Атака на почтовый сервер используя оутлуп.

Дата: Сб, 03.10.2015, 21:08 | Повідомлення № 1

Хостер

Повідомлень: 1378

Нагороди: 9

Рейтинг: 165

Когда то давно, лет 5 тому сталкивался с таким делом. И вот снова столкнулся. Я даже атакой это уже не назову но неприятностей владельцу e-mail адреса доставило нормально.

Имеем почтовый ящик фирмы который обслуживает почтовый сервер свой. Ящик - admin@site.com

Какие то люди используя зараженные компьютеры начали рассылать спам про виагру на различные почтовые ящики но ставя обратный адрес отправителя почту фирмы admin@site.com , в результате , естественно что не все мейлы в их списке существовали, и начали приходит оутлупы - ошибки что мол ящика на который отослали вы (admin@site.com) письмо не существует.
И переть начало реально ошибок на ящик, и очень много. Но умные почтовые сервера такие как mail.ru, gmail и прочие начали проверять отправителя и сравнивать с указанным в DNS записях (MX, A, SPF) и сверять данные полученные с DNS и с тем что пришли по почте, большая часть серверов почты увидев что письма подставные и IP отправителя не такой как в записях DNS просто блокировали письма, но вот aol.com вообще такое проверки не проводил по ходу и от него шли постоянно письма с ошибкой.

Человек обратился ко мне, с просьбой разобраться, как так мол они на aol.com вообще ничего не шлют и вообще никогда не слали, а от aol прет письма что мол вы слали письма но мы таких пользователей у себя не нашли. причем за 30 минут таких писем приходило несколько тысяч. Отключать почту никак нельзя. Фирма работает с ней.

Пришлось заблокировать почтовый трафик от oal.com поскольку он не реагировал на то что было написано в SPF записи DNS с четким указанием какому серверу разрешено отсылать почту данного домена, т.е. он не проверял отправителя по сути, что и стало причиной такой атаки.