Зачем подделывать и как защититься от чужой рассылки писем от моего домена?

Question

[Tom Nolane]

Доброго времени суток тостерчане и тостерчанки!
Суть: есть домен мойдомен.ru. Есть траффик на него: около 30000-40000 посетителей в сутки. Сайт предоставляет бесплатно посреднические услуги. В своей нише он занимает второе место в России. Есть платная реклама и естественно есть массовая рассылка HTML-писем по email пользователям сайта от mail@мойдомен.ru
В субботу появился некто, кто стал рассылать от моего домена, но как nosup@мойдомен.ru и рассылать по тематике никак не связанной с моим сайтов - что-то про биткоины. Доступ к почте осуществляется через mail.ru взлом пароля небыло, MiTM тоже.
И соответственно два вопроса: зачем подделывать мой домен и писать про биткоины? (знаю про элементарную подмену заголовков на php) но в целях массовой рассылки?
И второй: как можно запретить такое?

Answer 1

[neol]

Дополню предыдущие ответы.

• если будете использовать SPF, то с ~all, а не -all (в статьях часто рекомендуют второе), иначе огребёте проблем с пересылкой ваших писем.
  
• DKIM и DMARC - обязательно. SPF с жёстким запретом отправки с других хостов без DKIM сделает только хуже, а без него просто не работает.
  

Comments

[neol]

SyavaSyava, Достаточно много людей ставят перенаправление с одного ящика на другой, при -all перенаправленное письмо не дойдёт (при условии, что ящики на разных почтовых серверах).

Answer 2

[Tom Nolane]

ответ от сервиса, предоставляющие массовую рассылку

Сообщаю. была найдена в блочном редакторе XXS уязвимость. У нас работает Wallarm https://wallarm.com/ и мы платим им постоянно за его работу.
Произошла SQL инъекция, и Wallarm ее не заметил.
Злоумышленник смог добавить в свой аккаунт через нее подтвержденные адреса ( и на вашем домене в том числе) и поставить себе большой кредитный лимит, а так же изменил уровень попадания на модерацию до full trust ( то есть мы не проверяем никогда, кроме spam trap адресов ).
В ночь, когда работает только один сотрудник ( так как больше не требуется ) злоумышленник зарегистрировал аккаунт на сервисе esputnik , там разместил html файл с редиректом на сайт vsegdaplus.ru . Потом он зашел в свой аккаунт с не его подтвержденными адресами и включенным огромным кредитным лимитом и малыми партиями всю ночь до утра слал письма, всего ушло 1,9 млн трафика от 5ти разных доменов. Все одной тематики.

Как мы "залатали": уязвимость найдена и закрыта.
В перечне действий по такому ручному внесению адреса в подтвержденные не для staff аккаунтов установлен блокиратор + уведомление аларм на группу админов.
В Wallarm открыт кейс на расследование по инциденту, так как это их работа выявлять и закрывать нас от таких взломов.
Полученные данные по IP адресам взлома, по домену, на котором располагался вредоносный код и который был использован для инъекции, и другие данные - все поданы в юридический отдел для соответствующей подачи заявления в киберполицию.

Answer 3

[Андрей Павленко]

Может конкуренты решили насолить.
Читаем следующее:
https://habrahabr.ru/company/cbs/blog/314738/
https://ru.wikipedia.org/wiki/Sender_Policy_Framework
https://habrahabr.ru/post/270159/
https://yandex.ru/support/pdd/set-mail/spf.html - вот на это обратите внимание.

Гуглите SPF и изучайте редактирование DNS-записей. Вы не сможете полностью защитится от подделок, но для большинства почтовых клиентов это будет сильно ограничивать возможности подобных подделок

Comments

[Олег Баталов]

SPF конечно хорошо, но не в случае с mail.ru и их ~all
у яндекса и гугла аналогичная проблема - можно слать с левых серверов якобы их почту.

Так что вам придется еще DMARK и DKIM разворачивать. И надеяться, что сервера получателей их проверяют