Взломали почту? Как?

Question

[bigdogsru]

Пришло письмо такого содержания (в тексте мой IP и домены заменены русскими текстами):

Delivered-To: admin@тут_мой_домен.ru<br/>
Received: by 10.142.246.6 with SMTP id t6cs32301wfh;<br/>
 Fri, 23 Sep 2011 10:59:36 -0700 (PDT)<br/>
Received: by 10.204.4.213 with SMTP id 21mr2554071bks.408.1316800774751;<br/>
 Fri, 23 Sep 2011 10:59:34 -0700 (PDT)<br/>
Return-Path: &lt;mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru&gt;<br/>
Received: from mail.тут_мой_домен.ru (тут_мой_домен.ru. [тут.мой.адрес.IP])<br/>
 by mx.google.com with ESMTPS id z8si7895067bkd.133.2011.09.23.10.59.33<br/>
 (version=TLSv1/SSLv3 cipher=OTHER);<br/>
 Fri, 23 Sep 2011 10:59:34 -0700 (PDT)<br/>
Received-SPF: pass (google.com: domain of mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru designates тут.мой.адрес.IP as permitted sender) client-ip=тут.мой.адрес.IP;<br/>
Authentication-Results: mx.google.com; spf=pass (google.com: domain of mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru designates тут.мой.адрес.IP as permitted sender) smtp.mail=mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru<br/>
Received: from 175-107-rev-placeholder.reverse.ntc.net.pk (175-107-rev-placeholder.reverse.ntc.net.pk [175.107.48.112] (may be forged))<br/>
 by mail.тут_мой_домен.ru (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id p8NHxTSF032216<br/>
 for &lt;postmaster@тут_другой_мой_домен.ru&gt;; Fri, 23 Sep 2011 21:59:31 +0400<br/>
To: postmaster@тут_другой_мой_домен.ru<br/>
Subject: =?koi8-r?B?1MXT1CAyICjXzyDXzM/Wxc7JySAyKQ==?=<br/>
Date: Fri, 23 Sep 2011 10:59:31 -0800<br/>
From: =?koi8-r?B?cnVuYW1l?= &lt;mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru&gt;<br/>
Reply-to: mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru<br/>
Message-ID: &lt;mVEn6uXeQqyNLCUP@localhost.localdomain&gt;<br/>
X-Priority: 3Reply-to: =?koi8-r?B?cnVuYW1l?= &lt;mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk&gt;<br/>
X-Mailer: xmailer<br/>
MIME-Version: 1.0<br/>
Content-Type: text/plain; charset=koi8-r<br/>
Content-Transfer-Encoding: 8bit<br/>
<br/>
mas<br/>
<br/>
mas<br/>
<br/>
telefon<br/>
icqnazv icqvse

Почта у меня на Google Apps. тут_мой_домен.ru и тут_другой_мой_домен.ru — синонимы в Google Apps. Оба эти домена находятся на одном IP — тут.мой.адрес.IP



Как такое письмо могло быть отправлено? Что нужно сделать, чтобы такое больше не повторялось?

Comments

[Роман]

С чего вы взяли что почту взломали?

[bigdogsru]

Меня смутило то, что в результате этих пересылок каким-то образом mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk превратился в mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru (см. smtp.mail=mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru)

Answer 1

[Владимир Дубровин]

В общем-то я не вижу каких-либо странностей и взломов в этом письме, обычный спам.
mail.тут_мой_домен.ru принял почту для postmaster@тут_другой_мой_домен.ru и доставил в Google. Подозреваю, что это было вполне корректным действием. Проверка домена отправителя по SPF была реализована только у гугла, он получил письмо с mail.тут_мой_домен.ru и потому проверка SPF прошла успешно. Возможность использовать произвольный обратный адрес в SMTP и заголовках письма, включая адреса из Вашего домена Вас смущать не должна, т.к. она была всегда, в самом протоколе SMTP никаких механизмов проверки адреса отправителя не предусмотрено.

Comments

[bigdogsru]

Меня смутило то, что в результате этих пересылок каким-то образом mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk превратился в mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru (см. smtp.mail=mL4kQz@175-107-rev-placeholder.reverse.ntc.net.pk.тут_мой_домен.ru)

[Владимир Дубровин]

Ну это видимо спаморассыльщики экспериментировали с обратным адресом, при каком адресе больше процент доставки. Было в шаблоне что-то типа
%random%@%reverse%
при нем процент доставки будет небольшой, захотели сделать
%random%@%MX_domain_2ndlevel%
но пару раз промахнулись или редактор шаблонов криво реализован, или правили шаблон в шеле с криво выставленным TERM — поэтому в одном месте Reply-To прилип к X-Priority, а в остальных новый домен в обратном адресе добавили к старому вместо того, чтобы заменить его. В общем не удивляйтесь на спам — там может быть все что угодно.