web-dev-qa-db-pt.com

E-mails falsos de spam devolvidos no Gmail - são realmente tão falsos?

As mensagens de spam rotuladas pelo Gmail como "E-mails falsos de rejeição" são realmente tão falsas em todos os casos? Existe uma maneira de eles realmente serem legítimos?

Example of the notice found when Gmail labels an email as fake bounce.

Executamos um servidor com vários domínios com todos os endereços de email clássicos, como admin @, webmaster @, postmaster @, support @ gerenciados por uma caixa de entrada da equipe em uma conta do Gmail sem máscara. Há um domínio para o qual o Gmail gerencia um POP para o support @, o restante deles são apenas encaminhadores para o Gmail como um alias. Por uma questão de exemplo, vamos chamá-lo de "[email protected]", embora esse endereço nunca seja usado. Em vez disso, o correio de cada domínio é acionado para a caixa de entrada e podemos usar cada endereço de domínio normalmente.

Nos últimos meses, começamos a perceber muitos e-mails de devolução estranhos indo diretamente para o spam que parecem ser falsos. Eles estão sempre tentando enviar pelo endereço [email protected] não utilizado. Realizei três auditorias no servidor para garantir que nada ocorra, mas não posso deixar de sentir que perdi alguma coisa ou que elas encontraram uma maneira de entrar na cadeia de alguma maneira.

Aqui está o conteúdo de um dos e-mails recebidos nesta manhã. Eles sempre parecem estar relacionados à Comcast, como se um usuário desse ISP estivesse tentando enviar um spam através de nós como retransmissão, para nosso próprio acrônimo de email no domínio @ comcast.net. O assunto é sempre "Relatório de entrega":

Olá, este é o servidor de correio em server233.marketbox.org.

Estou enviando esta mensagem para informá-lo sobre o status de entrega de uma mensagem que você enviou anteriormente. Imediatamente abaixo, você encontrará uma lista dos destinatários afetados; Também está anexado um relatório de notificação de status de entrega (DSN) em formato padrão, além dos cabeçalhos da mensagem original.

falha na entrega; não vai continuar tentando

Destinatário final: rfc822; [email protected] Ação: falha Status: 5.3.2 (o sistema não aceita mensagens de rede) MTA remoto: dns; mx2.comcast.net (68.87.20.5) Código de diagnóstico: smtp; 554 resimta -ch2-11v.sys.comcast.net comcast 23.227.123.207 encontrado em um ou mais DNSBLs, consulte http://postmaster.comcast.net/smtp-error-codes.php#BL00001 X- Categoria: relacionados ao spam

Eles vêm com um anexo, aqui está o que está contido nisso:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=2014; d=server233.marketbox.org;
 h=Reply-To:From:To:Subject:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding:Date;
 bh=e93hXRYq9rZhWCc86TP8tys4zgc=;
 b=zuzPWcZK9atz/EzVmI0P28AMPvfOAw5fH7Mj2hzZeay+OtI+x1baocpgNetYrmxUWOxmV224xLjs
   3+hcllzUdQx+KGbnhbKjbL4TPqnnawzZT7MVEpx+xEupvFr6lHbsko0RHmo3PELQx2g36f1W20p7
   tOsr9R6TCnLTT8PwEDyL6LyGnzWx+EiemIutea2IJQq0ZjJqeuAN+/vR8pMOKmomCMlZ8XB0XSkA
   5GB2HyQGwYsg0faMr1GOKMHj4lOXsOmkK0wAsBhrlPKBuifGyW9kD2SVB9isqXmmicT/K97EzVEt
   MJGtPZPQnZG4D223BL0tiMAm1NdchA3pTjSVIw==
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=2014; d=gmail.com;
 b=7iJ8c9LGnHx41HeXBDcF+BfOo00JISLpAXWCgjb8gMsx3IMl3d3XmuQq1WjJUJMcv0F8elpyhlqx
   Yi7El32waoPt+hdETL3RRAP+sIIg1m+3T2an0Ts9ybQrzyFygMSn3StJK50BmlD9JLWdf8yRczvV
   idKNQSRdX70REbGeILbJfZGedTMyE5K6G3Z1lohK2TAertnQfMQriJ6gWp/JUKPLn7ANbjyBnGiY
   ean8Bu2kAXT63xqIWi2qhgTp9rGLUJKDHnyPxe+XwgvW8+q573COsfOP4nO17xCVb6bYMrw0CXKS
   jLUIqOil20SYEzmWsNP7PcqMze8Xz87JrK27dA==;
Reply-To: QVS  <[email protected]>
From: Complete Cycle <[email protected]>
To: [email protected]
Subject: Quantum Vision System is not for everyone..
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Date: Tue, 9 Jun 2015 05:58:14 -0400

Aqui está o e-mail original completo:

Delivered-To: [email protected]
Received: by 10.76.12.73 with SMTP id w9csp2094196oab;
        Tue, 9 Jun 2015 02:58:10 -0700 (PDT)
X-Received: by 10.182.86.9 with SMTP id l9mr18546126obz.61.1433843890434;
        Tue, 09 Jun 2015 02:58:10 -0700 (PDT)
Return-Path: <>
Received: from server233.marketbox.org (server233.marketbox.org. [23.227.123.207])
        by mx.google.com with ESMTP id hm8si3687079obb.87.2015.06.09.02.58.10
        for <[email protected]>;
        Tue, 09 Jun 2015 02:58:10 -0700 (PDT)
Received-SPF: pass (google.com: domain of server233.marketbox.org designates 23.227.123.207 as permitted sender) client-ip=23.227.123.207;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of server233.marketbox.org designates 23.227.123.207 as permitted sender) smtp.mail=;
       dmarc=pass (p=REJECT dis=NONE) header.from=server233.marketbox.org
Message-Id: <[email protected]>
Date: Tue, 9 Jun 2015 05:58:14 -0400
From: [email protected]
Subject: Delivery report
To: [email protected]
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
    boundary="[email protected]"


[email protected]
Content-Type: text/plain

Hello, this is the mail server on server233.marketbox.org.

I am sending you this message to inform you on the delivery status of a
message you previously sent.  Immediately below you will find a list of
the affected recipients;  also attached is a Delivery Status Notification
(DSN) report in standard format, as well as the headers of the original
message.

  <[email protected]>  delivery failed; will not continue trying

[email protected]
Content-Type: message/delivery-status

Reporting-MTA: dns;server233.marketbox.org
X-PowerMTA-VirtualMTA: mta233
Received-From-MTA: dns;gmail.com (85.17.28.66)
Arrival-Date: Tue, 9 Jun 2015 01:20:37 -0400

Final-Recipient: rfc822;[email protected]
Action: failed
Status: 5.3.2 (system not accepting network messages)
Remote-MTA: dns;mx2.comcast.net (68.87.20.5)
Diagnostic-Code: smtp;554 resimta-ch2-11v.sys.comcast.net comcast 23.227.123.207 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000010
X-PowerMTA-BounceCategory: spam-related

[email protected]
Content-Type: text/rfc822-headers

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=2014; d=server233.marketbox.org;
 h=Reply-To:From:To:Subject:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding:Date;
 bh=e93hXRYq9rZhWCc86TP8tys4zgc=;
 b=zuzPWcZK9atz/EzVmI0P28AMPvfOAw5fH7Mj2hzZeay+OtI+x1baocpgNetYrmxUWOxmV224xLjs
   3+hcllzUdQx+KGbnhbKjbL4TPqnnawzZT7MVEpx+xEupvFr6lHbsko0RHmo3PELQx2g36f1W20p7
   tOsr9R6TCnLTT8PwEDyL6LyGnzWx+EiemIutea2IJQq0ZjJqeuAN+/vR8pMOKmomCMlZ8XB0XSkA
   5GB2HyQGwYsg0faMr1GOKMHj4lOXsOmkK0wAsBhrlPKBuifGyW9kD2SVB9isqXmmicT/K97EzVEt
   MJGtPZPQnZG4D223BL0tiMAm1NdchA3pTjSVIw==
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=2014; d=gmail.com;
 b=7iJ8c9LGnHx41HeXBDcF+BfOo00JISLpAXWCgjb8gMsx3IMl3d3XmuQq1WjJUJMcv0F8elpyhlqx
   Yi7El32waoPt+hdETL3RRAP+sIIg1m+3T2an0Ts9ybQrzyFygMSn3StJK50BmlD9JLWdf8yRczvV
   idKNQSRdX70REbGeILbJfZGedTMyE5K6G3Z1lohK2TAertnQfMQriJ6gWp/JUKPLn7ANbjyBnGiY
   ean8Bu2kAXT63xqIWi2qhgTp9rGLUJKDHnyPxe+XwgvW8+q573COsfOP4nO17xCVb6bYMrw0CXKS
   jLUIqOil20SYEzmWsNP7PcqMze8Xz87JrK27dA==;
Reply-To: QVS  <[email protected]>
From: Complete Cycle <[email protected]>
To: [email protected]
Subject: Quantum Vision System is not for everyone..
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Date: Tue, 9 Jun 2015 05:58:14 -0400

[email protected]

Algumas coisas confirmadas ao longo de três auditorias:

  • No histórico do Gmail, todos os usuários vêm do nosso IP interno, ninguém mais está fazendo login
  • No histórico do Gmail, não há e-mails enviados com suspeita/phishing
  • Nosso servidor não é um correio aberto nem retransmissão DNS, o correio remoto está desativado, eles não parecem usá-lo dessa maneira (embora existam muitas tentativas remotas)
  • Nada é óbvio nos logs do servidor, nenhum script/usuário/conta está enviando quantidades obscenamente altas de correio

Tudo isso é apenas eu estar paranóico de que algo está acontecendo, ou não há muito com o que se preocupar com isso?

2
dhaupin

Parece que alguém está falsificando seu endereço [email protected].

  • Esta linha mostra um servidor de retransmissão de spam:

    Diagnostic-Code: smtp;554 resimta-ch2-11v.sys.comcast.net comcast 23.227.123.207 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000010
    
  • Esta linha mostra que o email original não possuía um ID de mensagem rfc822:

    Message-Id: <[email protected]>
    

    Os servidores do Google (muito úteis?) Adicionaram 5576b8b2.c86cb60a.7629.4259SMTPIN_ADDED_MISSING como o ID da mensagem.

2
Dean Ransevycz

Caminho de retorno: <>

É isso que está causando o problema. Parece que alguns dos cabeçalhos estão mal configurados.

O cabeçalho Reply-To ausente também é uma queda séria no email sendo mascarado como spam.

2
Koushik Ghattamaneni