none
Приходят не понятные отбойники RRS feed

  • Вопрос

  • Доброго дня коллеги!

    С сегодняшней ночи стали приходить непонятные пока мне письма.

    Содержимое такое (несколько вариантов):

    -----

    От: Mail Delivery Subsystem(MAILER-DAEMON@mx0a-0010e401.pphosted.com) 
    Кому: office@наш домен.com 
    Тема: Returned mail: see transcript for details 

    The original message was received at Mon, 16 Mar 2020 07:04:56 GMT
    from m0173369.ppops.net [127.0.0.1]

       ----- The following addresses had permanent fatal errors -----
    <accounts2@fng.ae>
        (reason: 554 5.7.1 Dangerous Attachment has been Removed.  The file "Bunkering-FMT-URLA-75mt.doc" has been re...C!tr.dldr" virus.  File quarantined as: ""."http://www.fortinet.com/ve?vn=VBS%2FAgent.BMC%21tr.dldr")

       ----- Transcript of session follows -----
    ... while talking to [83.111.149.36]:
    >>> DATA
    <<< 554 5.7.1 Dangerous Attachment has been Removed.  The file "Bunkering-FMT-URLA-75mt.doc" has been removed because of a virus.  It was infected with the "VBS/Agent.BMC!tr.dldr" virus.  File quarantined as: ""."http://www.fortinet.com/ve?vn=VBS%2FAgent.BMC%21tr.dldr"
    554 5.0.0 Service unavailable

    --------

    или

    ---------

    От: Mail Delivery System(MAILER-DAEMON@qproxy4.mail.unifiedlayer.com) 
    Кому: office@наш домен.com 
    Тема: Undelivered Mail Returned to Sender 

    This is the mail system at host qproxy4.mail.unifiedlayer.com.

    I'm sorry to have to inform you that your message could not
    be delivered to one or more recipients. It's attached below.

    For further assistance, please send mail to postmaster.

    If you do so, please include this problem report. You can
    delete your own text from the attached returned message.

                       The mail system

    <accounting@lasl.com>: host mx.spamexperts.com[38.89.254.156] said: 550
        Sender's policy prohibits this message: Quarantine (in reply to end of DATA
        command)

    -------

    и они валятся каждые 5 минут по 5-10 штук.

    office@... - это алиас в домене, который добавлен в учетной записи офис менеджера, а так у нее почта recept@наш домен.

    Я пока сменил ей пароль и проверил терминальный сервак где она работает на вирусы - все чисто!

    Но сообщения продолжают сыпаться. Я так понимаю - это кто-то пытается слать письма от имени office@ на разные домены? Потому что в этих письмах домены меняются. Плюс вот этот файл Bunkering-FMT-URLA-75mt.doc который указан в этих репортах. В письмах этих имеется вложение Mailware Alert Text.txt

    ------------

    ВНИМАНИЕ! Сообщение содержало потенциально ОПАСНОЕ вложение, которое было заблокировано в целях безопасности.
    НИКОГДА и при каких обстоятельствах НЕ ОТКРЫВАЙТЕ вложения от неизвестных отправителей!

    Запрещено обмениваться следующими файлами:
    .ace; .ade; .adp; .ani; .app; .asp; .bas; .bat; .cer; .chm; .cmd; .com; .cpl; .crt; .csh; .der; .dll; .dos; .exe; .fxp; .gadget; .hlp; .Hta; .Inf; .Ins; .Isp; .Its; .jar; .js; .Jse; .Ksh; .Lnk; .mad; .maf; .mag; .mam; .maq; .mar; .mas; .mat; .mau; .mav; .maw; .mda; .mdb; .mde; .mdt; .mdw; .mdz; .msc; .msh; .msh1; .msh1xml; .msh2; .msh2xml; .mshxml; .msi; .msp; .mst; .obj; .ops; .os2; .pcd; .pif; .plg; .prf; .prg; .ps1; .ps1xml; .ps2; .ps2xml; .psc1; .psc2; .pst; .reg; .scf; .scr; .sct; .shb; .shs; .tmp; .url; .vb; .vbe; .vbs; .vsmacros; .vsw; .vxd; .w16; .ws; .wsc; .wsf; .wsh; .xnk
    Fw SV Bunkering FMT URLA , 75 mt VGO O97M/CVE-2017-8570.AP!MTB

    ------------

    на нашем Exchange Online настроен запрет пересылки опасных вложений.

    Пока не могу понять это нам шлют, или все таки пытаются от нашего имени что-то рассылать?

    как вариант, вот заголовки с одного из таких писем

    Received: from SmtpServer.Submit by AM6PR05MB5572 with Microsoft SMTP Server
     id 15.20.2814.22; Mon, 16 Mar 2020 07:14:02 +0000
    Content-Type: multipart/mixed;
    boundary="_29a1a882-cd55-4036-a620-5e45184d41fd_"
    Received: from AM6P193CA0088.EURP193.PROD.OUTLOOK.COM (2603:10a6:209:88::29)
     by AM6PR05MB5572.eurprd05.prod.outlook.com (2603:10a6:20b:5e::16) with
     Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2814.22; Mon, 16 Mar
     2020 07:13:50 +0000
    Received: from VE1EUR01FT044.eop-EUR01.prod.protection.outlook.com
     (2603:10a6:209:88:cafe::5b) by AM6P193CA0088.outlook.office365.com
     (2603:10a6:209:88::29) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2814.18 via Frontend
     Transport; Mon, 16 Mar 2020 07:13:49 +0000
    Authentication-Results: spf=none (sender IP is 67.231.145.5)
     smtp.helo=mx0a-0010e401.pphosted.com; наш домен; dkim=none (message not
     signed) header.d=none;наш домен; dmarc=none action=none
     header.from=mx0a-0010e401.pphosted.com;
    Received-SPF: None (protection.outlook.com: mx0a-0010e401.pphosted.com does
     not designate permitted sender hosts)
    Received: from mx0a-0010e401.pphosted.com (67.231.145.5) by
     VE1EUR01FT044.mail.protection.outlook.com (10.152.3.137) with Microsoft SMTP
     Server id 15.20.2814.14 via Frontend Transport; Mon, 16 Mar 2020 07:13:49
     +0000
    Received: from pps.filterd (m0173369.ppops.net [127.0.0.1])
    by mx0a-0010e401.pphosted.com (8.16.0.42/8.16.0.42) with SMTP id 02G7AKA6016266
    for <office@наш домен>; Mon, 16 Mar 2020 07:13:45 GMT
    Received: from mqueue.dsn (localhost [127.0.0.1])
    by mx0a-0010e401.pphosted.com with ESMTP id 2yrpxs16f2-1
    for <office@наш домен>; Mon, 16 Mar 2020 07:13:44 +0000
    Received: from localhost (localhost)
    by mx0a-0010e401.pphosted.com (8.16.0.42/8.16.0.42) id 02G7B6UW016357;
    Mon, 16 Mar 2020 07:11:06 GMT
    Date: Mon, 16 Mar 2020 07:11:06 GMT
    From: Mail Delivery Subsystem <MAILER-DAEMON@mx0a-0010e401.pphosted.com>
    To: <office@наш домен>
    MIME-Version: 1.0
    Subject: Returned mail: see transcript for details
    Auto-Submitted: auto-generated (failure)
    X-Proofpoint-Virus-Version: vendor=fsecure engine=2.50.10434:6.0.138,18.0.572
     definitions=2020-03-16_01:2020-03-12,2020-03-16 signatures=0
    X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 priorityscore=1501 impostorscore=0
     spamscore=0 suspectscore=0 malwarescore=0 adultscore=0 clxscore=1012
     phishscore=0 bulkscore=0 classifier=parse_limit adjust=0 reason=mlx
     scancount=1 engine=8.12.0-2003020000 definitions=main-2003160036
    Return-Path: <>
    X-EOPAttributedMessage: 0
    X-EOPTenantAttributedMessage: 57fce2fa-ed59-406f-b49c-3e60bade4ec1:0
    X-Forefront-Antispam-Report: CIP:67.231.145.5;IPV:;CTRY:US;EFV:NLI;
    X-MS-PublicTrafficType: Email
    X-MS-Office365-Filtering-Correlation-Id: 41a77428-5eab-40e6-1614-08d7c979936a
    X-MS-TrafficTypeDiagnostic: AM6PR05MB5572:|AM6PR05MB5572:
    Message-ID:
     <2a21bd67-d531-49c4-aba4-d3505c9a1ef4@AM6PR05MB5572.eurprd05.prod.outlook.com>
    X-MS-Exchange-Parent-Message-Id:
     <202003160711.02G7B6UW016357@mx0a-0010e401.pphosted.com>
    Auto-Submitted: auto-generated
    X-MS-Exchange-Generated-Message-Source: DC Pre Content Filter Agent

    или же

    Received: from AM0PR04CA0012.eurprd04.prod.outlook.com (2603:10a6:208:122::25)
     by HE1PR0501MB2251.eurprd05.prod.outlook.com (2603:10a6:3:20::7) with
     Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2814.18; Mon, 16 Mar
     2020 07:24:20 +0000
    Received: from VE1EUR01FT025.eop-EUR01.prod.protection.outlook.com
     (2603:10a6:208:122:cafe::97) by AM0PR04CA0012.outlook.office365.com
     (2603:10a6:208:122::25) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2814.18 via Frontend
     Transport; Mon, 16 Mar 2020 07:24:20 +0000
    Authentication-Results: spf=none (sender IP is 69.89.23.12)
     smtp.helo=qproxy6-pub.mail.unifiedlayer.com; наш домен; dkim=none
     (message not signed) header.d=none;наш домен; dmarc=fail action=none
     header.from=qproxy6.mail.unifiedlayer.com;
    Received-SPF: None (protection.outlook.com: qproxy6-pub.mail.unifiedlayer.com
     does not designate permitted sender hosts)
    Received: from qproxy6-pub.mail.unifiedlayer.com (69.89.23.12) by
     VE1EUR01FT025.mail.protection.outlook.com (10.152.2.232) with Microsoft SMTP
     Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
     15.20.2814.14 via Frontend Transport; Mon, 16 Mar 2020 07:24:18 +0000
    Received: by qproxy6.mail.unifiedlayer.com (Postfix)
    id D05FB14062A; Mon, 16 Mar 2020 01:24:16 -0600 (MDT)
    Date: Mon, 16 Mar 2020 01:24:16 -0600 (MDT)
    From: MAILER-DAEMON@qproxy6.mail.unifiedlayer.com (Mail Delivery System)
    Subject: Undelivered Mail Returned to Sender
    To: office@наш домен
    Auto-Submitted: auto-replied
    MIME-Version: 1.0
    Content-Type: multipart/report; report-type=delivery-status;
    boundary="9E12C14057D.1584343456/qproxy6.mail.unifiedlayer.com"
    Message-ID: <20200316072416.D05FB14062A@qproxy6.mail.unifiedlayer.com>
    Return-Path: <>
    X-EOPAttributedMessage: 0
    X-EOPTenantAttributedMessage: 57fce2fa-ed59-406f-b49c-3e60bade4ec1:0
    X-Forefront-Antispam-Report: CIP:69.89.23.12;IPV:;CTRY:US;EFV:NLI;
    X-MS-PublicTrafficType: Email
    X-MS-Office365-Filtering-Correlation-Id: d4cabc1d-8d25-4e41-411c-08d7c97b0b18
    X-MS-TrafficTypeDiagnostic: HE1PR0501MB2251:

    • Изменено ItDen 16 марта 2020 г. 7:35
    16 марта 2020 г. 7:29

Ответы

Все ответы

  • Это обычная рассылка вирусов. Ваш EOP такие письма пропускает во Входящие?
    16 марта 2020 г. 7:37
  • Ну в настройках у нас запрещены исполняемые и т.п. 90% форматов. doc, docx, xls, xlsx, pdf не запрещали.

    А тут получается сам O365 нашел в doc файле угрозу и удалил ее?

    Сейчас еще у офис-менеджера пошерстил Outlook. У нее есть папка Junk, в нее за утро навалило около 1900 сообщений с темой "Не удается доставить Bunkering-FMT-URLA-75mt.doc" Но она знать не знает что это за файл (.

    16 марта 2020 г. 7:57
  • 1. Да, он удаляет такие вложения. Также подумайте о внедрении SafetyLinks - тоже полезная штука.

    2. Это тоже вирусное письмо. Создайте правило на удаление сообщений с такой темой (если она не изменяется).

    16 марта 2020 г. 8:00
  • Да, тема в 90% одинакова! Посмотрел сейчас по трассировке в О365, все таки получатель recept@наш домен, а не алиас. 

    Если письма приходят в 90% от MAILER-DAEMON@soproxy1.mail.unifiedlayer.com (меняется только суффикс soproxy_NN), то по идее я могу добавить в reject правило unifiedlayer.com


    • Изменено ItDen 16 марта 2020 г. 8:14
    16 марта 2020 г. 8:13
  • Для проверки добавил в блок правило домен unifiedlayer.com и эти письма перестали сыпаться. Но начал дальше искать корни всего этого - домен unifiedlayer.com это вроде как некий USA хостинг. 
    16 марта 2020 г. 8:49
  • Для проверки добавил в блок правило домен unifiedlayer.com и эти письма перестали сыпаться. Но начал дальше искать корни всего этого - домен unifiedlayer.com это вроде как некий USA хостинг. 

    ItDen, не забывайте, пожалуйста, помечать сообщения которые Вам помогли решить проблему как ответ. 

    Это позволяет и другим участникам сообщества быстро найти решение, если они столкнутся с подобным сценарием.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    18 марта 2020 г. 14:42
    Модератор
  • Даже если это некий USA хостинг, то вы уверены что он имеет отношение к вашей компании? 

    Неужто предлагает вам суперусловия к чему-либо?

    18 марта 2020 г. 18:15