スパマーはどのようにしてこのアドレスを取得しましたか?
数か月前、Amazon AWSにテストメールサーバーを構成しましたが、すべて合法でした。キャッチオールドメインの新しいアドレスを使用しました([email protected])に似ていますが、正確ではありません)。
私は今まさにそのアドレスにスパムメールを送り始めました。スパマーがそのアドレスを「推測」した可能性はありそうにありません。 スパマーはどのようにしてそのアドレスを入手したのでしょうか?
Amazonが提供する標準のUbuntu Server 12.04 LTS仮想マシンを使用したことに注意してください。サーバーは特別なテストセキュリティグループ(Amazon Web Servicesのハードウェアファイアウォールのような)上にあり、ポート25(レガシーSMTP)、80、443、465(SSL SMTP)、および587(SMTP)への世界のアクセスを許可しますが、その他は許可しません。具体的には、ポート22(SSH)、993(SSL IMAP)およびその他すべてにアクセスできます私たちのオフィスのIPアドレスからのみアクセスできます。
また、テストサーバーとの送受信に使用するコンピューターはKubunu Linuxマシンであるため、マシン自体がマルウェアに感染していたのではないかと思います。すべてのメールはThunderbirdで送受信されたため、侵害されたブラウザープラグインもありそうにありません。
メールが途中で傍受されたのかもしれません。ほとんどのテストはSSL経由で行われましたが、SSLなしでポート143のIMAP経由でダウンロードされたメールが少なくとも2つありました。 これが最も可能性の高い攻撃面ですか?他の潜在的な攻撃面を無視していますか?
編集:コメントに回答するための情報を追加します。
サーバー(実際にはAmazonのクラウドAWSで実行されている仮想マシン)は、Amazonからのイメージ(仮想アプライアンス)から、すべて1営業日で作成、テスト、および廃止されました。他のサーバーで同じイメージを使用しているため、サーバーイメージが侵害された可能性はほとんどなく、たまたま最も一般的なAmazonサーバーイメージ(Ubuntu Server 12.04 64ビット)の1つです。
メールアドレスがApache経由で公開されることはありません。実際、Apacheをボックスにインストールしたことさえ覚えていませんが、インストールした可能性はあります。いずれの場合でも、「contact admin」の電子メールアドレスの設定など、Apacheの設定は行いません。
マシンを介して送信された唯一の電子メールは、Thunderbirdの私の通常の電子メールアカウントから問題のアカウントへのいくつかのテスト電子メールと、それらの電子メールへのいくつかの返信(同じくThunderbirdで行われた)でした。 SSLで保護された接続と保護されていない接続(SMTPおよびIMAP)の両方を介してメールが送受信されました。
キャッチオールアドレスの場合、実際のアドレスは必要ありません。キャッチオールEメールアドレスの要点は、それがなければ配信できないすべてのメールをキャッチすることです。 [email protected]をキャッチオールとして設定している場合、bob @ my-domain.comに電子メールを送信すると、たまたまない場合を除いて、スーパーシークレットメールボックスにメッセージが表示されます。 bob電子メールアカウント。
通常、キャッチオールアドレスをメインのメールアドレスとして使用しないでください。キャッチオールアドレスの要点は、他のアドレスによって人々があなたを捕まえようとしているかどうかを確認することです(たとえば、死んだアカウントに接続しようとしている人々を見つけるのに適しています)が、日常的にスパムを送信するスパマーによって常に溢れています登録済みドメイン名の一般的な電子メールアドレス。
それらがそのアドレスに具体的に送信している場合、メールサーバーがメールを送信しようとしているサーバーに応答する方法でキャッチオールアドレスを開示している可能性があります。
ワークステーションにマルウェアがないかチェックします。そのアドレスが送信者または受信者であった場所はどこでも候補です。
ワークステーション上のマルウェアは、ドキュメント、アドレス帳、保存されたメールメッセージのスキャン、メールトラフィックの監視など、スパムのメールアドレスを収集するのが一般的です。