Как найти с какой машины идет СПАМ?

Question

[Павел Емельянов]

Здравствуйте!
Неделю назад несколько сотрудников получили письма будто бы от клиентов, с вложением, файл .doc Открыли его но вложение "как бы не открылось" после чего сотрудники нажали ответить и написали что вложение не открылось. После этого нашу компанию завалило спамом. Причем спам приходил как будто от реального человека внутри нашей компании. В теле письма была реальная переписка а так же вложение аналогичное, .doc
Настроил DMARC на хостинге. Писем стало приходить меньше, но все равно поток их велик. Прогнал все почти уже машины CureIt и KVRT. где то что то было по мелочи, но это все или утилита mailpv лежала давно уже на дисках, сами качали ее или от DriverPack Solution следы. Ничего другого замечено не было. Письма стали приходить уже как будто от наших партнеров, с кем была переписка раньше. И письма так же содержат реальную переписку. Т.е. взяли реальное письмо, вложили в него файл и отправили будто бы ящика pavel@pavel.kz, а по факту адреса левые.
Понимаю что раз письма идут с реальной перепиской, значит дело в ПК каком то, но как его вычислить? Те машины что не проверил еще слать спам не должны, так как в ящиках нет тех писем, что идет в виде спама.

Comments

[nApoBo3]

Пароли на ящиках поменяли?

[Павел Емельянов]

nApoBo3, да, поменял. С начала все ящики в админке Яндекса заблокировал. Потом менял пароли не разблокируя сами ящики. Сегодня утром на тех машинах где прогнал все антивирусами учетки разблокировал и прописывал новые пароли. Не помогло.

Answer 1

[Дмитрий]

Анализировать заголовки писем, анализировать логи почтового сервера (если он свой).

Comments

[Павел Емельянов]

Почта не своя, Яндекс Коннект используем.

[Дмитрий]

Значит внимательно смотрим заголовки писем.
Если все сидят вместе - в офисе, все достаточно просто - можно смотреть трафик на роутере, отключать народ и подключать по одному и ловить откуда павалит, но если все сидят по домам, то хуже, там может что угодно быть.

[Павел Емельянов]

Дмитрий, вот заголовок но в нем я не вижу ничего, что мне может подсказать какая машина в сети это все вытворяет

Received: from mxback9j.mail.yandex.net (localhost [127.0.0.1])
	by mxback9j.mail.yandex.net with LMTP id ISK4Fwu0Rr-PB1dD4vs;
	Sat, 22 Aug 2020 08:05:50 +0300
Received: from mxfront7o.mail.yandex.net (mxfront7o.mail.yandex.net [IPv6:2a02:6b8:0:1a2d::f])
	by mxback9j.mail.yandex.net (Yandex) with ESMTP id A1EB540CF62F;
	Sat, 22 Aug 2020 08:05:50 +0300 (MSK)
Received: from mail.inyamayummeat.co.zw (mail.inyamayummeat.co.zw [41.57.124.21])
	by mxfront7o.mail.yandex.net (mxfront/Yandex) with ESMTPS id NfKct6KTF3-1gd0MPBd;
	Sat, 22 Aug 2020 08:01:42 +0300
	(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
	(Client certificate not present)
X-Yandex-Front: mxfront7o.mail.yandex.net
X-Yandex-TimeMark: 1598072502.744
X-Yandex-Suid-Status: 4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0
X-Yandex-Spam: 4
X-Yandex-Fwd: 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
 c4OTUwMTE1LDE3OTY1OTY4MDU1NjI2NzcwNTI0LDE4MTAxMDkzNDMxNzU3MTEyMTUyLDE4MjYzOTAxMDk5NDQzODc0ODQ4LDE4Mzk5MTcyMjAzMzk2Mzk1MDk0LDEzMzQxMzk3NjY4MDEyOTM2MzYw
Received: from magnesium.zarnet.ac.zw (localhost [127.0.0.1])
	by magnesium.zarnet.ac.zw (Postfix) with ESMTP id 2F653A62E15
	for <all@*.kz>; Sat, 22 Aug 2020 05:40:18 +0200 (CAT)
X-Virus-Scanned: amavisd-new at magnesium.zarnet.ac.zw
Received: from magnesium.zarnet.ac.zw ([127.0.0.1])
	by magnesium.zarnet.ac.zw (magnesium.zarnet.ac.zw [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id cNRquLjIzga2 for <all@*.kz>;
	Sat, 22 Aug 2020 05:40:14 +0200 (CAT)
Received: from [151.237.3.200] (unknown [151.237.3.200])
	by magnesium.zarnet.ac.zw (Postfix) with ESMTPSA id BF311A62E09
	for <all@*.kz>; Sat, 22 Aug 2020 05:40:13 +0200 (CAT)
Date: Sat, 22 Aug 2020 06:41:48 +0200
From: "Anara Akhmetova" <jane@necf.org.zw>
To: "all@*.kz" <all@*.kz>
Subject: =?UTF-8?B?RndkOlJlOiDQn9Cg0JjQmtCQ0Jcg0L3QsCDQvtCz0YDQsNC90LjRh9C10L3QuNC1INC00LXRj9GC0LXQu9GM0L3QvtGB0YLQuCDQs9GA0YPQv9C/0Ysg0LrQvtC80L/QsNC90LjQuCBSVCDQstC+INCy0YDQtdC80Y8g0KfQnw==?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--40541255356656223376902894236887833"
Message-Id: <20200822034018.2F653A62E15@magnesium.zarnet.ac.zw>
Return-Path: jane@necf.org.zw
X-Yandex-Forward: 5362aba9866a7e2d63c2a010ef73e014
X-Yandex-Forward: 2eaace324128c4830184f54943781d93
X-Yandex-Forward: 359799949e3fc9e6491c3f19c2ba62ea
X-Yandex-Forward: 2e785317537471e97b6f5754c511cdb8
X-Yandex-Forward: cbeca2c4b45345b87005d328446bb044
X-Yandex-Forward: 83cd3e3b45a908c3527f3f3290988db6
X-Yandex-Forward: fb4d44a3e02f2a5cdbe88dd6142d1f2d
X-Yandex-Forward: 74bec3b0c4b281e39f6aa72bcc26bed3
X-Yandex-Forward: 770df6fb4cd9eb7933884bb728c130f4
X-Yandex-Forward: cc374c326162f6b4dac37e6a54f1c09a
X-Yandex-Forward: 3419ea11dd921918c229635825feee74
X-Yandex-Forward: 853a6bc65d4bdd51343373f22ddc76fb
X-Yandex-Forward: 8b15d893327b5b157f1c97a2729cd68a
X-Yandex-Forward: 1b93b14aa956e69c3d58b13ebb2051ec

----40541255356656223376902894236887833
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

[Дмитрий]

Понимаете какое дело, Павел, я - посторонний человек, не знаю что там у вас, офис не офис, какие адреса, где кто сидит, и угадывать все это - так себе задача.

Вот смотрите, эта строчка интересная:
Received: from [151.237.3.200] (unknown [151.237.3.200])
Этот айпишник в небольшом городке Pernik в Болгарии. У вас ктото сидит из Болгарии?
Если нет, но поздравляю, скорее всего, у кого то из ваших пользователей просто уехала все почта в ботнет (заголовки, содержимое и т.п.) и теперь ботнет с других зараженных машин (не обязательно из вашего офиса или от ваших сотрудников) будет рассылать вам же (в том числе) новые порции спама.

[Павел Емельянов]

Дмитрий, нет, в Болгарии у нас нет никого, как и в Японии и других странах откуда судя по IP идут письма. Вот этого я и боялся, что почта с адресами уехала куда то от нас и спам так и будет идти. Как можно максимально уменьшить его количество если у нас почта на Яндексе и своего почтового сервера нет? Написал в тех.поддерку яндекса, но пока ответа нет.

Answer 2

[Павел Емельянов]

Написал в поддержку Яндекса вопрос, почему нет в админке управления доменом общего черного списка, куда можно было бы внести адреса сразу для всех почтовых ящиков, ответили что хорошая идея и ее добавят в список пожеланий клиентов, но не факт что реализуют. А между тем спам только усилился. Приходит около 70 писем в день, что очень печально.

Answer 3

[moropsk]

В теории, можно вашу почту попробовать прогонять через
https://interface31.ru/tech_it/2019/02/proxmox-mai...
Там есть свои черные списки, DNSBL и.т.д.