Forged mail pretending to be from Mozilla * 0.1 RDNS_NONE Delivered to trusted network by a host with no rDNS
    6 X-MDMultiPOP
    7 X-Rcpt-To
    8 X-MDRcpt-To
    9 X-MDRemoteIP
    10 X-Envelope-From
    11 X-Original-To
    12 Delivered-To
    13 Received-SPF SoftFail (MAIL.regcon.local: domain of transitioning discourages use of as permitted sender)
    14 Received-SPF none ( No applicable sender policy available); identity=mailfrom; envelope-from="";; client-ip=
    15 Feedback-ID 53722772:26760667.4711390:sn80:w
    16 X-Mailer WebService/1.1.12262 YMailNorrin Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
    17 From <>
    18 User-Agent Roundcube Webmail/1.2.2
    19 Message-ID <>
    20 To <>
    21 X-Priority 3 (Normal)
    22 X-Abuse-Reports-To
    23 Subject some_user
    24 Date Tue, 19 Feb 2019 11:24:47 +0100
    25 Content-Transfer-Encoding base64
    26 Content-Type text/plain; charset="UTF-8"
    27 List-Unsubscribe <>
    28 Reply-To <>
    29 X-MDRedirect 1
    30 X-Return-Path <>
    31 X-MDaemon-Deliver-To <>
    32 Return-Path
    33 MIME-Version 1.0
    34 X-MS-Exchange-Organization-PRD
    35 X-MS-Exchange-Organization-SenderIdResult SoftFail
    36 X-MS-Exchange-Organization-Network-Message-Id 40434e2d-5617-420f-e843-08d69684170e
    37 X-MS-Exchange-Organization-SCL 4
    38 X-MS-Exchange-Organization-PCL 2
    39 X-MS-Exchange-Organization-Antispam-Report DV:3.3.16631.866;SID:SenderIDStatus SoftFail;TIME:TimeBasedFeatures;OrigIP:
    40 X-MS-Exchange-Organization-AVStamp-Enterprise 1.0
    41 X-MS-Exchange-Organization-AuthSource MAIL.regcon.local
    42 X-MS-Exchange-Organization-AuthAs Anonymous

    • Изменено _STAS_ 22 февраля 2019 г. 11:12
    22 февраля 2019 г. 11:07
  • Добрый день,

    Вам нужно правило, которое блокирует почту с вашего домена при подключении извне. У меня такое на MDaemon по умолчанию работает. В эксче скорее всего внешний коннектор надо смотреть.

    22 февраля 2019 г. 11:49
  • Вам нужно правило, которое блокирует почту с вашего домена при подключении извне.
    А если наш пользователь подцепиться извне - его пошлют?
    22 февраля 2019 г. 12:39
  • Поставил, как сказано по ссылке - вроде пока не пишут. Мониторинг стилл он. Только не понял, что значат эти 5 очков.


    • Изменено _STAS_ 22 февраля 2019 г. 13:10
    22 февраля 2019 г. 13:09
  • Я так понял, что имеется ввиду извне организации, а не сети.


    22 февраля 2019 г. 15:20
  • Только не понял, что значат эти 5 очков.


    Ну SCL же :)
    22 февраля 2019 г. 18:12
  • не заходил в тему, пока не увидел что решена. а тут такое.... у самих такое ))) при чём письма приходят от сами себя с разным контетом, а не только как в заглавном сообщении [сами такое получали да ещё на немецком, поржали))]. Кстати, момент: приходит спам с адреса un@domain на адрес, где un@ - это логин в O365 и алиас, но главый SMTP - Т.е. спамеры, каким-то образом узнали алиасы...

    Собственно, сервер в O365. MS поддержка дала ссылки на SPF, DKIM & DMARC. SPF исправили с "~" на "-", остальное пока не трогали, пока спама нет "от самих себя нет", но есть другая проблема. Приходит много спама (темы - новый файл в SharePoint и OneDrive), где SPF = none. ТП О365 на вопрос как заблокировать всех без SPF послала сюда и сюда. Правильно ли я думаю, что нужно создать правило, где если Заголовок Received-SPF = none - блокировать (или в Junk), или другой нужен заголовок?


    22 февраля 2019 г. 19:45
  • Anahaym,

    Надо создавать правила для headers.

    Например, стараюсь не блокировать, а отправлять в Junk. Junk автоматически удаляется по retention policy 90 day.

    PS. В правилах надо ставить Stop processing more rules если правило сработало.

    MCITP, MCSE. Regards, Oleg

    22 февраля 2019 г. 20:55
  • Олег, так я и спрашиваю - какой заголовок (header) нужно использовать, чтобы отправлять в Junk всех, у кого нет SFP? Hardfail я так понял отправляется в Junk автоматически.
    22 февраля 2019 г. 21:02
  • Олег, так я и спрашиваю - какой заголовок (header) нужно использовать, чтобы отправлять в Junk всех, у кого нет SFP? Hardfail я так понял отправляется в Junk автоматически.
    23 февраля 2019 г. 7:51
  • Ха, сегодня пришла новая фишка (старую я пофиксил по ководству выше):

    Теперь письмо приходит не самому от себя, а от одного корпоративного пользователя другому, при этом письмо имеет уже графический формат, хотя внешне выглядит как текст... Голь на выдумки хитра ! :


    • Изменено _STAS_ 20 марта 2019 г. 7:42
    20 марта 2019 г. 7:41
  • Блокирует в Junk письма с файлами вложений по расширению.

    MCITP, MCSE. Regards, Oleg

    22 марта 2019 г. 19:29