С моего домена рассылается спам?

Question

[Дмитрий Логвиненко]

Появилась очень большая проблема — с моего домена происходит рассылка спама. Узнаю по приходящим на админскую почту ответам на письма и Mail Delivery репортам. Имя пользователя каждый раз разное — естественно, реальных аккаунтов у меня нет. В качестве почты используем привязанный к домену Google. Поменял пароли админок хостинга, сайта, SSH и FTP. Пока, вроде бы, тихо.

Как определить, бэкдор это или подделка заголовков письма, и как избавиться от эти гадостей.

Заранее спасибо за ответы.

Comments

[Дмитрий Логвиненко]

А есть ли возможность проверить скачанный на локаль сайт каким-нибудь инструментом (каким?) на предмет внедрений?

Answer 1

[Sergey]

SPF-запись есть?
Это наверняка smtp-spoofing. SPF не спасет от спуфинга на 100%, но сделает задачу спамеров бессмысленной в большинстве случаев и они отстанут от твоего домена.

Comments

[Sergey]

Кстати, забавно вопросы расположились:

Answer 2

[Георгий Могелашвили]

у меня была такая проблема с Windows Server 2008. По неопытности я плохо настроил SMTP-сервер, и он допускал возможность использования его в качестве mail relay. У меня в аутбоксе сервера набиралось около 65к писем и отправлялись без остановки.
Ограничьте возможность отправки почты с вашего SMTP с конкретных IP-адресов.
Здесь test.nettools.ru/ можно проверить возможность использования вашего сервера в качестве mail reley.
Мне было достаточно оставить доступ к серверу только для него самого по IP — рассылки кончились

Comments

[Sergey]

Предлагаешь автору донастроить гугловые SMTP-серверы?

[Георгий Могелашвили]

при чем здесь это? у меня тоже почта привязана к яндексу, однако это не мешало слать через сервер чужие сообщения. я описал свою проблему и способ решения, вдруг автору поможет? зачем наезжать-то сразу?

[Дмитрий Логвиненко]

Неттулзы при проверке Email Relay говорят следующее:
Проверка почтового сервера: exam-center.ru

Имя: [домен].ru
IP: [ip]

Подключение...
*** Ошибка при подключении к [ip] ***

Answer 3

[shadowalone]

Самое простое — это, в первую очередь, сделать SPF для домена. Для гугл-апс, достаточно добавить в запись:
include:aspmx.googlemail.com
Во вторых, неплохо было бы подписать домен DKIM.
Все это, если идет просто фишинг. Если же у Вас завёлся зверь на самом сервере, тогда внимательно смотреть логи, запустить сканер, типа rkhunter и т.д. и т.п.

Comments

[Дмитрий Логвиненко]

У меня есть такие записи (прописывал при привязке гугла [слишком много «пр» :)]

[shadowalone]

Я написал про SPF — их у Вас нет.

Answer 4

[AnViar]

А примеры писем можете показать с заголовками?

Comments

[Дмитрий Логвиненко]

Да, конечно:

From: "Rosabel Sanders" <bobrov@[домен].ru>
To: <beata.tomalka.poznan@rdos.gov.pl>
Cc:
Date: Tue, 20 Mar 2012 12:09:50 +0700
Subject: Fresh Job Poland(id \ wef.0A200037NFSF)...
Hello,

TMS, an American luxury goods firm, is currently seeking administrative assistants/sales support representatives within Poland to work from home, to contribute to the sales force and add convenience to our service dedicated to individuals, businesses, and organizations all over the world.

This vacancy focuses on the management of daily, weekly and monthly tasks and special projects pertaining to the sales support for sales in Poland.

Primary responsibilities include:
- Assisting Company's Sales Department in a support role performing special projects, data entry and other duties as assigned
- Maintaining tracking spreadsheet for all purchases and payments completed
- Providing general administrative support including drafting of correspondence, processing purchase orders and expense reports etc.
- Emailing correspondence on a daily basis

Hours: You can work on a full time or part time position. Your timetable can be flexible.
For a part time position - you will need to spend on average 3 hours per day, from Monday to Friday.

Salary: Base pay for a part time position is 1,800EUR per month plus 5% commission from each successfully completed deal with a client.

Location: This is a work at home vacancy. All communication will be held online. During training/trial period assistance can be provided by phone.
Requirements: You need to have a PC, Internet access, pre-installed Excel and motivation.

Costs and Fees: There are NO costs involved for our employees. All fees related to this vacancy are covered by the company.

Further Hiring Process: Please email your resume to: Kimberley@tms-work.com. In your email please state if you are interested in a part-time or a full-time employment. After reviewing the submitted applications we respond to successful applicants only. Then we offer to the successful applicants a position within our company on a trial period basis for one month. During this trial period you will be receiving training and online support while working and being paid. By the end of the trial period, the supervisor can recommend continued employment, extension of trial period, or termination. After the trial period your base pay will increase.

Send any questions you may have and your resume to Kimberley@tms-work.com

Thank You,
TMS Team.


[vreitech]

имелось ввиду, со всеми заголовками.

[Дмитрий Логвиненко]

У меня ведь нет оригиналов этих писем. Я вижу только то, что пересылают мне роботы и автоответчики.

[Dmitry T.]

Странные DSN(delivery status notification) вам приходят :( в них по RFC должны быть заголовки письма для которого создан отчет. Возможно вас просто спамят «отчетами» для вашего домена.

[Дмитрий Логвиненко]

Нет, это не DSN, это вырезка из ответа получателя. Собственно DSN я не получаю — в гуглопочте пусто, у хостера почтовый сервис отключен.

Answer 5

[Дмитрий Логвиненко]

Ну что ж. С момента смены всех возможных паролей ни одного ответа от получателей или роботов пока не приходило.