Или Open Relay, Или Непонятно Что (кто-то Отправляет Спам)

[hellsq]

Итак, в организации перед почтовым сервером присутствует спам-фильтр, который мониторит всю входящую почту (исходящая не мониторится).

Сегодня группе юзеров пришел отчет о сбое доставки письма (явно спамерского содержания на всякие левые адреса), которое было якобы ими отправлено в 3 утра. Если запустить запрос в tracking center по теме письма - то находятся только сообщения от mail router о собственно сбое доставки. Если запустить запрос по юзерам, у них не было вообще никаких исходящих в это время. Внешний спам-фильтр говорит что ничего в это время не проходило.

WTF и как оследить, что это было и как это было?

 

[lmike]

как например - виндовый бот внутри сети

 

[SimplyRed]

WTF и как оследить, что это было и как это было?

Отследить способ только один, внимательно изучать служебные заголовки в свойствах письма во вкладке "Поля".
Откуда такое берется, да вероятнее всего это отправлено даже не из вашей сети, дело в том что подставить ваши адреса в поля "From:" и "Reply-To:" не составляет никакого труда, и если адрес получателя верный, то все пройдет успешно, а если отправляется на несуществующий адрес, то демон доставки отправляет письмо о недоставке не на IP адрес отправителя, а на тот адрес который указан в теле письма в соответствующих полях. Этот способ еще используется для повышения вероятности доставки спама предназначенного как раз для адресов указанных в вышеупомянутых полях, т.к. письма от демона имеют более высокий приоритет и иногда даже спам фильтром не обрабатываются...

 

[lmike]

SimplyRed вот это

да вероятнее всего это отправлено даже не из вашей сети

исключается вот этим

Внешний спам-фильтр говорит что ничего в это время не проходило.

 

[aameno2]

DKIM & SPF присутствуют?