none
Бесконечный СПАМ RRS feed

  • Вопрос

  • Добрый день. Подскажите как можно решить вопрос со спамом со своего же домена, всё чаще и чаще начали сыпаться сообщения такого рода:

    Здравствуйте!

    Как вы могли заметить, я отправил вам это электронное письмо из вашего почтового аккаунта.

    Это означает, что у меня есть полный доступ к вашему устройству.

    Я наблюдаю за тобой уже несколько месяцев.

    Дело в том, что вы были заражены вредоносным ПО через сайт для взрослых, который вы посетили.

    Если вы не знакомы с этим, я объясню.

    Троянский вирус дает мне полный доступ и контроль над компьютером или любым другим устройством.

    Это означает, что я могу видеть все на вашем экране, включить камеру и микрофон, но вы не знаете об этом.

    У меня также есть доступ ко всем вашим контактам, данным по социальным сетям и всей вашей переписке.

    Почему ваш антивирус не обнаружил вредоносное ПО?

    Ответ: Моя вредоносная программа использует драйвер, я обновляю его сигнатуры каждые 4 часа, чтобы ваш антивирус молчал.

    Заголовок письма

    Received: from MAIL.mydomain.ru (192.168.112.4) by MAIL.mydomain.ru (192.168.112.4)
     with Microsoft SMTP Server (TLS) id 15.0.712.24 via Mailbox Transport; Wed,
     20 Nov 2019 20:44:57 +0300
    Received: from static-201-151-79-90.alestra.net.mx (201.151.79.90) by
     MAIL.mydomain.ru (192.168.112.4) with Microsoft SMTP Server id 15.0.712.24; Wed,
     20 Nov 2019 20:44:55 +0300
    From: <ilmir@mydomain.ru>
    To: <ilmir@mydomain.ru>
    Subject: =?utf-8?B?0JLQsNGI0LUg0YPRgdGC0YDQvtC50YHRgtCy0L4g0LLQt9C70L7QvNCw0L3QviDQt9C70L7Rg9C80Ys=?= =?utf-8?B?0YjQu9C10L3QvdC40LrQsNC80LguINCd0LXQvNC10LTQu9C10L3QvdC+INGB0LzQtdC90LjRgtC1INC/?= =?utf-8?B?0LDRgNC+0LvRjCE=?=
    Date: Wed, 20 Nov 2019 04:37:55 -0700
    Message-ID: <001301d59f97$045d6d28$3b009c88$@mydomain.ru>
    MIME-Version: 1.0
    Content-Type: text/plain; charset="koi8-r"
    Content-Transfer-Encoding: 8bit
    X-Mailer: Microsoft Office Outlook 11
    Thread-Index: Acrhsetfprhh3ig6rhsetfprhh3ig6==
    X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514
    Return-Path: ilmir@mydomain.ru
    X-MS-Exchange-Organization-PRD: mydomain.ru
    X-MS-Exchange-Organization-SenderIdResult: None
    Received-SPF: None (mail.mydomain.ru: ilmir@mydomain.ru does not designate
     permitted sender hosts)
    X-MS-Exchange-Organization-Network-Message-Id: fa0fb445-1a3f-4520-5860-08d76de15bda
    X-MS-Exchange-Organization-SCL: 0
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-Antispam-Report: DV:3.3.14227.472;SID:SenderIDStatus
     None;TIME:TimeBasedFeatures;OrigIP:201.151.79.90
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-MS-Exchange-Organization-AuthSource: mail.mydomain.ru
    X-MS-Exchange-Organization-AuthAs: Anonymous

    Встроенный антиспам включен.

    [PS] C:\Windows\system32>Get-ContentFilterConfig
    
    
    RunspaceId                            : 99bba6c1-0858-4244-9828-88f69f844132
    Name                                  : ContentFilterConfig
    RejectionResponse                     : Your message was rejected because it appears to be SPAM.
    OutlookEmailPostmarkValidationEnabled : True
    BypassedRecipients                    : {}
    QuarantineMailbox                   : quarantine@mydomain.ru
    SCLRejectThreshold                    : 8
    SCLRejectEnabled                      : True
    SCLDeleteThreshold                    : 9
    SCLDeleteEnabled                      : True
    SCLQuarantineThreshold                : 7
    SCLQuarantineEnabled                  : True
    BypassedSenders                       : {}
    BypassedSenderDomains                 : {}
    Enabled                               : True
    ExternalMailEnabled                   : True
    InternalMailEnabled                   : False
    AdminDisplayName                      :

    2 декабря 2019 г. 16:28

Ответы

  • Что то зачастили последнее время с этим делом. 3-я или 4-я тема за неделю. Смотрите решение тут например.
    такая тема длится уже почти год. Письма приходят на разных языках, с разным содержимым. Мне в одной компании приходило сообщение о том, что они "уже включали камеру и засняли все мои дела". Как решили:
    - проверка SFP (в компании есть смарт-хост, отправляющий почту от нашего же домена)
    - жётский фильтр по контенту, например блокировать всё, что содержит "вы были заражены вредоносным ПО"
    2 декабря 2019 г. 22:39
    Модератор

Все ответы

  • Что то зачастили последнее время с этим делом. 3-я или 4-я тема за неделю. Смотрите решение тут например.
    2 декабря 2019 г. 16:49
  • Что то зачастили последнее время с этим делом. 3-я или 4-я тема за неделю. Смотрите решение тут например.
    Видимо массовая атака) На моем домене сегодня тоже такое началось.
    2 декабря 2019 г. 19:49
  • Что то зачастили последнее время с этим делом. 3-я или 4-я тема за неделю. Смотрите решение тут например.
    такая тема длится уже почти год. Письма приходят на разных языках, с разным содержимым. Мне в одной компании приходило сообщение о том, что они "уже включали камеру и засняли все мои дела". Как решили:
    - проверка SFP (в компании есть смарт-хост, отправляющий почту от нашего же домена)
    - жётский фильтр по контенту, например блокировать всё, что содержит "вы были заражены вредоносным ПО"
    2 декабря 2019 г. 22:39
    Модератор
  • Облачный EOP тоже такие письма пропускает хоть и в небольшом количестве. Интересно у всех кошелек один и тот же указан? 

    У меня такой был: (BTC Wallet): 1EuACsW2dRECausKxA96yPGLNbWDFHL5Kz

    3 декабря 2019 г. 6:02