Windowsコンピューターから電子メールをスパムする(または少なくともそれらをブロックする)マルウェアを見つける
直接SMTP送信を使用して、すべての連絡先リストをスパムするマルウェアを追跡することが不可能な場合について、助けを求めています。
それは私の個人的な電子メールアドレス(ISP、POP3/SMTPベース、Webベースではありません。Gmailまたはhotmail関連の問題を見つけてWebで回答するだけで、私の場合ではありません)を使用し、連絡先を参照して使用することができます感染したWebサイトへのリンクを含む短いスパムメッセージをレシピエントのグループに送信するリスト(たとえば、リスト内のアドレスの1つが廃止された場合、または次の場合に、何か問題が発生していることを検出する唯一の方法は、失敗の返信メッセージを受信することです。受信者のサーバーまたはISPサーバーの1つがそれを拒否します)
私のISPは、このような警告が返される日時から履歴を確認し、スパムが実際に私のIPアドレスから送信されたことを証明できるため、私のアドレスを偽装するだけでなく、私のコンピューターが実際の送信者でした。ところで、すべての受信者は私の実際の連絡先リストにあります。
これは、Windows XPを実行している古いコンピューターとOutlookExpressを使用していたときに始まりました。ただし、Windows 7 ProとThunderbirdを実行している新しいコンピューターでも同じように動作するため、次のことが可能です。古いOutlookExpressの明らかなWABファイルだけでなく、Thunderbirdの連絡先リストを参照します。
最近、私の顧客の1人が同じ問題を報告しました(顧客のサーバーの一部がブラックリストに登録され、私が経験したのと同じ未配信の返信メッセージを受信し始めたときに気づきました)。ところで、彼らのISPは私のものと同じです(匿名SMTPを許可する可能性があるという事実については以下を参照してください)。彼女の場合、彼女のコンピューターはWindows 10 Professionalを実行しており、MS Outlook2007を使用しています。
- とにかくスパムメールを発行するために私のメールクライアントプログラムを使用していない可能性が高いですが(もちろん、バックグラウンドで起動しないかどうかはわかりませんが)、もちろんコンピュータの電源を入れたままにしておく必要がありますが、通常、メールクライアントが閉じている夜間(ほとんどの場合、午前1時から3時頃に送信されますが、日中に発行されることもあります)に送信されます。
したがって、SMTPを使用してISPサーバーに直接接続する必要があります(もちろん、私のISPは匿名SMTPを許可している可能性がありますが、もちろん問題ですが、私の電子メールアドレスとパスワードを使用します)。
残念ながら、私のローカルISPはSSLまたはTLS暗号化を使用していません(パスワードが必要ない限り、それほど変更されないと思いますが)。ただし、メールアドレスと連絡先リストを取得できることを考えると、たとえばNirSoftで取得できるため、保存されているパスワードも取得するのはそれほど難しくなかったと思います。
- ウイルス対策ソフトウェアは何も検出できませんでしたが、それでも存在し、連絡先リスト全体を月に2回、場合によってはもっと頻繁に、時には1回だけスパムします。頻度、時間などは完全にランダムで予測できません。
私はウェブ上でアドバイスされたすべてを試しましたが、まったく結果がありませんでした。
- もちろん、レジストリやサービスなどを手動でチェックしても、起動時に疑わしいものは何もありません。それでも、いまいましいプロセスはどこかに潜んでいる必要があります。そうしないと、数秒以内に数百の電子メールをバーストすることができなくなります。
だから今、私はファイアウォールルールを使用してそれをブロックしようとしました;
ただし、Microsoftファイアウォールを使用して、Thunderbirdがユーザー認証でポート25を使用できるようにする発信ルールを追加できますが、これによってルールが排他的になるかどうかはまったくわかりません。つまり、これを有効にしても、他の使用が無効になることはないでしょう。
残念ながら、ポート25をブロックする別のルールを追加しても、上記のルールは例外にはなりません。そうすると、明示的な許可があるにもかかわらず、メールをまったく送信できなくなります。どうやら、禁止ルールは許可ルールを上書きします。そこでは、まったく逆の動作を取得したいと思います(すべてをブロックしてから、例外を許可します)。
理想的には、許可されている唯一のアプリ(現在の場合はThunderbird)からの試行をログに記録して、原因を突き止めることができるようにしたいと思います。
そのような問題について聞いたことがある人はいますか?おそらく私を解決策に導いたり、この問題を解決できる人に導いたり、それを検出するのにより効率的なツールを知っているでしょうか?
ポート25の使用をブロックするようにファイアウォールを設定する方法を知っている人はいますか?そして理想的には、許可されたプロセス以外のプロセスからの試行をログに記録する方法は?それとも、その仕事をする無料のサードパーティファイアウォールソフトウェアがありますか?
もちろん、原因を特定して排除できることは完璧ですが、それができない場合でも、ウイルス対策ソフトウェアがいつかそれを検出できるようになるまで、害を及ぼすことを防ぐことは許容できる妥協案です。
編集:
サンプルは次のとおりです: http://www.mediafire.com/download/relstor86wkfw44/Undelivered_Mail_Returned_to_Sender.eml.Zip
編集:結論として、ヘッダーを分析すると、スパムがPCから発信されたものか、電子メールアドレスがスプーフィングされたものかを知るのに役立ちます。
以下のDavidの回答のおかげで、私の場合は問題が解決しました。これは、ウイルス対策ツールがその場で疑わしいものを見つけることができなかった理由を説明しています。
このメールは実際にどこから来たのですか?
私のISPは、このような警告が返される日時から履歴を確認し、スパムが実際に私のIPアドレスから送信されたことを証明できるため、私のアドレスを偽装するだけでなく、私のコンピューターが実際の送信者でした。
私のISPはcanl.ncです
そのような返送された電子メールのヘッダーは次のとおりです。
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
あなたのISPは無能です:
このメールはあなたからのものではありません(あなたがポーランドに住んでいる場合を除く)
82.160.175.227(ポーランド)から来ました
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # FilteredMail.zakat.com.my(マレーシア)に送信(および配信)されました。
zakat.com.myは、451smtpエラーでメールを拒否しました。
(いくつかのメッセージを送信した後)メールサーバーから上記(または同様の)エラーメッセージのいずれかを受け取った場合は、メールサーバー(または電子メールアカウント)の制限に達しています。これは、しばらく待つまで、メールサーバーがそれ以上のメッセージを受け入れないことを意味します。
メールアカウントには、1つまたは複数の制限がある場合があります。
- 1日のメール制限、例:最大1日あたり2000メッセージ
- 1時間あたりのメール制限(例:最大1時間あたり500メッセージ
- メッセージ送信レート制限
拒否通知が送信された理由は次のとおりです。
Return-Path: <my email address>ISPはcanl.ncです。この電子メールのsendingのどの時点でも、canl.ncは関与していません。バウンスがあなたに送られたという理由だけで彼らは関わっています。
では、実際に何が起こったのでしょうか。
あなたのアドレス帳がどういうわけかリークされました。
ポーランドのスパマーが、IPアドレス82.160.175.227からの返信アドレスとして偽造されたメールアドレスを使用してスパムを送信しました
スパムはmail.zakat.com.myに送信され、拒否されました。おそらく、mail.zakat.com.myが、スパマーのIPアドレスからのスパムが多すぎることに気付いたためです。
mail.zakat.com.myは、82.160.175.227が実際にはブラックリストに登録されたIPアドレスであるため、十分に構成されていません。
mail.zakat.com.myはオープンリレーではないため、スパマーがそこにアカウントを持っている可能性があります。
したがって、スパムは跳ね返り、あなたはいわゆる 後方散乱 の受信者になります。
後方散乱(アウトスキャッター、誤った方向のバウンス、ブローバック、または付随的なスパムとも呼ばれます)は、通常は着信スパムの副作用として、メールサーバーによって送信される誤って自動化されたバウンスメッセージです。
ノート:
電子メールヘッダーの多くは、スパマーがスパムを送信するときに偽造される可能性があります(通常は偽造されます)。
- 「差出人:」アドレス
- リターンパス:アドレス
- 一部の「Received:」ヘッダーも偽造できます。
SMTPメッセージスプーフィング は、オープン(セキュリティで保護されていない)リレーメールサーバーを使用してこれを簡単に実行できることを示しています。
メールヘッダーの分析
電子メールヘッダーを分析するためのツールはたくさんあり、そのうちのいくつかは、チェーン内のIPアドレスのいずれかがスパムブラックリストにあるかどうかを示すことができます。
これらのツールは、チェーン内の「Received:」ヘッダーのいずれかが偽造されているかどうかも判断できます。
そのようなツールの1つは MxToolbox Email Header Analyzer です。
このツールを使用した分析では、次の結果が示されます。
