Издавно настроен антивирусник на отчёт мне по почте в случае нашествия вирусов. Сейчас пришло письмо мол по почте лез вирь, благополучно убитый. Обратил внимание с какого ящика шло письмо: JordynPahl@example.com - у нас такого ящика нет. Письмо пришло на один из наших ящиков july@example.com
Раскрыл его:
From - Thu Aug 16 13:41:39 2012
X-Account-Key: account1
X-UIDL: 00000bdc4faa3748
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:
Return-path: <JordynPahl@att.net>
Envelope-to: july@example.com
Delivery-date: Thu, 16 Aug 2012 22:33:25 +0300
Received: from [178.90.191.30] (helo=microsof-24d78e)
by s4.thehost.com.ua with esmtp (Exim 4.76)
(envelope-from <JordynPahl@att.net>)
id 1T25op-0000i1-QX
for july@example.com; Thu, 16 Aug 2012 22:33:25 +0300
Received: from mailout-us.gmx.com ([74.208.5.67]) by aln-mailrelay.att.net;
Thu, 16 Aug 2012 02:33:22 +0300
Received: (qmail 9741 invoked by uid 0); Thu, 16 Aug 2012 02:33:22 +0300
Received: from 110.203.234.182 by rms-us063.v300.gmx.net with HTTP
Content-Type: multipart/mixed;
boundary="========GMXBoundary816158626177210101200"
Date: Thu, 16 Aug 2012 02:33:22 +0300
From: <JordynPahl@example.com>
Message-ID: <07218938728225.660839@example.com>
MIME-Version: 1.0
Subject: [virus JS/Kryptik.UK ????????? ?????????] Your intuit.com order.
To: july@example.com
X-Authenticated: #233426516
X-Flags: 0001
X-Mailer: GMX.com Web Mailer
x-registered: 0
X-GMX-UID: YUT/TKKY269AG9AEF0E70U7+O041EJCQ
X-OriginalArrivalTime: Thu, 16 Aug 2012 02:33:22 +0300 FILETIME=[6B57DC03:72849237]
X-EsetResult: clean (cleaned), contained JS/Kryptik.UK trojan
X-EsetId: 13F033267F32703D09B86C3A2D2D763D51B2367772
X-EsetScannerBuild: 11886
Поправте меня если я не правильно понял: письмо на самом деле слал пользователь <JordynPahl@att.net> из Казастаа (from [178.90.191.30]) только у них в настройках выставлено подставлять домен жертвы рассылки... домен att.net заменен на example.com.
Раскрыл его:
From - Thu Aug 16 13:41:39 2012
X-Account-Key: account1
X-UIDL: 00000bdc4faa3748
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:
Return-path: <JordynPahl@att.net>
Envelope-to: july@example.com
Delivery-date: Thu, 16 Aug 2012 22:33:25 +0300
Received: from [178.90.191.30] (helo=microsof-24d78e)
by s4.thehost.com.ua with esmtp (Exim 4.76)
(envelope-from <JordynPahl@att.net>)
id 1T25op-0000i1-QX
for july@example.com; Thu, 16 Aug 2012 22:33:25 +0300
Received: from mailout-us.gmx.com ([74.208.5.67]) by aln-mailrelay.att.net;
Thu, 16 Aug 2012 02:33:22 +0300
Received: (qmail 9741 invoked by uid 0); Thu, 16 Aug 2012 02:33:22 +0300
Received: from 110.203.234.182 by rms-us063.v300.gmx.net with HTTP
Content-Type: multipart/mixed;
boundary="========GMXBoundary816158626177210101200"
Date: Thu, 16 Aug 2012 02:33:22 +0300
From: <JordynPahl@example.com>
Message-ID: <07218938728225.660839@example.com>
MIME-Version: 1.0
Subject: [virus JS/Kryptik.UK ????????? ?????????] Your intuit.com order.
To: july@example.com
X-Authenticated: #233426516
X-Flags: 0001
X-Mailer: GMX.com Web Mailer
x-registered: 0
X-GMX-UID: YUT/TKKY269AG9AEF0E70U7+O041EJCQ
X-OriginalArrivalTime: Thu, 16 Aug 2012 02:33:22 +0300 FILETIME=[6B57DC03:72849237]
X-EsetResult: clean (cleaned), contained JS/Kryptik.UK trojan
X-EsetId: 13F033267F32703D09B86C3A2D2D763D51B2367772
X-EsetScannerBuild: 11886
Поправте меня если я не правильно понял: письмо на самом деле слал пользователь <JordynPahl@att.net> из Казастаа (from [178.90.191.30]) только у них в настройках выставлено подставлять домен жертвы рассылки... домен att.net заменен на example.com.
По теме из базы знаний
- SIPOC - метод формализации бизнес-процессов
- Корпоративный скепсис, или что мешает проектным командам принимать изменения
- Remote-leaders. Как развивать лидерство у удаленных сотрудников и зачем это надо
- Процессы эффективного предприятия. Почему ИТ не помогает
- Как спецификация OpenAPI помогает писать тесты http-сервисов
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
День добрый!
Поняли почти правильно.
Вот только к пользователю JordynPahl@att.net это письмо наверняка отношения не имеет, скорее всего и нет такого пользователя вовсе.
envelope-from - это то, что пришло из заголовков протокола SMTP (директива MAIL FROM). Чтобы "обмануть" проверку на уровне SMTP спамеру пришлось подставлять честый домен, откуда письмо было послано (att.net), а чтобы облегчить прохождение проверки уже после приема письма, спамер подставляет в поле From, уже самом конверте, имя домена, совпадающее с доменом получателя - example.com.
Поняли почти правильно.
Вот только к пользователю JordynPahl@att.net это письмо наверняка отношения не имеет, скорее всего и нет такого пользователя вовсе.
envelope-from - это то, что пришло из заголовков протокола SMTP (директива MAIL FROM). Чтобы "обмануть" проверку на уровне SMTP спамеру пришлось подставлять честый домен, откуда письмо было послано (att.net), а чтобы облегчить прохождение проверки уже после приема письма, спамер подставляет в поле From, уже самом конверте, имя домена, совпадающее с доменом получателя - example.com.
by s4.thehost.com.ua with esmtp (Exim 4.76)
(envelope-from <JordynPahl@att.net>)
(envelope-from <JordynPahl@att.net>)
Вот вся правда.
Если где-то в шапке видите не рабочие или домены типа www.ru или example.com то скорее всего это спамер или веб морда на сервере корявая.
И скорее всего это не за спам их так наказали а за
X-EsetResult: clean (cleaned), contained JS/Kryptik.UK trojan
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот