我正在寻求帮助,因为一些无法追踪的恶意软件使用直接 SMTP 发送向我的所有联系人列表发送垃圾邮件。
它使用我的个人电子邮件地址(ISP,基于 POP3/SMTP,而不是基于 Web,因为我在 Web 上只能找到与 gmail 或 hotmail 相关的问题和答案,而我的情况并非如此),并且能够浏览和使用我的联系人列表向一组收件人发送带有指向某些受感染网站的链接的简短垃圾邮件(检测是否发生错误的唯一方法是,当列表中的某个地址已过时,或者当收件人的服务器或 ISP 服务器之一拒绝它时,收到失败返回消息)
我的 ISP 检查了这些返回警告中指示的日期和时间的历史记录,并能够证明垃圾邮件确实是从我的 IP 地址发送的,因此它不仅是在欺骗我的地址:我的计算机才是真正的发件人。顺便说一句,所有收件人都在我的实际联系人列表中。
在我使用运行 Windows XP 和 Outlook Express 的旧电脑时,这个问题就开始出现了。但是,现在在我运行 Windows 7 Pro 和 Thunderbird 的新电脑上也出现了同样的问题,这意味着它也能浏览我的 Thunderbird 联系人列表,而不仅仅是旧 Outlook Express 中明显的 WAB 文件。
最近,我的一位客户也报告了同样的问题(他们注意到,当一些客户的服务器将他们列入黑名单时,他们开始收到与我遇到的相同的未送达返回消息)。顺便说一句,他们的 ISP 与我的相同(请参阅下文,了解他们可能仍允许匿名 SMTP)。在她的情况下,她的计算机运行的是 Windows 10 Professional,她使用的是 MS Outlook 2007。
- 它很可能不会使用我的电子邮件客户端程序来发送垃圾邮件(当然,如果它不在后台启动它就很难说),但尽管计算机当然必须保持打开状态,它通常会在晚上发送垃圾邮件(大多数时候是在凌晨 1 点到 3 点左右,但有时它们是在白天发送的),那时我的电子邮件客户端已关闭。
因此它必须通过 SMTP 直接连接到我的 ISP 服务器(当然使用我的电子邮件地址和密码,尽管我的 ISP 可能仍然允许匿名 SMTP,这当然是一个问题)。
不幸的是,我当地的 ISP 不使用 SSL 或 TLS 加密(不过我猜只要不需要密码,情况就不会有太大变化)。但是,考虑到它可以获取我的电子邮件地址和联系人列表,我想获取我存储的密码可能也不难,因为 NirSoft 就可以做到这一点)。
- 没有任何防病毒软件能够检测到任何东西,但它仍然存在,每月大约两次向我的整个联系人列表发送垃圾邮件,有时更频繁,有时只一次:频率、小时等完全是随机和不可预测的。
我尝试了网上建议的所有方法,但毫无效果。
- 当然,手动检查注册表、服务等在启动时没有发现任何可疑之处。然而,该死的进程一定潜伏在某个地方,否则它不可能像现在这样在几秒钟内发送百分之一的电子邮件!
所以现在我只是尝试使用防火墙规则来阻止它;
但是,使用 Microsoft 防火墙,我可以添加一条传出规则,允许 Thunderbird 使用端口 25 进行用户身份验证,但我完全不确定这是否会使该规则具有排他性,即启用此功能可能不会禁用任何其他用途。
不幸的是,添加另一条阻止端口 25 的规则并不能使上述规则成为例外。如果我这样做,它只会阻止我发送任何电子邮件,尽管有明确的许可。显然,禁止规则会覆盖许可规则,而我希望得到完全相反的行为(阻止所有,然后允许例外)。
理想情况下,我希望记录唯一允许的应用程序(在我当前的情况下是 Thunderbird)的任何尝试,以便我可以找到罪魁祸首。
你们中有人听说过这样的问题吗?也许可以为我提供解决方案,或者为我提供能够解决此问题的人,或者知道任何可以更有效地检测此问题的工具?
有人知道我该如何设置防火墙,以便阻止除允许的应用程序之外的任何端口 25 的使用吗?理想情况下,如何记录除允许的进程之外的任何进程的任何尝试?或者也许一些免费的第三方防火墙软件可以完成这项工作?
当然,如果能找出罪魁祸首并消除它那就完美了,但如果做不到,那么防止其造成危害仍然是一个可以接受的折衷方案,直到有一天防病毒软件能够检测到它。
编辑 :
以下是一个示例:http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.zip
编辑:总而言之,分析标题将帮助您了解垃圾邮件是否来自您的电脑或您的电子邮件地址是否被欺骗。
感谢 David 的以下回答,我的问题解决了。这解释了为什么没有防病毒工具可以在现场发现任何可疑的东西。
答案1
这封电子邮件究竟是从哪里来的?
我的 ISP 检查了这些返回警告中指示的日期和时间的历史记录,并能够证明垃圾邮件确实是从我的 IP 地址发送的,因此它不仅是欺骗了我的地址:我的电脑才是真正的发件人
我的 ISP 是 canl.nc
以下是其中一封退回电子邮件的标题:
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
您的 ISP 不称职:
这封电子邮件不是你发的(除非你住在波兰)
它来自 82.160.175.227(波兰)
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # Filtered它被发送至(并投递至)mail.zakat.com.my(马来西亚)。
zakat.com.my 拒绝了该邮件,并出现 451 smtp 错误:
如果您在发送一些邮件后收到来自邮件服务器的上述(或类似)错误消息,则表明您的邮件服务器(或电子邮件帐户)已达到限制。这意味着您的邮件服务器将不会再接受任何邮件,除非您等待一段时间。
您的邮件帐户可能有一个或多个限制:
- 每日邮件限制,例如每天最多 2000 封邮件
- 每小时邮件限制,例如每小时最多 500 条邮件
- 消息提交速率限制
向您发送拒绝通知的原因是:
Return-Path: <my email address>您的 ISP 是 canl.nc。发送此电子邮件与 canl.nc 有关。他们之所以参与其中,只是因为退回邮件是发送给您的。
那么究竟发生了什么?
您的地址簿不知何故被泄露了。
波兰的一名垃圾邮件发送者伪造您的电子邮件地址作为回复地址,其 IP 地址为 82.160.175.227
垃圾邮件被发送至 mail.zakat.com.my 并被拒绝 - 可能是因为 mail.zakat.com.my 注意到来自垃圾邮件发送者的 IP 地址的垃圾邮件太多。
mail.zakat.com.my 配置不太好,因为 82.160.175.227 实际上是一个黑名单 IP 地址。
mail.zakat.com.my 不是开放中继,因此垃圾邮件发送者可能在那里拥有帐户。
垃圾邮件因此被退回,而您则成为所谓的背向散射:
反向散射(也称为向外散射、错误指向的退回、反吹或附带垃圾邮件)是邮件服务器错误地自动退回邮件,通常是传入垃圾邮件的副作用。
笔记:
垃圾邮件发送者在发送垃圾邮件时,许多电子邮件标题都可以(并且通常会)被伪造。
- “发件人:”地址
- 返回路径:地址
- 一些“已收到:”标头也可以伪造。
SMTP 邮件欺骗显示了使用开放(不安全)中继邮件服务器可以多么轻松地完成此操作。
电子邮件标题分析
有许多工具可以分析电子邮件头,其中一些可以显示链中的任何 IP 地址是否在垃圾邮件黑名单上。
这些工具还可以判断链中的任何“已接收:”标头是否是伪造的。
其中一个工具是MxToolbox 电子邮件标头分析器。
使用该工具进行分析,结果如下:
